जापानी साइबर सुरक्षा अधिकारियों ने चेतावनी दी कि उत्तर कोरिया की कुख्यात लाजर समूह हैकिंग टीम ने हाल ही में पायथन ऐप्स के लिए PyPI सॉफ़्टवेयर रिपॉजिटरी को लक्षित करते हुए एक आपूर्ति श्रृंखला हमला किया है।
ख़तरनाक अभिनेताओं ने "पाइक्रिप्टोएनव" और "पाइक्रिप्टोकॉन्फ" जैसे नामों के साथ दागी पैकेज अपलोड किए - जो कि पायथन के लिए वैध "पाइक्रिप्टो" एन्क्रिप्शन टूलकिट के नाम के समान है। जो डेवलपर्स अपनी विंडोज़ मशीनों पर नापाक पैकेज डाउनलोड करने में धोखा खा जाते हैं, वे कमबैकर नामक खतरनाक ट्रोजन से संक्रमित हो जाते हैं।
"इस बार पुष्टि की गई कि दुर्भावनापूर्ण पायथन पैकेज लगभग 300 से 1,200 बार डाउनलोड किए गए हैं।" जापान सीईआरटी ने पिछले महीने के अंत में जारी एक चेतावनी में कहा। "हमलावर मैलवेयर डाउनलोड करने के लिए उपयोगकर्ताओं की टाइपो त्रुटियों को लक्षित कर सकते हैं।"
गार्टनर के वरिष्ठ निदेशक और विश्लेषक डेल गार्डनर ने कमबैकर को एक सामान्य प्रयोजन ट्रोजन के रूप में वर्णित किया है जिसका उपयोग रैंसमवेयर को गिराने, क्रेडेंशियल्स चुराने और विकास पाइपलाइन में घुसपैठ करने के लिए किया जाता है।
कमबैकर को उत्तर कोरिया से जुड़े अन्य साइबर हमलों में तैनात किया गया है, जिसमें एक भी शामिल है एनपीएम सॉफ्टवेयर डेवलपमेंट रिपॉजिटरी पर हमला।
“हमला टाइपोसक्वाटिंग का एक रूप है - इस मामले में, एक निर्भरता भ्रम का हमला। गार्डनर का कहना है, ''डेवलपर्स को दुर्भावनापूर्ण कोड वाले पैकेज डाउनलोड करने के लिए धोखा दिया जाता है।''
ताजा हमला सॉफ़्टवेयर रिपॉजिटरी यह एक ऐसा प्रकार है जो पिछले लगभग एक वर्ष में बढ़ा है।
गार्डनर कहते हैं, "इस प्रकार के हमले तेजी से बढ़ रहे हैं - सोनाटाइप 2023 ओपन सोर्स रिपोर्ट से पता चला है कि 245,000 में 2023 ऐसे पैकेज खोजे गए थे, जो 2019 के बाद से संयुक्त रूप से खोजे गए पैकेजों की संख्या से दोगुना था।"
एशियाई डेवलपर्स "अनुपातहीन रूप से" प्रभावित हुए
PyPI वैश्विक पहुंच वाली एक केंद्रीकृत सेवा है, इसलिए दुनिया भर के डेवलपर्स को लाजर समूह के इस नवीनतम अभियान के लिए सतर्क रहना चाहिए।
गार्डनर बताते हैं, “यह हमला ऐसा कुछ नहीं है जो केवल जापान और आस-पास के क्षेत्रों के डेवलपर्स को प्रभावित करेगा। "यह कुछ ऐसा है जिसके लिए हर जगह के डेवलपर्स को सतर्क रहना चाहिए।"
अन्य विशेषज्ञों का कहना है कि लाजर समूह के इस नवीनतम हमले से गैर-देशी अंग्रेजी बोलने वालों को अधिक खतरा हो सकता है।
नेटिफाई के एक तकनीकी विशेषज्ञ और सूचना सुरक्षा नेता, तैमूर इजलाल का कहना है कि भाषा की बाधाओं और सुरक्षा जानकारी तक कम पहुंच के कारण हमला "एशिया में डेवलपर्स पर प्रतिकूल प्रभाव डाल सकता है"।
इजलाल कहते हैं, "सीमित संसाधनों वाली विकास टीमों के पास कठोर कोड समीक्षा और ऑडिट के लिए कम बैंडविड्थ हो सकती है।"
एकेडमिक इन्फ्लुएंस के शोध निदेशक जेड मैकोस्को का कहना है कि पूर्वी एशिया में ऐप विकास समुदाय "साझा प्रौद्योगिकियों, प्लेटफार्मों और भाषाई समानताओं के कारण दुनिया के अन्य हिस्सों की तुलना में अधिक मजबूती से एकीकृत होते हैं।"
उनका कहना है कि हमलावर उन क्षेत्रीय संबंधों और "भरोसेमंद रिश्तों" का फायदा उठाना चाह रहे होंगे।
