LofyGang دھمکی دینے والا گروپ 200 سے زیادہ نقصان دہ NPM پیکجز کا استعمال کر رہا ہے جن میں ہزاروں تنصیبات ہیں، کریڈٹ کارڈ ڈیٹا، اور گیمنگ اور سٹریمنگ اکاؤنٹس چوری کرنے کے لیے، چوری شدہ اسناد کو پھیلانے اور زیر زمین ہیکنگ فورمز میں لوٹ مار کرنے سے پہلے۔
چیک مارکس کی ایک رپورٹ کے مطابق، سائبر اٹیک گروپ 2020 سے کام کر رہا ہے، جو اوپن سورس سپلائی چینز کو متاثر کر رہا ہے۔ بدنیتی پر مبنی پیکجز سافٹ ویئر ایپلی کیشنز کو ہتھیار بنانے کی کوشش میں۔
تحقیقی ٹیم کا خیال ہے کہ برازیلی پرتگالی زبان کے استعمال اور "brazil.js" نامی فائل کی وجہ سے اس گروپ کی اصلیت برازیلی ہو سکتی ہے۔ جس میں مالویئر موجود تھا جو ان کے کچھ نقصان دہ پیکجوں میں پایا جاتا تھا۔
رپورٹ میں گروپ کے ہزاروں Disney+ اور Minecraft اکاؤنٹس کو ایک زیر زمین ہیکنگ کمیونٹی کو عرف DyPolarLofy کا استعمال کرتے ہوئے لیک کرنے اور GitHub کے ذریعے اپنے ہیکنگ ٹولز کو فروغ دینے کے حربے کی بھی تفصیل دی گئی ہے۔
"ہم نے بدنیتی پر مبنی پے لوڈز، عام پاس ورڈ چوری کرنے والے، اور ڈسکارڈ سے مخصوص مسلسل میلویئر کی کئی کلاسیں دیکھی ہیں۔ کچھ پیکج کے اندر سرایت کر گئے تھے، اور کچھ نے C2 سرورز سے رن ٹائم کے دوران بدنیتی پر مبنی پے لوڈ ڈاؤن لوڈ کیا۔ جمعہ کی رپورٹ نوٹ کیا
لوفی گینگ استثنیٰ کے ساتھ کام کرتا ہے۔
گروپ نے ہتھکنڈوں کو متعین کیا ہے جس میں typosquatting شامل ہے، جو اوپن سورس سپلائی چین میں ٹائپنگ کی غلطیوں کے ساتھ ساتھ "StarJacking" کو نشانہ بناتا ہے، جس کے تحت پیکیج کا GitHub ریپو یو آر ایل ایک غیر متعلقہ جائز GitHub پروجیکٹ سے منسلک ہے۔
"پیکیج مینیجر اس حوالہ کی درستگی کی توثیق نہیں کرتے ہیں، اور ہم دیکھتے ہیں کہ حملہ آور اپنے پیکج کی گٹ ریپوزٹری کو جائز اور مقبول بتا کر اس کا فائدہ اٹھاتے ہیں، جو شکار کو یہ سوچنے پر مجبور کر سکتا ہے کہ یہ اس کے نام نہاد پیکج کی وجہ سے ایک جائز پیکج ہے۔ مقبولیت، "رپورٹ میں کہا گیا.
چیک مارکس کے سپلائی چین سیکیورٹی انجینئرنگ گروپ کے سربراہ جوزف ہاروش کی وضاحت کرتے ہوئے، اوپن سورس سافٹ ویئر کی ہر جگہ اور کامیابی نے اسے LofyGang جیسے بدنیتی پر مبنی اداکاروں کے لیے ایک پکا ہدف بنا دیا ہے۔
وہ LofyGang کی کلیدی خصوصیات کو دیکھتا ہے جس میں ایک بڑی ہیکر کمیونٹی بنانے کی صلاحیت، کمانڈ اینڈ کنٹرول (C2) سرورز کے طور پر جائز خدمات کا غلط استعمال، اور اوپن سورس ایکو سسٹم کو زہر آلود کرنے میں اس کی کوششیں شامل ہیں۔
یہ سرگرمی تین مختلف رپورٹس کے بعد بھی جاری ہے۔ سوناٹائپ, سیکیورسٹ، اور jFrog - LofyGang کی بدنیتی پر مبنی کوششوں کا پردہ فاش کیا۔
"وہ متحرک رہتے ہیں اور سافٹ ویئر سپلائی چین کے میدان میں بدنیتی پر مبنی پیکجز شائع کرتے رہتے ہیں،" وہ کہتے ہیں۔
اس رپورٹ کو شائع کرکے، ہاروش کا کہنا ہے کہ وہ حملہ آوروں کے ارتقاء کے بارے میں بیداری پیدا کرنے کی امید رکھتے ہیں، جو اب اوپن سورس ہیک ٹولز کے ساتھ کمیونٹیز بنا رہے ہیں۔
