જાવાસ્ક્રિપ્ટ લાઇબ્રેરી, જેનો હેતુ છે સંબંધિત એક પુસ્તકાલય ટવીલીયોએ પ્રોગ્રામર્સના કમ્પ્યુટર પર બેકડોર ઇન્સ્ટોલ કરવાની મંજૂરી આપી હુમલાખોરોને ચેપગ્રસ્ત વર્કસ્ટેશનોને toક્સેસ કરવાની મંજૂરી આપવા, તે ગયા શુક્રવારે એનપીએમ ઓપન સોર્સ રજિસ્ટ્રી પર અપલોડ કરવામાં આવી હતી.
સદનસીબે, મwareલવેર શોધવાની સેવા સોનાટાઇપ રીલિઝ અખંડિતતાને ઝડપથી મ malલવેર મળ્યું, ત્રણ સંસ્કરણોમાં, અને તેને સોમવારે દૂર કર્યું.
એનપીએમ સુરક્ષા ટીમે સોમવારે જાવાસ્ક્રિપ્ટ લાઇબ્રેરીને દૂર કરી એનપીએમ વેબસાઇટ પરથી "ટ્વિલીયો-એનપીએમ" નામ આપવામાં આવ્યું કારણ કે તેમાં દૂષિત કોડ છે જે પ્રોગ્રામરોના કમ્પ્યુટર પર બેકડોર ખોલી શકે છે.
ખુલ્લા સ્રોત જાવાસ્ક્રિપ્ટ કોડ રજિસ્ટ્રીમાં દૂષિત કોડવાળા પેકેજો ફરીથી આવનાર વિષય બની ગયા છે.
જાવાસ્ક્રિપ્ટ લાઇબ્રેરી (અને તેના દૂષિત વર્તન) ને સોનાટાઇપ દ્વારા આ સપ્તાહમાં મળી આવ્યું હતું, જે દેવસેકઓપ્સ માટે તેની સુરક્ષા કામગીરી સેવાઓના ભાગ રૂપે જાહેર પેકેજ રીપોઝીટરીઝનું નિરીક્ષણ કરે છે.
સોમવારે જાહેર કરેલા એક અહેવાલમાં સોનાટાઇપે જણાવ્યું હતું કે પુસ્તકાલયને શુક્રવારે એનપીએમ વેબસાઇટ પર પ્રથમ પોસ્ટ કરાયું હતું, તે જ દિવસે શોધી કા .્યો હતો અને સોમવારે એનપીએમ સુરક્ષા ટીમે પેકેજને બ્લેકલિસ્ટમાં મૂક્યા બાદ તેને હટાવવામાં આવ્યો હતો.
સત્તાવાર ટ્વિલીયો સેવાથી સંબંધિત અથવા તેનું પ્રતિનિધિત્વ કરતી એનપીએમ રજિસ્ટ્રીમાં ઘણા કાયદેસર પેકેજો છે.
પરંતુ સોનાટાઇપના સિક્યુરિટી એન્જિનિયર Sharmaક્સ શર્માના જણાવ્યા અનુસાર, ટ્વાલીયો-એનપીએમનો ટ્વીલીયો કંપની સાથે કોઈ લેવા-દેવા નથી. ટ્વિલીયો શામેલ નથી અને આ પ્રયાસ કરેલી બ્રાંડ ચોરી સાથે તેમનો કંઈ લેવાદેવા નથી. ટ્વીલીયો એ અગ્રણી ક્લાઉડ-આધારિત સંચાર પ્લેટફોર્મ છે, એક સેવા તરીકે, જે વિકાસકર્તાઓને વીઓઆઈપી-આધારિત એપ્લિકેશંસ બનાવવા માટે સક્ષમ કરે છે જે પ્રોગ્રામરૂપે ફોન ક callsલ્સ અને ટેક્સ્ટ સંદેશાઓને બનાવી અને પ્રાપ્ત કરી શકે છે.
નું સત્તાવાર પેકેજ ટ્વીલીયો એનપીએમ અઠવાડિયામાં લગભગ અડધા મિલિયન વાર ડાઉનલોડ કરે છે, ઇજનેર અનુસાર. તેની મહાન લોકપ્રિયતા સમજાવે છે કે શા માટે ધમકીવાળા કલાકારો એ જ નામના બનાવટી ઘટકવાળા વિકાસકર્તાઓને પકડવામાં રસ હોઈ શકે છે.