मैकोस्को का कहना है कि एशिया में छोटी और स्टार्टअप सॉफ्टवेयर कंपनियों के पास आमतौर पर पश्चिम में अपने समकक्षों की तुलना में अधिक सीमित सुरक्षा बजट होता है। "इसका मतलब है कमजोर प्रक्रियाएं, उपकरण और घटना प्रतिक्रिया क्षमताएं - परिष्कृत खतरे वाले अभिनेताओं के लिए घुसपैठ और दृढ़ता को अधिक प्राप्य लक्ष्य बनाना।"
साइबर रक्षा
गार्टनर के गार्डनर का कहना है कि एप्लिकेशन डेवलपर्स को इन सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों से बचाना "मुश्किल है और आम तौर पर कई रणनीतियों और युक्तियों की आवश्यकता होती है।"
ओपन सोर्स निर्भरता डाउनलोड करते समय डेवलपर्स को अधिक सावधानी और सावधानी बरतनी चाहिए। गार्डनर चेतावनी देते हैं, "आजकल उपयोग किए जाने वाले खुले स्रोत की मात्रा और तेज़ गति वाले विकास वातावरण के दबाव को देखते हुए, एक अच्छी तरह से प्रशिक्षित और सतर्क डेवलपर के लिए भी गलती करना आसान है।"
उन्होंने आगे कहा कि यह "खुले स्रोत के प्रबंधन और जांच" के लिए स्वचालित दृष्टिकोण को एक आवश्यक सुरक्षात्मक उपाय बनाता है।
गार्डनर सलाह देते हैं, "सॉफ्टवेयर कंपोजिशन एनालिसिस (एससीए) टूल का उपयोग निर्भरता का मूल्यांकन करने के लिए किया जा सकता है और नकली या वैध पैकेजों का पता लगाने में मदद मिल सकती है, जिनसे समझौता किया गया है।" प्रबंधक भी जोखिम को कम कर सकते हैं।
"हम देखते हैं कि कुछ संगठन निजी रजिस्ट्रियां स्थापित कर रहे हैं," वे कहते हैं। उन्होंने आगे कहा, "ये सिस्टम प्रक्रियाओं और उपकरणों द्वारा समर्थित हैं जो पशु चिकित्सक को ओपन सोर्स को यह सुनिश्चित करने में मदद करते हैं कि यह वैध है" और इसमें कमजोरियां या अन्य जोखिम नहीं हैं।
पीपीआई खतरे से अनजान नहीं
इनक्रेडिटूल्स के एक तकनीकी विशेषज्ञ और सुरक्षा विश्लेषक केली इंदाह के अनुसार, जबकि डेवलपर्स जोखिम को कम करने के लिए कदम उठा सकते हैं, दुरुपयोग को रोकने के लिए पीईपीआई जैसे प्लेटफ़ॉर्म प्रदाताओं पर जिम्मेदारी आती है। यह पहली बार नहीं है दुर्भावनापूर्ण पैकेज पर खिसका दिया गया है मंच.
इंदाह कहते हैं, "हर क्षेत्र में डेवलपर टीमें प्रमुख रिपॉजिटरी के भरोसे और सुरक्षा पर भरोसा करती हैं।"
“लाजर की यह घटना उस भरोसे को कमजोर करती है। लेकिन बढ़ी हुई सतर्कता और डेवलपर्स, परियोजना नेताओं और प्लेटफ़ॉर्म प्रदाताओं की समन्वित प्रतिक्रिया के माध्यम से, हम अखंडता और आत्मविश्वास को बहाल करने के लिए मिलकर काम कर सकते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
- :हैस
- :है
- :नहीं
- 000
- 1
- 200
- 2019
- 2023
- 300
- 7
- a
- गाली
- शैक्षिक
- पहुँच
- अनुसार
- अभिनेताओं
- जोड़ने
- जोड़ता है
- लाभ
- को प्रभावित
- लग जाना
- चेतावनी
- भी
- राशि
- an
- विश्लेषण
- विश्लेषक
- और
- अनुप्रयोग
- अनुप्रयोग विकास
- आवेदन
- दृष्टिकोण
- लगभग
- क्षुधा
- हैं
- AS
- एशिया
- एशियाई
- At
- आक्रमण
- आक्रमण
- प्राप्य
- आडिट
- स्वचालित
- बैंडविड्थ
- बाधाओं
- BE
- किया गया
- बजट
- लेकिन
- by
- अभियान
- कर सकते हैं
- क्षमताओं
- कौन
- मामला
- सावधानी
- केंद्रीकृत
- श्रृंखला
- कोड
- संयुक्त
- समुदाय
- रचना
- छेड़छाड़ की गई
- आत्मविश्वास
- की पुष्टि
- भ्रम
- कनेक्शन
- शामिल
