.NET सॉफ़्टवेयर डेवलपर्स के लिए NuGet रिपॉजिटरी पर होस्ट किए गए बेकर के दर्जनों पैकेज वास्तव में दुर्भावनापूर्ण ट्रोजन घटक हैं जो इंस्टॉलेशन सिस्टम से समझौता करेंगे और पिछले दरवाजे की कार्यक्षमता के साथ क्रिप्टो-चोरी मैलवेयर डाउनलोड करेंगे।
सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा फर्म JFrog ने 21 मार्च को प्रकाशित एक विश्लेषण में कहा कि 13 पैकेज, जिन्हें हटा दिया गया है, 166,000 से अधिक बार डाउनलोड किए गए हैं और कॉइनबेस और Microsoft ASP.NET जैसे अन्य वैध सॉफ़्टवेयर का प्रतिरूपण करते हैं। जेफ्रॉग ने हमले का पता तब लगाया जब कंपनी के शोधकर्ताओं ने एक फ़ाइल - init.ps1 - को इंस्टॉलेशन पर निष्पादित करते समय संदिग्ध गतिविधि देखी और फिर एक निष्पादन योग्य फ़ाइल डाउनलोड की और उसे चलाया।
दुर्भावनापूर्ण कोड की खोज इस बात पर प्रकाश डालती है कि हमलावर लापरवाह डेवलपर्स से समझौता करने के तरीके के रूप में सॉफ्टवेयर आपूर्ति श्रृंखला में आगे बढ़ रहे हैं, भले ही .NET और C# प्रोग्रामिंग भाषाएं हमलावरों के बीच कम जानी जाती हैं, ऐसा सुरक्षा अनुसंधान के निदेशक शचर मेनाशे का कहना है। जेफ्रॉग.
वे कहते हैं, "नुगेट पैकेज इंस्टाल पर दुर्भावनापूर्ण कोड को निष्पादित करने की तकनीकें, हालांकि मामूली हैं, पायथन या जावास्क्रिप्ट की तुलना में कम प्रलेखित हैं, और उनमें से कुछ को अप्रचलित कर दिया गया है, इसलिए कुछ नौसिखिए हमलावर सोच सकते हैं कि यह संभव नहीं है।" "और शायद NuGet के पास दुर्भावनापूर्ण पैकेजों की बेहतर स्वचालित फ़िल्टरिंग है।"
सॉफ़्टवेयर आपूर्ति श्रृंखला डेवलपर्स के सिस्टम से समझौता करने या डेवलपर्स के अनुप्रयोगों के माध्यम से अंतिम उपयोगकर्ता तक किसी का ध्यान न जाने वाले कोड को प्रसारित करने के प्रयासों के साथ हमलावरों द्वारा तेजी से लक्षित हो गई है। पायथन पैकेज इंडेक्स (पीईपीआई) और जावास्क्रिप्ट-केंद्रित नोड पैकेज मैनेजर (एनपीएम) पारिस्थितिकी तंत्र हैं बारंबार आपूर्ति श्रृंखला हमलों के लक्ष्य ओपन सोर्स प्रोजेक्ट्स को लक्षित करना।
.NET सॉफ़्टवेयर पारिस्थितिकी तंत्र पर हमला, जिसमें शामिल हैं लगभग 350,000 अद्वितीय पैकेजजेफ्रॉग के अनुसार, यह पहली बार है कि दुर्भावनापूर्ण पैकेजों ने नुगेट को लक्षित किया है, हालांकि कंपनी ने नोट किया कि एक स्पैमिंग अभियान था पहले डेवलपर्स को फ़िशिंग लिंक भेजे गए थे.
टाइपिंग स्क्वैटिंग अभी भी एक समस्या है
यह हमला इस बात को रेखांकित करता है कि टाइपोस्क्वैटिंग एक समस्या बनी हुई है। हमले की उस शैली में समान ध्वनि वाले नामों के साथ पैकेज बनाना शामिल है - या सामान्य वर्तनी त्रुटियों के साथ एक ही नाम - वैध के रूप में, इस उम्मीद में कि उपयोगकर्ता एक सामान्य पैकेज को गलत टाइप करेगा या त्रुटियों पर ध्यान नहीं देगा।
जेफ्रॉग शोधकर्ताओं का कहना है कि डेवलपर्स को नए पैकेजों को प्रोग्रामिंग प्रोजेक्ट में शामिल करने से पहले उन्हें अच्छी तरह से देख लेना चाहिए नतान नेहोराई और ब्रायन मौसल्ली ने ऑनलाइन सलाह में लिखा.
