কিছু দিন আগে রিভার্সিংল্যাবসের গবেষকরা প্রকাশ করেছেন একটি ব্লগ পোস্টের মাধ্যমে, টাইপস্কোটিং ব্যবহারের বিশ্লেষণের ফলাফল রুবিগেমস সংগ্রহস্থলটিতে। সাধারণত টাইপসকোটিং দূষিত প্যাকেজ বিতরণ করতে ব্যবহৃত অমনোযোগী বিকাশকারীকে টাইপ করতে বা পার্থক্যটি লক্ষ্য না করার জন্য নকশাকৃত।
সমীক্ষায় 700 টিরও বেশি প্যাকেজ প্রকাশ করা হয়েছে, সিতাদের নামগুলি জনপ্রিয় প্যাকেজগুলির মতো এবং ছোটখাটো বিবরণে পৃথক, উদাহরণস্বরূপ, অনুরূপ বর্ণগুলি প্রতিস্থাপন করা বা হাইফেনের পরিবর্তে আন্ডারস্কোর ব্যবহার করা।
এই ধরনের ব্যবস্থা এড়াতে, দূষিত লোকেরা সর্বদা নতুন আক্রমণকারী ভেক্টর সন্ধান করে। সফ্টওয়্যার সরবরাহের চেইন আক্রমণ নামে পরিচিত এমন একটি ভেক্টর ক্রমশ জনপ্রিয় হয়ে উঠছে।
যে প্যাকেজগুলি বিশ্লেষণ করা হয়েছিল, তার মধ্যে এটি উল্লেখ করা হয়েছিল 400 টিরও বেশি প্যাকেজগুলি সন্দেহজনক উপাদানযুক্ত হিসাবে চিহ্নিত করা হয়েছিল dই দূষিত ক্রিয়াকলাপ। বিশেষত, মধ্যে ফাইলটি ছিল aaa.png, যা পিই ফর্ম্যাটে এক্সিকিউটেবল কোড অন্তর্ভুক্ত করে।
প্যাকেজ সম্পর্কে
দূষিত প্যাকেজগুলিতে একটি পিএনজি ফাইল অন্তর্ভুক্ত ছিল যাতে এক্সিকিউটেবল ফাইল থাকে containing উইন্ডোজ প্ল্যাটফর্মের জন্য একটি চিত্রের পরিবর্তে। ফাইলটি ওকরা রুবি 2 এক্সেক্স ইউটিলিটি ব্যবহার করে তৈরি করা হয়েছিল এবং এতে অন্তর্ভুক্ত রয়েছে একটি রুবি স্ক্রিপ্ট এবং একটি রুবি ইন্টারপ্রেটার সহ একটি স্ব-উত্তোলন সংরক্ষণাগার.
প্যাকেজ ইনস্টল করার সময়, পিএনজি ফাইলটির নাম বদলে নামকরণ করা হয়েছিল এবং এটি শুরু হয়েছিল। ফাঁসির সময়, একটি ভিবিএস স্ক্রিপ্ট ফাইল তৈরি করা হয়েছিল এবং অটোস্টার্টে যুক্ত করা হয়েছিল.
লুপে উল্লিখিত দূষিত ভিবিএস স্ক্রিপ্ট ক্রিপ্টো ওয়ালেট ঠিকানার অনুরূপ তথ্যের জন্য ক্লিপবোর্ড সামগ্রীটি স্ক্যান করেছিল এবং সনাক্তকরণের ক্ষেত্রে, ওয়ালেট নম্বরটি প্রত্যাশার সাথে প্রতিস্থাপন করে যে ব্যবহারকারী এই পার্থক্য লক্ষ্য করবেন না এবং তহবিলগুলি ভুল ওয়ালেটে স্থানান্তর করবে।
টাইপোসকাটিং বিশেষ আকর্ষণীয়। এই ধরণের আক্রমণ ব্যবহার করে তারা ইচ্ছাকৃতভাবে যতটা সম্ভব জনপ্রিয়গুলির অনুরূপ দূষিত প্যাকেজগুলির নাম রাখে, এই আশায় যে কোনও সন্দেহাতীত ব্যবহারকারী নামটি ভুল বানান করবে এবং অনিচ্ছাকৃতভাবে দূষিত প্যাকেজটি ইনস্টল করবে।
