एक सुरक्षा विक्रेता द्वारा उन्हें इस मुद्दे के बारे में सूचित करने के बाद, पायथन पैकेज इंडेक्स (PyPI) के प्रशासकों ने रजिस्ट्री से 10 दुर्भावनापूर्ण सॉफ़्टवेयर कोड पैकेज हटा दिए हैं।
यह घटना हाल के उदाहरणों की तेजी से बढ़ती सूची में नवीनतम है जहां खतरे के अभिनेताओं ने कई संगठनों से समझौता करने के लक्ष्य के साथ व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर रिपॉजिटरी जैसे कि PyPI, नोड पैकेज मैनेजर (npm), और मावेन सेंट्रल पर दुष्ट सॉफ़्टवेयर रखा है। सुरक्षा विश्लेषकों ने इस प्रवृत्ति को सार्वजनिक रजिस्ट्रियों से तृतीय-पक्ष और ओपन सोर्स कोड डाउनलोड करते समय विकास टीमों को उचित परिश्रम करने की आवश्यकता को महत्वपूर्ण रूप से बढ़ाने के रूप में वर्णित किया है।
Check Point's Spectralops.io के शोधकर्ताओं ने PyPI पर दुर्भावनापूर्ण पैकेजों के इस नवीनतम सेट का खुलासा किया, और उन्हें सूचना-चोरी करने वाले मैलवेयर के लिए ड्रॉपर के रूप में पाया। पैकेज को वैध कोड की तरह दिखने के लिए डिज़ाइन किया गया था - और कुछ मामलों में PyPI पर अन्य लोकप्रिय पैकेजों की नकल की।
स्थापना लिपियों में दुर्भावनापूर्ण कोड
चेक प्वाइंट के शोधकर्ताओं ने पाया कि जिन खतरनाक अभिनेताओं ने रजिस्ट्री पर मैलवेयर रखा था, उन्होंने दुर्भावनापूर्ण कोड को इसमें एम्बेड किया था पैकेज स्थापना स्क्रिप्ट. इसलिए, जब कोई डेवलपर किसी भी दुष्ट पैकेज को स्थापित करने के लिए "पाइप" इंस्टॉल कमांड का उपयोग करता है, तो दुर्भावनापूर्ण कोड उपयोगकर्ता की मशीन पर किसी का ध्यान नहीं जाएगा और मैलवेयर ड्रॉपर स्थापित करेगा।
उदाहरण के लिए, "Ascii2text" नामक नकली पैकेजों में से एक में इंस्टॉलेशन स्क्रिप्ट (setup.py) द्वारा आयात की गई फ़ाइल (_init_.py) में दुर्भावनापूर्ण कोड था। जब एक डेवलपर ने पैकेज को स्थापित करने का प्रयास किया, तो कोड एक स्क्रिप्ट को डाउनलोड और निष्पादित करेगा जो स्थानीय पासवर्ड की खोज करता है, जिसे बाद में डिस्कॉर्ड सर्वर पर अपलोड किया जाता है। चेक प्वाइंट के अनुसार, दुर्भावनापूर्ण पैकेज को उसी नाम और विवरण के लोकप्रिय कला पैकेज की तरह दिखने के लिए डिज़ाइन किया गया था।
10 में से तीन दुष्ट पैकेज (Pyg-utils, Pymocks, और PyProto2) उसी खतरे वाले अभिनेता द्वारा विकसित किए गए प्रतीत होते हैं जिसने हाल ही में मैलवेयर को तैनात किया था एडब्ल्यूएस क्रेडेंशियल्स चोरी पीईपीआई पर। setup.py स्थापना प्रक्रिया के दौरान, उदाहरण के लिए, Py-Utils उसी दुर्भावनापूर्ण डोमेन से जुड़ा है जो AWS क्रेडेंशियल-चोरी अभियान में उपयोग किया गया है। हालाँकि, Pymocks और PyProto2 स्थापना प्रक्रिया के दौरान एक अलग दुर्भावनापूर्ण डोमेन से जुड़े थे, उनका कोड Pyg-utils के समान था, जिससे चेक प्वाइंट को विश्वास हो गया कि एक ही लेखक ने तीनों पैकेज बनाए हैं।