"भले ही NuGet रिपॉजिटरी में कोई पूर्व दुर्भावनापूर्ण-कोड हमले नहीं देखे गए थे, हम दुर्भावनापूर्ण कोड को प्रचारित करने के लिए टाइपोसक्वाटिंग जैसे तरीकों का उपयोग करके कम से कम एक हालिया अभियान के सबूत ढूंढने में सक्षम थे," उन्होंने लिखा। "अन्य रिपॉजिटरी की तरह, सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षित बनी रहे यह सुनिश्चित करने के लिए सॉफ़्टवेयर विकास जीवनचक्र के हर चरण पर सुरक्षा उपाय किए जाने चाहिए।"
तत्काल कोड निष्पादन समस्याग्रस्त है
शोधकर्ताओं ने कहा कि विकास उपकरणों द्वारा स्वचालित रूप से निष्पादित की जाने वाली फ़ाइलें एक सुरक्षा कमजोरी हैं और हमले के सतह क्षेत्र को कम करने के लिए इसे समाप्त या सीमित किया जाना चाहिए। यह कार्यक्षमता एक महत्वपूर्ण कारण है कि गो पैकेज पारिस्थितिकी तंत्र की तुलना में एनपीएम और पीईपीआई पारिस्थितिकी तंत्र में विषाक्तता के मुद्दे हैं।
JFrog शोधकर्ताओं ने ब्लॉग पोस्ट में कहा, "इस तथ्य के बावजूद कि खोजे गए दुर्भावनापूर्ण पैकेजों को NuGet से हटा दिया गया है, .NET डेवलपर्स अभी भी दुर्भावनापूर्ण कोड से उच्च जोखिम में हैं क्योंकि NuGet पैकेजों में अभी भी पैकेज इंस्टॉलेशन पर तुरंत कोड चलाने की सुविधाएं हैं।" . "[ए] हालांकि इसे बहिष्कृत कर दिया गया है, [एक आरंभीकरण] स्क्रिप्ट अभी भी विजुअल स्टूडियो द्वारा सम्मानित है और NuGet पैकेज स्थापित करते समय बिना किसी चेतावनी के चलेगी।"
जेफ्रॉग ने डेवलपर्स को आयातित और स्थापित पैकेजों में टाइपो की जांच करने की सलाह दी और कहा कि डेवलपर्स को यह सुनिश्चित करना चाहिए कि वे "गलती से उन्हें अपने प्रोजेक्ट में इंस्टॉल न करें, या निर्भरता के रूप में उनका उल्लेख न करें", कंपनी ने कहा।
इसके अलावा, डेवलपर्स को यह सुनिश्चित करने के लिए पैकेजों की सामग्री को देखना चाहिए कि कोई निष्पादन योग्य फ़ाइलें नहीं हैं जिन्हें डाउनलोड किया जा रहा है और स्वचालित रूप से निष्पादित किया जा रहा है। हालाँकि ऐसी फ़ाइलें कुछ सॉफ़्टवेयर इकोसिस्टम में आम हैं, लेकिन वे आमतौर पर दुर्भावनापूर्ण इरादे का संकेत होती हैं।
JFrog के मेनाशे का कहना है कि विभिन्न प्रकार के उपायों के माध्यम से, NuGet रिपॉजिटरी - साथ ही npm और PyPI - धीरे-धीरे, लेकिन निश्चित रूप से, सुरक्षा कमजोरियों को दूर कर रहे हैं।
"मुझे उम्मीद नहीं है कि भविष्य में NuGet अधिक लक्ष्य बन जाएगा, खासकर यदि NuGet अनुरक्षकों को पैकेज इंस्टाल पर कोड चलाने के लिए समर्थन को पूरी तरह से हटा देना था - जो कि वे पहले ही आंशिक रूप से कर चुके हैं," वे कहते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :है