"حملہ آور متاثرین پر بھروسہ کرتے ہیں کہ تفصیلات پر خاطر خواہ توجہ نہیں دیتے،" وہ مزید کہتے ہیں۔ "اور ایمانداری سے، یہاں تک کہ میں، برسوں کے تجربے کے ساتھ، ممکنہ طور پر ان میں سے کچھ چالوں کا شکار ہو جاؤں گا کیونکہ وہ ننگی آنکھوں کو جائز پیکجوں کی طرح لگتے ہیں۔"
اوپن سورس سیکیورٹی کے لیے نہیں بنایا گیا ہے۔
ہاروش بتاتے ہیں کہ بدقسمتی سے اوپن سورس ایکو سسٹم سیکیورٹی کے لیے نہیں بنایا گیا تھا۔
"جبکہ کوئی بھی اوپن سورس پیکج کو سائن اپ کر کے شائع کر سکتا ہے، لیکن یہ جانچنے کے لیے کوئی جانچ کا عمل نہیں ہے کہ آیا پیکج میں بدنیتی پر مبنی کوڈ ہے،" وہ کہتے ہیں۔
ایک حالیہ رپورٹ سافٹ ویئر سیکیورٹی فرم Snyk اور لینکس فاؤنڈیشن نے انکشاف کیا کہ تقریباً نصف فرموں کے پاس ایک اوپن سورس سافٹ ویئر سیکیورٹی پالیسی ہے جو ڈویلپرز کو اجزاء اور فریم ورک کے استعمال میں رہنمائی کرتی ہے۔
تاہم، رپورٹ میں یہ بھی پتہ چلا ہے کہ جن کے پاس ایسی پالیسیاں ہیں وہ عام طور پر بہتر سیکیورٹی کی نمائش کرتے ہیں — گوگل ہے۔ دستیاب کرنا ہیکرز کے قریب پہنچنے میں مدد کے لیے سیکیورٹی کے مسائل کے لیے سافٹ ویئر کی جانچ اور پیچ کرنے کا عمل۔
"ہم دیکھتے ہیں کہ حملہ آور اس کا فائدہ اٹھاتے ہیں کیونکہ بدنیتی پر مبنی پیکجز شائع کرنا بہت آسان ہے،" وہ بتاتے ہیں۔ "چوری شدہ تصاویر، ملتے جلتے ناموں، یا یہاں تک کہ دیگر جائز گٹ پروجیکٹس کی ویب سائٹس کا حوالہ دینے کے لیے پیکجز کو چھپانے میں جانچ کے اختیارات کی کمی صرف یہ دیکھنے کے لیے کہ وہ اپنے بدنیتی پر مبنی پیکجز کے صفحات پر دوسرے پروجیکٹس کے ستاروں کی رقم حاصل کرتے ہیں۔"
سپلائی چین حملوں کی طرف بڑھ رہے ہیں؟
ہاروش کے نقطہ نظر سے، ہم اس مقام پر پہنچ رہے ہیں جہاں حملہ آوروں کو اوپن سورس سپلائی چین حملے کی سطح کی مکمل صلاحیت کا احساس ہوتا ہے۔
"میں توقع کرتا ہوں کہ اوپن سورس سپلائی چین کے حملے مزید حملہ آوروں کی شکل اختیار کریں گے جن کا مقصد نہ صرف متاثرہ کا کریڈٹ کارڈ، بلکہ متاثرہ کے کام کی جگہ کی اسناد، جیسے کہ GitHub اکاؤنٹ، اور وہاں سے، سافٹ ویئر سپلائی چین حملوں کے بڑے جیک پاٹس کا ہدف بنانا ہے۔ ،" وہ کہتے ہیں.
اس میں کام کی جگہ کے پرائیویٹ کوڈ ریپوزٹریز تک رسائی کی صلاحیت شامل ہوگی، جس میں شکار کی نقالی کرتے ہوئے کوڈ میں حصہ ڈالنے کی صلاحیت، انٹرپرائز گریڈ سافٹ ویئر میں بیک ڈور لگانا، اور بہت کچھ شامل ہوگا۔
ہاروش نے مزید کہا، "تنظیمیں اپنے ڈویلپرز کو دو عنصر کی تصدیق کے ساتھ مناسب طریقے سے نافذ کر کے اپنی حفاظت کر سکتی ہیں، اپنے سافٹ ویئر ڈویلپرز کو یہ سمجھ نہیں سکتیں کہ مقبول اوپن سورس پیکجز محفوظ ہیں اگر ان میں بہت سے ڈاؤن لوڈز یا ستارے نظر آتے ہیں،" ہاروش نے مزید کہا، "اور مشتبہ چیزوں سے چوکنا رہنا۔ سافٹ ویئر پیکجوں میں سرگرمیاں۔