“જોકે, ટ્વીલીયો-એનપીએમ પેકેજ ઘણા લોકોને મૂર્ખ બનાવવા માટે પૂરતું સમય પકડી શક્યું નહીં. શુક્રવાર, Octoberક્ટોબર 30 પર અપલોડ કરાયેલ, સોન્ટેટાઇપની રીલિઝ ઇન્ટીગ્રેટી સર્વિસે દેખીતી રીતે કોડને એક દિવસ પછી શંકાસ્પદ તરીકે ચિહ્નિત કર્યો - કૃત્રિમ બુદ્ધિ અને મશીન લર્નિંગનો સ્પષ્ટ ઉપયોગ છે. નવેમ્બર 2, સોમવારે, કંપનીએ તેના તારણો પ્રકાશિત કર્યા અને કોડ પાછો ખેંચી લેવામાં આવ્યો.
શર્માના જણાવ્યા અનુસાર, એનપીએમ પોર્ટલની ટૂંકી આયુષ્ય હોવા છતાં, પુસ્તકાલય 370 કરતા વધુ વખત ડાઉનલોડ કરવામાં આવ્યું છે અને એનપીએમ કમાન્ડ-લાઇન યુટિલિટી (નોડ પેકેજ મેનેજર) દ્વારા બનાવવામાં અને સંચાલિત જાવાસ્ક્રિપ્ટ પ્રોજેક્ટ્સમાં આપમેળે સમાવવામાં આવેલ છે. અને તે પ્રારંભિક વિનંતીઓ સંભવત scan સ્કેન એન્જિનો અને પ્રોક્સીઓ તરફથી આવી રહી છે જેનો હેતુ એનપીએમ રજિસ્ટ્રીમાં પરિવર્તનને ટ્ર trackક કરવાનું છે.
બનાવટી પેકેજ એ સિંગલ ફાઇલ મ malલવેર છે અને તેમાં 3 સંસ્કરણ ઉપલબ્ધ છે ડાઉનલોડ કરવા માટે (1.0.0, 1.0.1 અને 1.0.2). ત્રણેય સંસ્કરણો 30 Octoberક્ટોબર, એ જ દિવસે પ્રકાશિત થયાં હોય તેવું લાગે છે. શર્મા અનુસાર આવૃત્તિ 1.0.0 વધારે સિદ્ધ નથી કરતું. તેમાં હમણાં જ એક નાનો મેનિફેસ્ટ ફાઇલ, પેકેજ.જેસન શામેલ છે, જે એનગ્રોક સબડોમેનમાં સ્થિત સંસાધન કા extે છે.
ngrok એ કાયદેસરની સેવા છે જેનો વિકાસકર્તાઓ તેમની એપ્લિકેશનની ચકાસણી કરતી વખતે ઉપયોગ કરે છે, ખાસ કરીને NAT અથવા ફાયરવ behindલની પાછળના તેમના "લોકલહોસ્ટ" સર્વર એપ્લિકેશનો સાથે જોડાણો ખોલવા માટે. તેમ છતાં, સંસ્કરણ 1.0.1 અને 1.0.2 મુજબ, સમાન મેનિફેસ્ટમાં તેની સ્થાપના પછીની સ્ક્રિપ્ટમાં એક સિસ્ટર કાર્ય કરવા માટે ફેરફાર કરવામાં આવ્યા છે, શર્મા અનુસાર.
આ અસરકારક રીતે વપરાશકર્તાના મશીન પર બેકડોર ખોલે છે, આક્રમણ કરનાર મશીન અને રીમોટ કોડ એક્ઝેક્યુશન (આરસીઇ) ક્ષમતાઓને આક્રમણ કરનાર નિયંત્રણ આપે છે. શર્માએ કહ્યું હતું કે રિવર્સ શેલ ફક્ત યુનિક્સ-આધારિત operatingપરેટિંગ સિસ્ટમ્સ પર કામ કરે છે.
વિકાસકર્તાઓએ ID, રહસ્યો અને કીઓ બદલવી આવશ્યક છે
એનપીએમ એડવાઇઝરી કહે છે કે વિકાસકર્તાઓ કે જેમણે દૂષિત પેકેજને દૂર કરવામાં આવે તે પહેલાં તેને ઇન્સ્ટોલ કર્યું હશે, જોખમ છે.
"કોઈપણ કમ્પ્યુટર કે જેના પર આ પેકેજ ઇન્સ્ટોલ કરેલું છે અથવા કાર્યરત છે તે સંપૂર્ણ રીતે સમાધાન માનવામાં આવવું જોઈએ," એનપીએમ સુરક્ષા ટીમે સોમટાઇપની તપાસને પુષ્ટિ આપતા સોમવારે જણાવ્યું હતું.