সমীক্ষায় দেখা গেছে যে সর্বাধিক জনপ্রিয় একটি সংগ্রহস্থলটিতে দূষিত প্যাকেজ যুক্ত করা কঠিন নয় উল্লেখযোগ্য সংখ্যক ডাউনলোড সত্ত্বেও এই প্যাকেজগুলি লক্ষ্য করা যায় না। এটি লক্ষ করা উচিত যে বিষয়টি রুবিগেমগুলির জন্য সুনির্দিষ্ট নয় এবং অন্যান্য জনপ্রিয় সংগ্রহস্থলের ক্ষেত্রে প্রযোজ্য।
উদাহরণস্বরূপ, গত বছর, একই গবেষকরা চিহ্নিত করেছিলেন এর ভাণ্ডার এনপিএম একটি দূষিত বিবি-বিল্ডার প্যাকেজ যা একই কৌশল ব্যবহার করে পাসওয়ার্ড চুরি করতে একটি এক্সিকিউটেবল ফাইল চালাতে। এর আগে, ইভেন্ট স্ট্রিম এনপিএম প্যাকেজের উপর নির্ভর করে একটি পিছনের অংশ পাওয়া গেছে এবং দূষিত কোডটি প্রায় 8 মিলিয়ন বার ডাউনলোড হয়েছিল was ক্ষতিকারক প্যাকেজগুলি পিআইপিআই সংগ্রহস্থলগুলিতে পর্যায়ক্রমে উপস্থিত হয়।
এই প্যাকেজগুলি তারা দুটি অ্যাকাউন্টের সাথে যুক্ত ছিল যার মাধ্যমে, ফেব্রুয়ারী 16 থেকে 25 ফেব্রুয়ারী 2020 পর্যন্ত 724 দূষিত প্যাকেট প্রকাশিত হয়েছিলরুবিগেমসগুলিতে মোট যে প্রায় 95 হাজার বার ডাউনলোড হয়েছিল।
গবেষকরা রুবিগেমস প্রশাসনকে জানিয়ে দিয়েছেন এবং চিহ্নিত ম্যালওয়্যার প্যাকেজগুলি ইতিমধ্যে ভান্ডার থেকে সরিয়ে দেওয়া হয়েছে।
এই আক্রমণগুলি পরোক্ষভাবে তৃতীয় পক্ষের বিক্রেতাদের আক্রমণ করে সংগঠনগুলিকে হুমকি দেয় যা তাদের সফ্টওয়্যার বা পরিষেবা সরবরাহ করে। যেহেতু এই জাতীয় বিক্রেতাদের সাধারণত বিশ্বস্ত প্রকাশক হিসাবে বিবেচনা করা হয়, তাই সংস্থাগুলি তাদের প্যাকেজগুলি সত্যই ম্যালওয়্যার মুক্ত কিনা তা যাচাই করে কম সময় ব্যয় করে।
চিহ্নিত সমস্যা প্যাকেজগুলির মধ্যে সর্বাধিক জনপ্রিয় ছিল এটলাস-ক্লায়েন্ট, যা প্রথম নজরে বৈধ atlas_client প্যাকেজ থেকে প্রায় পৃথক পৃথক। নির্দিষ্ট প্যাকেজটি 2100 বার ডাউনলোড করা হয়েছিল (সাধারণ প্যাকেজটি 6496 বার ডাউনলোড হয়েছিল, অর্থাৎ ব্যবহারকারীরা প্রায় 25% ক্ষেত্রে এটি ভুল পেয়েছেন)।
বাকী প্যাকেজগুলি গড়ে 100-150 বার ডাউনলোড হয়েছে এবং অন্যান্য প্যাকেজগুলির জন্য ছদ্মবেশযুক্ত একই আন্ডারলাইনিং এবং হাইফেন প্রতিস্থাপন কৌশল ব্যবহার করে (উদাহরণস্বরূপ, দূষিত প্যাকেটের মধ্যে: অ্যাপিয়াম-লিবিব, অ্যাকশন-মেলার_ক্যাচি_ডেলিভারি, অ্যাক্টিভ মডেল_অডিয়েটরিটারস, এসিইডোকটর_গ্রন্থচিত্র, সম্পদ-পাইপলাইন, সম্পদ-বৈধকরণকারী, আর_অক্টোপাস- প্রতিলিপি ট্র্যাকিং, আলিয়ুন-ওপেন_সার্চ, আলিয়ুন-এমএনএস, অ্যাব_স্প্লিট, অ্যাপস-পলিট).
আপনি যদি সমীক্ষা চালিত সম্পর্কে আরও জানতে চান তবে আপনি বিশদে বিশদটি নিয়ে পরামর্শ নিতে পারেন নিম্নলিখিত লিঙ্ক.