- समन्वित
- सका
- समकक्षों
- साख
- साइबर
- साइबर हमला
- साइबर हमले
- साइबर सुरक्षा
- खतरा
- खतरनाक
- रक्षा
- निर्भरता
- निर्भरता
- तैनात
- वर्णन करता है
- डेवलपर
- डेवलपर्स
- विकास
- विकास दल
- मुश्किल
- निदेशक
- की खोज
- do
- नहीं करता है
- डाउनलोडिंग
- छोड़ने
- दो
- पूर्व
- आसान
- एन्क्रिप्शन
- अंग्रेज़ी
- वर्धित
- सुनिश्चित
- वातावरण
- आवश्यक
- स्थापना
- मूल्यांकन करें
- और भी
- प्रत्येक
- हर जगह
- व्यायाम
- विशेषज्ञ
- विशेषज्ञों
- अनावरण
- फॉल्स
- तेजी से रफ़्तार
- फर्मों
- प्रथम
- पहली बार
- के लिए
- प्रपत्र
- से
- गार्डनर
- गार्टनर
- सामान्य जानकारी
- आम तौर पर
- मिल
- दी
- वैश्विक
- लक्ष्यों
- समूह
- बढ़ रहा है
- गार्ड
- हैकिंग
- है
- he
- मदद
- एचटीएमएल
- HTTPS
- प्रभाव
- in
- अन्य में
- घटना
- घटना की प्रतिक्रिया
- सहित
- वृद्धि हुई
- बदनाम
- संक्रमित
- प्रभाव
- करें-
- सूचना सुरक्षा
- एकीकृत
- ईमानदारी
- में
- प्रतिसाद नहीं
- जारी किए गए
- IT
- जापान
- जेपीजी
- कुंजी
- जानने वाला
- कोरिया
- भाषा
- पिछली बार
- पिछले साल
- देर से
- ताज़ा
- लाजास्र्स
- लाजर समूह
- नेता
- नेताओं
- वैध
- कम
- पसंद
- सीमित
- जुड़ा हुआ
- देख
- कम
- मशीनें
- बनाना
- बनाता है
- निर्माण
- दुर्भावनापूर्ण
- मैलवेयर
- प्रबंधक
- प्रबंध
- मई..
- साधन
- माप
- गलती
- कम करना
- महीना
- अधिक
- नाम
- नामों
- नहीं
- गैर देशी
- उत्तर
- उत्तर कोरिया
- नोट्स
- संख्या
- of
- अधिकारी
- on
- केवल
- पर
- भार
- खुला
- खुला स्रोत
- or
- संगठनों
- अन्य
- आउट
- के ऊपर
- पैकेज
- संकुल
- भागों
- हठ
- पाइपलाइन
- मंच
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- अंक
- उपस्थिति
- दबाव
- को रोकने के
- निजी
- प्रक्रियाओं
- परियोजना
- रक्षात्मक
- प्रदाताओं
- उद्देश्य
- अजगर
- Ransomware
- तेजी
- पहुंच
- हाल ही में
- क्षेत्र
- क्षेत्रीय
- क्षेत्रों
- रजिस्ट्रियों
- रिश्ते
- भरोसा करना
- रिपोर्ट
- कोष
- की आवश्यकता होती है
- अनुसंधान
- उपयुक्त संसाधन चुनें
- प्रतिक्रिया
- बहाल
- प्रकट
- समीक्षा
- कठिन
- जोखिम
- जोखिम
- s
- कहा
- कहना
- कहते हैं
- सुरक्षा
- देखना
- वरिष्ठ
- सेवा
- साझा
- चाहिए
- समान
- के बाद से
- So
- सॉफ्टवेयर
- सॉफ्टवेयर विकास
- सॉफ्टवेयर आपूर्ति श्रृंखला
- कुछ
- कुछ
- परिष्कृत
- स्रोत
- वक्ताओं
- खोलना
- स्टार्टअप
- कदम
- अजनबी
- रणनीतियों
- ऐसा
- आपूर्ति
- आपूर्ति श्रृंखला
- समर्थित
- बढ़ी
- सिस्टम
- युक्ति
- लेना
- को लक्षित
- टीम
- टीमों
- तकनीक
- टेक्नोलॉजीज
- करते हैं
- परीक्षण
- से
- कि
- RSI
- पश्चिम
- दुनिया
- लेकिन हाल ही
- इन
- इसका
- उन
- धमकी
- खतरों के खिलाड़ी
- यहाँ
- मज़बूती से
- पहर
- बार
- सेवा मेरे
- आज
- एक साथ
- टूलकिट
- उपकरण
- धोखा दिया
- ट्रोजन
- ट्रस्ट
- विश्वस्त
- दो बार
- टाइप
- प्रकार
- आम तौर पर
- जाहिर है
- अपलोड की गई
- प्रयुक्त
- उपयोगकर्ताओं
- का उपयोग
- मान्य
- VET
- जागरूकता
- कमजोरियों
- आगाह
- चेतावनी
- चेतावनी दी है
- था
- we
- कमजोर
- थे
- पश्चिम
- कब
- कौन कौन से
- कौन
- खिड़कियां
- साथ में
- काम
- एक साथ काम करो
- विश्व
- दुनिया भर
- होगा
- वर्ष
- जेफिरनेट