अत्यधिक अस्पष्ट दुर्भावनापूर्ण पायथन और जावास्क्रिप्ट कोड वाले चार पैकेज इस सप्ताह नोड पैकेज मैनेजर (एनपीएम) रिपॉजिटरी में खोजे गए थे।
एक के अनुसार रिपोर्ट
कैस्परस्की से, दुर्भावनापूर्ण पैकेज "वोल्ट स्टीलर" और "लोफी स्टीलर" मैलवेयर फैलाते हैं, अपने पीड़ितों से डिस्कॉर्ड टोकन और क्रेडिट कार्ड की जानकारी सहित जानकारी एकत्र करते हैं, और समय के साथ उन पर जासूसी करते हैं।
वोल्ट स्टीलर का उपयोग चोरी करने के लिए किया जाता है कलह टोकन और संक्रमित कंप्यूटरों से लोगों के आईपी पते प्राप्त करते हैं, जिन्हें HTTP के माध्यम से दुर्भावनापूर्ण अभिनेताओं पर अपलोड किया जाता है।
लोफी स्टीलर, एक नया विकसित खतरा, डिस्कॉर्ड क्लाइंट फ़ाइलों को संक्रमित कर सकता है और पीड़ित के कार्यों की निगरानी कर सकता है। उदाहरण के लिए, मैलवेयर तब पता लगाता है जब कोई उपयोगकर्ता लॉग इन करता है, ईमेल या पासवर्ड विवरण बदलता है, या मल्टीफैक्टर प्रमाणीकरण (एमएफए) को सक्षम या अक्षम करता है। यह इस पर भी नज़र रखता है कि कोई उपयोगकर्ता नई भुगतान विधियाँ कब जोड़ता है, और संपूर्ण क्रेडिट कार्ड विवरण एकत्र करेगा। एकत्रित जानकारी को फिर एक दूरस्थ समापन बिंदु पर अपलोड किया जाता है।
पैकेज के नाम "स्मॉल-एसएम," "पर्न-वैलिड्स," "लाइफक्यूलर," और "प्रो-टाइटल" हैं। जबकि एनपीएम ने उन्हें रिपॉजिटरी से हटा दिया है, किसी भी डेवलपर के एप्लिकेशन जिन्होंने उन्हें पहले ही डाउनलोड कर लिया है, खतरा बने हुए हैं।
डिस्कॉर्ड टोकन को हैक करना
डिस्कॉर्ड को लक्षित करने से बहुत अधिक पहुंच मिलती है क्योंकि चोरी हुए डिस्कॉर्ड टोकन का उपयोग पीड़ितों के दोस्तों पर स्पीयर-फ़िशिंग प्रयासों के लिए किया जा सकता है। लेकिन फोर्टिनेट के फोर्टीगार्ड लैब्स में मुख्य सुरक्षा रणनीतिकार और वैश्विक खतरे की खुफिया जानकारी के उपाध्यक्ष डेरेक मैनकी बताते हैं कि मल्टीमीडिया संचार प्लेटफॉर्म के उपयोग के आधार पर हमले की सतह निश्चित रूप से संगठनों के बीच भिन्न होगी।
उन्होंने बताया, "खतरे का स्तर टियर 1 के प्रकोप जितना ऊंचा नहीं होगा जैसा कि हमने अतीत में देखा है - उदाहरण के लिए, लॉग 4 जे - इन वैक्टरों से जुड़ी हमले की सतह के आसपास की अवधारणाओं के कारण।"
डिस्कोर्ड के उपयोगकर्ताओं के पास इस प्रकार के हमलों से खुद को बचाने के विकल्प हैं: "बेशक, लक्षित किसी भी एप्लिकेशन की तरह, किल चेन को कवर करना जोखिम और खतरे के स्तर को कम करने के लिए एक प्रभावी उपाय है," मैनकी कहते हैं।
इसका मतलब है कि उपयोगकर्ता प्रोफाइल, नेटवर्क विभाजन और बहुत कुछ के अनुसार डिस्कॉर्ड के उचित उपयोग के लिए नीतियां स्थापित करना।
एनपीएम को सॉफ्टवेयर आपूर्ति श्रृंखला हमलों के लिए क्यों लक्षित किया जाता है?
