কয়েকদিন আগে ওই বিজ্ঞপ্তিতে ড PyPI ডিরেক্টরিতে দূষিত কোড ধারণকারী 11টি প্যাকেজ চিহ্নিত করা হয়েছে (পাইথন প্যাকেজ সূচক)।
সমস্যা চিহ্নিত করার আগে, প্যাকেজগুলি মোট প্রায় 38 হাজার বার ডাউনলোড করা হয়েছিল এটি লক্ষ করা উচিত যে দূষিত প্যাকেটগুলি সনাক্ত করা হয়েছে আক্রমণকারীদের সার্ভারের সাথে যোগাযোগের চ্যানেলগুলিকে আড়াল করার জন্য অত্যাধুনিক পদ্ধতি ব্যবহার করার জন্য।
যে প্যাকেজগুলি আবিষ্কৃত হয়েছে তা হল:
- গুরুত্বপূর্ণ প্যাকেজ (6305 ডাউনলোড) ই গুরুত্বপূর্ণ প্যাকেজ (12897): এই প্যাকেজগুলি একটি বহিরাগত সার্ভারের সাথে একটি সংযোগ স্থাপন করুন pypi.python.org এর সাথে সংযোগ করার আড়ালে সিস্টেমে শেল অ্যাক্সেস প্রদান করতে (বিপরীত শেল) এবং যোগাযোগ চ্যানেল লুকানোর জন্য trevorc2 প্রোগ্রাম ব্যবহার করুন।
- pptest (10001) ই ipboards (946) তথ্য স্থানান্তর করার জন্য একটি যোগাযোগ চ্যানেল হিসাবে DNS ব্যবহার করা হয় সিস্টেম সম্পর্কে (প্রথম প্যাকেটে, হোস্টনেম, ওয়ার্কিং ডিরেক্টরি, অভ্যন্তরীণ এবং বাহ্যিক আইপি, দ্বিতীয়টিতে, ব্যবহারকারীর নাম এবং হোস্টনাম)।
- আউলমুন (২০১১), ডিসকর্ড সেফটি (557) এবং yiffparty (1859) - সিস্টেমে ডিসকর্ড পরিষেবা টোকেন সনাক্ত করুন এবং এটি একটি বহিরাগত হোস্টে পাঠান।
- trrfab (287): শনাক্তকারী, হোস্টনাম, এবং / etc / passwd, / etc / hosts, / হোমের বিষয়বস্তু একটি বহিরাগত হোস্টে পাঠায়।
- 10cent10 (490) - একটি বহিরাগত হোস্টের সাথে একটি বিপরীত শেল সংযোগ স্থাপন করেছে৷
yandex-yt (4183): আপস করা সিস্টেম সম্পর্কে একটি বার্তা দেখিয়েছে এবং nda.ya.ru (api.ya.cc) এর মাধ্যমে জারি করা অতিরিক্ত ক্রিয়া সম্পর্কে অতিরিক্ত তথ্য সহ একটি পৃষ্ঠায় পুনঃনির্দেশিত হয়েছে৷
এর পরিপ্রেক্ষিতে উল্লেখ করা হয় যে প্যাকেটে ব্যবহৃত বহিরাগত হোস্ট অ্যাক্সেস করার পদ্ধতিতে বিশেষ মনোযোগ দেওয়া উচিত গুরুত্বপূর্ণ প্যাকেজ এবং গুরুত্বপূর্ণ-প্যাকেজ, যা তাদের কার্যকলাপ লুকানোর জন্য PyPI ক্যাটালগে ব্যবহৃত ফাস্টলি কন্টেন্ট ডেলিভারি নেটওয়ার্ক ব্যবহার করে।
আসলে, অনুরোধগুলি pypi.python.org সার্ভারে পাঠানো হয়েছিল (HTTPS অনুরোধের মধ্যে SNI তে python.org-এর নাম উল্লেখ সহ), কিন্তু আক্রমণকারী দ্বারা নিয়ন্ত্রিত সার্ভারের নাম HTTP শিরোনামে সেট করা হয়েছিল "হোস্ট » তথ্য প্রেরণের সময় pypi.python.org-এ TLS সংযোগের পরামিতি ব্যবহার করে বিষয়বস্তু বিতরণ নেটওয়ার্ক আক্রমণকারীর সার্ভারে অনুরূপ অনুরোধ পাঠিয়েছে।