अन्य पैकेजों में एक संभावित मैलवेयर-डाउनलोडर शामिल है जिसे टेस्ट-एसिंक्स कहा जाता है जिसे परीक्षण कोड के लिए एक पैकेज माना जाता है; एक सेटअप.py स्थापना प्रक्रिया के दौरान उपयोगकर्ता क्रेडेंशियल्स की चोरी के लिए WINRPCexploit कहा जाता है; और पर्यावरण चर चुराने के लिए दो पैकेज (फ्री-नेट-वीपीएन और फ्री-नेट-वीपीएन 2)।
"यह आवश्यक है कि डेवलपर्स अपने कार्यों को सुरक्षित रखें, उपयोग में आने वाले प्रत्येक सॉफ़्टवेयर घटक की दोबारा जाँच करें और विशेष रूप से ऐसे जो विभिन्न रिपॉजिटरी से डाउनलोड किए जा रहे हैं," चेक प्वाइंट चेतावनी देता है।
सुरक्षा विक्रेता ने तुरंत जवाब नहीं दिया जब पूछा गया कि पीईपीआई रजिस्ट्री पर कितने समय से दुर्भावनापूर्ण पैकेज उपलब्ध हो सकते हैं या कितने लोगों ने उन्हें डाउनलोड किया हो सकता है।
बढ़ती आपूर्ति श्रृंखला एक्सपोजर
यह घटना सार्वजनिक रिपॉजिटरी से उचित पुनरीक्षण के बिना तीसरे पक्ष के कोड को डाउनलोड करने के बढ़ते खतरों को उजागर करने के लिए नवीनतम है।
अभी पिछले हफ्ते, सोनाटाइप ने खोज की सूचना दी रैंसमवेयर युक्त तीन पैकेज कि इटली में एक स्कूली उम्र के हैकर ने एक प्रयोग के हिस्से के रूप में PyPI पर अपलोड किया था। 250 से अधिक उपयोगकर्ताओं ने एक पैकेज डाउनलोड किया, जिनमें से 11 ने अपने कंप्यूटर पर फाइलों को एन्क्रिप्ट किया। उस उदाहरण में, पीड़ितों को फिरौती का भुगतान किए बिना डिक्रिप्शन कुंजी प्राप्त करने में सक्षम थे क्योंकि हैकर ने दुर्भावनापूर्ण इरादे से मैलवेयर को स्पष्ट रूप से अपलोड किया था।
हालांकि, ऐसे कई अन्य उदाहरण हैं जहां हमलावरों ने मैलवेयर वितरण के लिए लॉन्चिंग पैड के रूप में सार्वजनिक कोड रिपॉजिटरी का उपयोग किया है।
इस साल की शुरुआत में, सोनाटाइप ने पीपीपीआई पर कोबाल्ट स्ट्राइक अटैक किट डाउनलोड करने के लिए एक दुर्भावनापूर्ण पैकेज की खोज की। के बारे में 300 डेवलपर्स ने मैलवेयर डाउनलोड किया इससे पहले इसे हटा दिया गया था। जुलाई में, कास्परस्की के शोधकर्ताओं ने खोज की चार अत्यधिक अस्पष्ट सूचना चोरी करने वाले जावा प्रोग्रामर के लिए व्यापक रूप से उपयोग किए जाने वाले npm रिपॉजिटरी पर गुप्त।
इन रजिस्ट्रियों की व्यापक पहुंच के कारण हमलावरों ने तेजी से इन रजिस्ट्रियों को निशाना बनाना शुरू कर दिया है। उदाहरण के लिए, पीपीपीआई खत्म हो गया है 613,000 उपयोगकर्ताओं और साइट से कोड वर्तमान में दुनिया भर में 391,000 से अधिक परियोजनाओं में एम्बेड किया गया है। फॉर्च्यून 500 फर्मों, सॉफ्टवेयर प्रकाशकों और सरकारी एजेंसियों सहित सभी आकारों और प्रकारों के संगठन - अपने स्वयं के सॉफ़्टवेयर बनाने के लिए सार्वजनिक रिपॉजिटरी से कोड का उपयोग करते हैं।
