एक जावास्क्रिप्ट लाइब्रेरी, जिसका उद्देश्य है से संबंधित एक पुस्तकालय ट्विलियो ने प्रोग्रामर्स के कंप्यूटरों पर बैकडोर लगाने की अनुमति दी हमलावरों को संक्रमित कार्यस्थल तक पहुंचने की अनुमति देने के लिए, इसे पिछले शुक्रवार को एनपीएम ओपन सोर्स रजिस्ट्री में अपलोड किया गया था।
सौभाग्य से, मैलवेयर डिटेक्शन सेवा सोनाटाइप रिलीज़ इंटीग्रिटी ने मैलवेयर का तुरंत पता लगा लिया, तीन संस्करणों में, और इसे सोमवार को हटा दिया।
Npm सुरक्षा दल ने सोमवार को एक जावास्क्रिप्ट लाइब्रेरी को हटा दिया npm वेबसाइट से "ट्विलियो-एनपीएम" नाम दिया गया क्योंकि इसमें दुर्भावनापूर्ण कोड था जो प्रोग्रामर के कंप्यूटर पर बैकडोर खोल सकता था।
दुर्भावनापूर्ण कोड वाले पैकेज खुले स्रोत जावास्क्रिप्ट रजिस्ट्री में एक आवर्ती विषय बन गए हैं।
जावास्क्रिप्ट लाइब्रेरी (और इसके दुर्भावनापूर्ण व्यवहार) को इस सप्ताह के अंत में सोनाटाइप द्वारा खोजा गया था, जो DevSecOps के लिए अपनी सुरक्षा संचालन सेवाओं के हिस्से के रूप में सार्वजनिक पैकेज रिपॉजिटरी की निगरानी करता है।
सोमवार को जारी एक रिपोर्ट में, सोनटाइप ने कहा कि पुस्तकालय को शुक्रवार को पहली बार npm वेबसाइट पर प्रकाशित किया गया था, उसी दिन की खोज की थी, और npm सुरक्षा टीम द्वारा ब्लैकलिस्ट में पैकेज डालने के बाद सोमवार को हटा दिया गया था।
Npm रजिस्ट्री से संबंधित कई वैध पैकेज हैं या आधिकारिक टिलिओ सेवा का प्रतिनिधित्व करते हैं।
लेकिन सोनटाइप के सुरक्षा इंजीनियर एक्स शर्मा के अनुसार, टवीलियो-एनपीएम का टवीलियो कंपनी से कोई लेना-देना नहीं है। ट्विलियो शामिल नहीं है और इसका इस ब्रांड की चोरी से कोई लेना-देना नहीं है। ट्विलियो एक अग्रणी क्लाउड-आधारित संचार प्लेटफ़ॉर्म है जो एक सेवा के रूप में है जो डेवलपर्स को वीओआईपी-आधारित एप्लिकेशन बनाने में सक्षम बनाता है जो प्रोग्राम कॉल कर सकते हैं और फोन कॉल और टेक्स्ट संदेश प्राप्त कर सकते हैं।
का आधिकारिक पैकेज Twilio npm सप्ताह में लगभग आधा मिलियन बार डाउनलोड होता है, इंजीनियर के अनुसार। इसकी महान लोकप्रियता बताती है कि क्यों खतरे वाले अभिनेताओं को एक ही नाम के नकली घटक के साथ डेवलपर्स को पकड़ने में रुचि हो सकती है।
“हालांकि, टिलिओ-एनपीएम पैकेज ने बहुत से लोगों को मूर्ख बनाने के लिए लंबे समय तक पकड़ नहीं की। शुक्रवार, 30 अक्टूबर को अपलोड किया गया, Sontatype की रिलीज़ इंटीग्रिटी सेवा ने स्पष्ट रूप से एक दिन बाद कोड को ध्वजांकित किया - कृत्रिम बुद्धिमत्ता और मशीन सीखने का स्पष्ट रूप से उपयोग होता है। सोमवार 2 नवंबर को, कंपनी ने अपने निष्कर्ष प्रकाशित किए और कोड वापस ले लिया गया।
शर्मा के अनुसार, npm पोर्टल के संक्षिप्त जीवनकाल के बावजूद, लाइब्रेरी को 370 बार डाउनलोड किया गया है और इसे npm कमांड-लाइन यूटिलिटी (नोड पैकेज मैनेजर) के माध्यम से स्वचालित रूप से शामिल किया गया है। और उन प्रारंभिक अनुरोधों में से कई स्कैन इंजन और प्रॉक्सी से आने वाले हैं जो एनपीएम रजिस्ट्री में परिवर्तनों को ट्रैक करने का लक्ष्य रखते हैं।
नकली पैकेज सिंगल फाइल मालवेयर है और इसमें 3 वर्जन उपलब्ध हैं डाउनलोड करने के लिए (1.0.0, 1.0.1 और 1.0.2)। सभी तीन संस्करण एक ही दिन, 30 अक्टूबर को जारी किए गए प्रतीत होते हैं। शर्मा के अनुसार संस्करण 1.0.0 बहुत पूरा नहीं करता है। इसमें केवल एक छोटी सी प्रकट फ़ाइल, package.json शामिल है, जो एक ngrok उपडोमेन में स्थित संसाधन को निकालता है।
ngrok एक वैध सेवा है जो डेवलपर्स अपने आवेदन का परीक्षण करते समय उपयोग करते हैं, विशेष रूप से NAT या फ़ायरवॉल के पीछे अपने "लोकलहोस्ट" सर्वर अनुप्रयोगों के लिए कनेक्शन खोलने के लिए। हालांकि, संस्करण 1.0.1 और 1.0.2 के अनुसार, शर्मा के अनुसार, एक ही प्रदर्शन में इसकी पोस्ट-इंस्टॉलेशन स्क्रिप्ट को एक भयावह कार्य करने के लिए संशोधित किया गया है।
यह प्रभावी रूप से उपयोगकर्ता की मशीन पर एक पिछले दरवाजे को खोलता है, जिससे समझौता मशीन और रिमोट कोड निष्पादन (आरसीई) क्षमताओं के हमलावर नियंत्रण होता है। शर्मा ने कहा कि रिवर्स कमांड दुभाषिया केवल UNIX- आधारित ऑपरेटिंग सिस्टम पर काम करता है।
डेवलपर्स को आईडी, रहस्य और चाबियाँ बदलनी चाहिए
एनपीएम सलाहकार का कहना है कि जिन डेवलपर्स ने इसे हटाने से पहले दुर्भावनापूर्ण पैकेज स्थापित किया होगा, वे जोखिम में हैं।
"किसी भी कंप्यूटर जिस पर यह पैकेज स्थापित है या काम कर रहा है, को पूरी तरह से समझौता माना जाना चाहिए," एनपीएम सुरक्षा टीम ने सोमवार को कहा, सोनाटाइप की जांच की पुष्टि करता है।