এর অবকাঠামো PyPI ফাস্টলি কন্টেন্ট ডেলিভারি নেটওয়ার্ক দ্বারা চালিত, যা বার্নিশের স্বচ্ছ প্রক্সি ব্যবহার করে সাধারণ অনুরোধগুলি ক্যাশে করতে, এবং প্রক্সির মাধ্যমে HTTPS অনুরোধগুলিকে ফরোয়ার্ড করতে এন্ডপয়েন্ট সার্ভারের পরিবর্তে CDN-স্তরের TLS শংসাপত্র প্রক্রিয়াকরণ ব্যবহার করে। গন্তব্য হোস্ট নির্বিশেষে, অনুরোধগুলি প্রক্সিতে পাঠানো হয়, যা HTTP "হোস্ট" শিরোনাম দ্বারা পছন্দসই হোস্টকে শনাক্ত করে এবং ডোমেইন হোস্টের নামগুলি CDN লোড ব্যালেন্সার আইপি ঠিকানাগুলির সাথে লিঙ্ক করা হয় যা সব ফাস্টলি ক্লায়েন্টদের সাধারণ।
আক্রমণকারীদের সার্ভারও CDN ফাস্টলিতে নিবন্ধন করে, যা প্রত্যেককে বিনামূল্যে রেট প্ল্যান প্রদান করে এবং এমনকি বেনামী নিবন্ধনের অনুমতি দেয়। লক্ষণীয়ভাবে "বিপরীত শেল" তৈরি করার সময় শিকারকে অনুরোধ পাঠাতে একটি স্কিমও ব্যবহার করা হয়। কিন্তু আক্রমণকারীর হোস্ট দ্বারা শুরু. বাইরে থেকে, আক্রমণকারীর সার্ভারের সাথে মিথস্ক্রিয়া PyPI ডিরেক্টরির সাথে একটি বৈধ অধিবেশনের মতো দেখায়, PyPI TLS শংসাপত্রের সাথে এনক্রিপ্ট করা। "ডোমেন ফ্রন্টিং" নামে পরিচিত একটি অনুরূপ কৌশল পূর্বে সক্রিয়ভাবে ব্যবহার করা হয়েছিল লক বাইপাস করে হোস্টনেম লুকানোর জন্য, কিছু CDN নেটওয়ার্কে প্রদত্ত HTTPS বিকল্প ব্যবহার করে, SNI-তে ডামি হোস্ট উল্লেখ করে এবং হোস্টের নাম পাস করার জন্য অনুরোধ করা হয়েছিল। একটি TLS সেশনের মধ্যে HTTP হোস্ট হেডারে।
দূষিত কার্যকলাপ লুকানোর জন্য, TrevorC2 প্যাকেজ অতিরিক্ত ব্যবহার করা হয়েছিল, যা সার্ভারের সাথে মিথস্ক্রিয়াকে সাধারণ ওয়েব ব্রাউজিংয়ের মতো করে তোলে।
pptest এবং ipboards প্যাকেটগুলি DNS সার্ভারের অনুরোধে দরকারী তথ্য এনকোডিংয়ের উপর ভিত্তি করে নেটওয়ার্ক কার্যকলাপ লুকানোর জন্য একটি ভিন্ন পদ্ধতি ব্যবহার করে। ক্ষতিকারক সফ্টওয়্যার ডিএনএস প্রশ্নগুলি সম্পাদন করে তথ্য প্রেরণ করে, যেখানে কমান্ড এবং নিয়ন্ত্রণ সার্ভারে প্রেরণ করা ডেটা সাবডোমেন নামের বেস64 ফর্ম্যাট ব্যবহার করে এনকোড করা হয়। একজন আক্রমণকারী ডোমেনের DNS সার্ভার নিয়ন্ত্রণ করে এই বার্তাগুলি গ্রহণ করে।
অবশেষে, আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন তবে আপনি বিশদটি পরামর্শ করতে পারেন নীচের লিঙ্কে।