- 000
- 7
- a
- योग्य
- अनुसार
- गतिविधि
- वास्तव में
- इसके अलावा
- पहले ही
- हालांकि
- के बीच में
- विश्लेषण
- और
- अनुप्रयोगों
- हैं
- क्षेत्र
- AS
- एएसपीनेट
- At
- आक्रमण
- आक्रमण
- प्रयास
- स्वचालित
- स्वतः
- पिछले दरवाजे
- BE
- बन
- से पहले
- जा रहा है
- बेहतर
- ब्लॉग
- ब्रायन
- by
- अभियान
- श्रृंखला
- चेक
- कोड
- coinbase
- सामान्य
- कंपनी
- तुलना
- घटकों
- समझौता
- शामिल
- अंतर्वस्तु
- जारी
- निर्भरता
- के बावजूद
- पता चला
- डेवलपर्स
- विकास
- विकास के औजार
- devs
- निदेशक
- की खोज
- खोज
- डाउनलोड
- दर्जन
- पारिस्थितिकी तंत्र
- पारिस्थितिकी प्रणालियों
- सफाया
- नष्ट
- सुनिश्चित
- त्रुटियाँ
- विशेष रूप से
- और भी
- प्रत्येक
- सबूत
- निष्पादन
- उम्मीद
- पट्टिका
- फ़ाइलें
- छानने
- खोज
- फर्म
- प्रथम
- पहली बार
- के लिए
- से
- पूरी तरह से
- कार्यक्षमता
- आगे
- भविष्य
- मिल
- देना
- Go
- अच्छा
- है
- हाई
- हाइलाइट
- सम्मानित
- उम्मीद है
- मेजबानी
- HTTPS
- i
- तुरंत
- in
- सहित
- तेजी
- अनुक्रमणिका
- संकेत
- स्थापित
- installed
- स्थापित कर रहा है
- इरादा
- मुद्दों
- IT
- जावास्क्रिप्ट
- जेपीजी
- जानने वाला
- भाषाऐं
- कमतर
- जीवन चक्र
- सीमित
- लिंक
- देखिए
- बनाना
- मैलवेयर
- प्रबंधक
- मार्च
- उपायों
- तरीकों
- माइक्रोसॉफ्ट
- अधिक
- नाम
- नामों
- लगभग
- जाल
- नया
- नोड
- विख्यात
- नौसिखिया
- of
- on
- ONE
- ऑनलाइन
- खुला
- खुला स्रोत
- अन्य
- पैकेज
- संकुल
- शायद
- फ़िशिंग
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- संभव
- पद
- पूर्व
- मुसीबत
- प्रोग्रामिंग
- प्रोग्रामिंग की भाषाएँ
- परियोजना
- परियोजनाओं
- प्रकाशित
- धकेल दिया
- अजगर
- कारण
- हाल
- को कम करने
- बाकी है
- हटाना
- हटाया
- कोष
- अनुसंधान
- शोधकर्ताओं
- जोखिम
- रन
- दौड़ना
- s
- सुरक्षा
- कहा
- वही
- कहते हैं
- सुरक्षित
- सुरक्षा
- चाहिए
- महत्वपूर्ण
- समान
- के बाद से
- धीरे से
- So
- सॉफ्टवेयर
- सॉफ्टवेयर डेवलपर्स
- सॉफ्टवेयर विकास
- कुछ
- स्रोत
- वर्णित
- कदम
- फिर भी
- स्टूडियो
- अंदाज
- ऐसा
- आपूर्ति
- आपूर्ति श्रृंखला
- समर्थन
- निश्चित रूप से
- सतह
- संदेहजनक
- प्रणाली
- सिस्टम
- लक्ष्य
- लक्षित
- को लक्षित
- तकनीक
- कि
- RSI
- भविष्य
- लेकिन हाल ही
- उन
- यहाँ
- पहर
- बार
- सेवा मेरे
- उपकरण
- ट्रोजन
- अद्वितीय
- उपयोगकर्ता
- आमतौर पर
- विविधता
- देखें
- चेतावनी
- मार्ग..
- दुर्बलता
- कुंआ
- कौन कौन से
- जब
- मर्जी
- साथ में
- बिना
- जीत लिया
- जेफिरनेट