एनपीएम सॉफ्टवेयर पैकेज रिपॉजिटरी में 11 मिलियन से अधिक उपयोगकर्ता हैं और इसके द्वारा होस्ट किए जाने वाले पैकेजों के दसियों अरब डाउनलोड हैं। इसका उपयोग अनुभवी Node.js डेवलपर्स और अन्य गतिविधियों के हिस्से के रूप में इसे आकस्मिक रूप से उपयोग करने वाले लोगों द्वारा किया जाता है।
ओपन सोर्स एनपीएम मॉड्यूल का उपयोग Node.js उत्पादन अनुप्रयोगों और उन अनुप्रयोगों के लिए डेवलपर टूलिंग दोनों में किया जाता है जो अन्यथा Node का उपयोग नहीं करते हैं। यदि कोई डेवलपर किसी एप्लिकेशन को बनाने के लिए अनजाने में एक दुर्भावनापूर्ण पैकेज खींचता है, तो वह मैलवेयर उस एप्लिकेशन के अंतिम उपयोगकर्ताओं को लक्षित कर सकता है। इस प्रकार, इस तरह के सॉफ़्टवेयर आपूर्ति श्रृंखला हमले किसी व्यक्तिगत कंपनी को लक्षित करने की तुलना में कम प्रयास में अधिक पहुंच प्रदान करते हैं।
कोड सुरक्षा समाधान प्रदाता ब्लूब्रैकेट में उत्पाद और डेवलपर सक्षमता के प्रमुख केसी बिस्सन कहते हैं, "डेवलपर्स के बीच इसका सर्वव्यापी उपयोग इसे एक बड़ा लक्ष्य बनाता है।"
बिसन का कहना है कि एनपीएम न केवल बड़ी संख्या में लक्ष्यों के लिए एक आक्रमण वेक्टर प्रदान करता है, बल्कि यह लक्ष्य स्वयं अंतिम उपयोगकर्ताओं से आगे तक फैलता है।
उन्होंने आगे कहा, "उद्यमों और व्यक्तिगत डेवलपर्स दोनों के पास अक्सर औसत आबादी की तुलना में अधिक संसाधन होते हैं, और डेवलपर की मशीन या एंटरप्राइज सिस्टम में बीचहेड हासिल करने के बाद पार्श्व हमले भी आम तौर पर फलदायी होते हैं।"
कंटेनरों के लिए सुरक्षा और अवलोकन प्रदाता, टाइगरा के वरिष्ठ सुरक्षा शोधकर्ता गारवुड पैंग बताते हैं कि जबकि एनपीएम जावास्क्रिप्ट के लिए सबसे लोकप्रिय पैकेज प्रबंधकों में से एक प्रदान करता है, हर कोई इसका उपयोग करने में समझदार नहीं है।
"यह डेवलपर्स को अपने कोड को बढ़ाने के लिए ओपन सोर्स पैकेजों की एक विशाल लाइब्रेरी तक पहुंच की अनुमति देता है," वे कहते हैं। "हालांकि, उपयोग में आसानी और लिस्टिंग की मात्रा के कारण, एक अनुभवहीन डेवलपर उनकी जानकारी के बिना आसानी से दुर्भावनापूर्ण पैकेज आयात कर सकता है।"
हालाँकि, किसी दुर्भावनापूर्ण पैकेज की पहचान करना कोई आसान काम नहीं है। सिनोप्सिस साइबर सिक्योरिटी रिसर्च सेंटर के प्रमुख सुरक्षा रणनीतिकार टिम मैके एक विशिष्ट NodeJS पैकेज बनाने वाले घटकों की विशाल मात्रा का हवाला देते हैं।
वे कहते हैं, "किसी भी कार्यक्षमता के सही कार्यान्वयन की पहचान करने में सक्षम होना तब चुनौती होती है जब एक ही समस्या के कई अलग-अलग वैध समाधान होते हैं।" “एक दुर्भावनापूर्ण कार्यान्वयन जोड़ें जिसे अन्य घटकों द्वारा संदर्भित किया जा सकता है, और आपको एक नुस्खा मिल गया है जहां किसी के लिए यह निर्धारित करना मुश्किल है कि वे जिस घटक का चयन कर रहे हैं वह बॉक्स पर जो कहता है वह करता है और इसमें अवांछनीय शामिल या संदर्भ नहीं है कार्यक्षमता।"
एनपीएम से अधिक: सॉफ्टवेयर आपूर्ति श्रृंखला पर हमले बढ़ रहे हैं
प्रमुख आपूर्ति श्रृंखला हमलों में एक हुआ है महत्वपूर्ण प्रभाव सॉफ़्टवेयर सुरक्षा जागरूकता और निर्णय लेने पर, हमले की सतहों की निगरानी के लिए अधिक निवेश की योजना बनाई गई है।
मैके बताते हैं कि सॉफ़्टवेयर आपूर्ति श्रृंखलाएं हमेशा लक्ष्य रही हैं, खासकर जब कोई शॉपिंग कार्ट या डेवलपमेंट टूलिंग जैसे ढांचे को लक्षित करने वाले हमलों को देखता है।
वे कहते हैं, "हम हाल ही में जो देख रहे हैं वह यह मान्यता है कि जिन हमलों को हम मैलवेयर या डेटा उल्लंघन के रूप में वर्गीकृत करते थे, वे वास्तव में उन संगठनों द्वारा किए गए सॉफ़्टवेयर में विश्वास के साथ समझौता हैं जो वे बना रहे हैं और उपभोग कर रहे हैं।"
मैके का यह भी कहना है कि कई लोगों ने यह मान लिया कि किसी विक्रेता द्वारा बनाया गया सॉफ़्टवेयर पूरी तरह से उस विक्रेता द्वारा लिखा गया था, लेकिन, वास्तव में, सैकड़ों तृतीय-पक्ष लाइब्रेरीज़ भी हो सकती हैं जो सबसे सरल सॉफ़्टवेयर बना सकती हैं - जैसा कि सामने आया Log4j विफलता.
वे कहते हैं, "वे लाइब्रेरी एप्लिकेशन के लिए सॉफ़्टवेयर आपूर्ति श्रृंखला के भीतर प्रभावी रूप से आपूर्तिकर्ता हैं, लेकिन किसी भी आपूर्तिकर्ता का उपयोग करने का निर्णय फीचर समस्या को हल करने वाले डेवलपर द्वारा किया गया था, न कि व्यावसायिक जोखिमों पर ध्यान केंद्रित करने वाले व्यवसायी द्वारा।"
इसने कार्यान्वयन के लिए कॉल को प्रेरित किया है सामग्री के सॉफ्टवेयर बिल (एसबीओएम). और, मई में, MITER शुभारंभ
सूचना और संचार प्रौद्योगिकी (आईसीटी) के लिए एक प्रोटोटाइप ढांचा जो सॉफ्टवेयर सहित आपूर्ति श्रृंखला पर जोखिम और सुरक्षा चिंताओं को परिभाषित और परिमाणित करता है।
