हाल के निष्कर्षों ने इस ओर पुनः ध्यान आकर्षित किया है एनपीएम पारिस्थितिकी तंत्र में छिपे सुरक्षा खतरेउत्तर कोरियाई साइबर संचालन से जुड़ा एक उभरता हुआ अभियान इसका लाभ उठा रहा है दुर्भावनापूर्ण एनपीएम पैकेज सॉफ्टवेयर डेवलपर्स के कंप्यूटरों से समझौता करने के लिए, मुख्य रूप से उच्च-भुगतान वाली दूरस्थ भूमिकाओं की पेशकश करने वाले प्रौद्योगिकी भर्तीकर्ताओं के रूप में प्रस्तुत करना। यह गणना की गई रणनीति, तकनीकी छल-कपट और विश्वसनीय सामाजिक इंजीनियरिंग, इस बात पर प्रकाश डालता है कि ओपन-सोर्स आपूर्ति श्रृंखलाएं परिष्कृत हमलों के प्रति कितनी कमजोर हो सकती हैं।
जांचकर्ताओं ने पाया कि इस अभियान के पीछे के सूत्रधार, जिन्हें "संक्रामक साक्षात्कार" ऑपरेशन से जुड़ा माना जाता है, ने प्रकाशित किया है 35 खातों में 24 अलग-अलग एनपीएम पैकेजइन पैकेजों के 4,000 से अधिक डाउनलोड हो चुके हैं, और चिंताजनक बात यह है कि इनमें से कई अभी भी रजिस्ट्री पर उपलब्ध हैं। हमले की कार्यप्रणाली की जड़ें बहुत गहरी हैं सोशल इंजीनियरिंगनौकरी की तलाश कर रहे डेवलपर्स से, आमतौर पर लिंक्डइन के ज़रिए, ऐसे लोग संपर्क करते हैं जो खुद को रिक्रूटर के तौर पर पेश करते हैं। फिर डेवलपर्स को Google डॉक्स या बिटबकेट रिपॉजिटरी के ज़रिए कोडिंग असाइनमेंट भेजे जाते हैं, इन नकली आकलनों में विशिष्ट npm मॉड्यूल इंस्टॉल करने के निर्देश होते हैं - मॉड्यूल जो वास्तव में मैलवेयर से भरे होते हैं।
तकनीकी खराबी: मल्टी-स्टेज मैलवेयर डिलीवरी
सतह के नीचे, हमले का बुनियादी ढांचा एक बहुस्तरीय तैनाती रणनीति दृढ़ता और चुपके के लिए इंजीनियर। संक्रमण श्रृंखला से शुरू होता है हेक्सएवल लोडर, npm पैकेज के भीतर छिपा हुआ एक लोडर जो होस्ट सिस्टम को फिंगरप्रिंट करता है और हमलावरों के रिमोट इंफ्रास्ट्रक्चर के साथ संचार शुरू करता है। हेक्स एनकोडेड स्ट्रिंग्स और अस्पष्ट कोड यह सुनिश्चित करते हैं कि महत्वपूर्ण विवरण - जैसे कमांड-एंड-कंट्रोल एंडपॉइंट - केवल रनटाइम पर ही प्रकट होते हैं, जिससे स्टैटिक विश्लेषण के दौरान लोडर का पता लगाना मुश्किल हो जाता है।
जब कोई पीड़ित समझौता किए गए पैकेज को स्थापित करता है और प्रदान किए गए कोड को चलाता है, तो HexEval भेजता है विस्तृत सिस्टम जानकारी (जैसे OS विवरण, होस्टनाम और नेटवर्क जानकारी) और अगला चरण लाता है: बीवरटेलयह मैलवेयर एक क्रॉस-प्लेटफ़ॉर्म इन्फोस्टीलर के रूप में डिज़ाइन किया गया है, जो ब्राउज़र डेटा, सत्र टोकन और क्रिप्टोक्यूरेंसी वॉलेट फ़ाइलों को इकट्ठा करने में माहिर है। यदि लक्ष्य वांछित मानदंडों से मेल खाता है, तो बीवरटेल लोड होता है अदृश्यफेरेट, एक पिछला दरवाजा जो हमलावरों को फ़ाइलों तक दूरस्थ रूप से पहुंचने, स्क्रीनशॉट लेने और प्रारंभिक उल्लंघन के बाद लंबे समय तक डिवाइस पर नियंत्रण बनाए रखने की अनुमति देता है।
विशेष रूप से, कुछ दुर्भावनापूर्ण एनपीएम पैकेज एक अतिरिक्त हथियार का उपयोग करते हैं: Keylogger वास्तविक समय में कीस्ट्रोक्स को रिकॉर्ड करने और संवेदनशील डेटा को बाहर निकालने में सक्षम। विश्लेषकों ने पाया कि यह कार्यक्षमता प्रतीत होती है विशेष रूप से उच्च मूल्य वाले या विशेष रूप से पीड़ितों के लिए आरक्षित, क्योंकि यह केवल हमलावर खातों के एक उपसमूह में ही उजागर हुआ था।
विश्वसनीय परियोजनाओं का टाइपोस्क्वैटिंग और प्रतिरूपण
इस योजना का सबसे अधिक परेशान करने वाला पहलू है इसका प्रयोग टाइपोस्क्वैट किए गए पैकेज नाम, जो आकस्मिक इंस्टॉलेशन की संभावना को बढ़ाने के लिए प्रतिष्ठित पुस्तकालयों की नकल करते हैं। सुरक्षा शोधकर्ताओं द्वारा उद्धृत उदाहरणों में लोकप्रिय परियोजनाओं के मामूली बदलाव या गलत वर्तनी शामिल हैं, जैसे रिएक्ट-प्लेड-एसडीके, रिएक्टबूटस्ट्रैप्स, विटे-प्लगइन-नेक्स्ट-रिफ्रेश, नोड-ओआरएम-मोंगोज, और चाक-कॉन्फ़िगरेशनऐसी भ्रामक रणनीतियां अत्यधिक प्रभावी होती हैं, क्योंकि जल्दबाजी में काम करने वाले डेवलपर्स अनजाने में एक दुर्भावनापूर्ण पैकेज को स्थापित कर सकते हैं, यह मानते हुए कि यह एक अच्छी तरह से स्थापित लाइब्रेरी है।
यह दृष्टिकोण और भी अधिक विश्वसनीय हो जाता है वैयक्तिकृत संचार हमलावरों से। ओपन-सोर्स इंटेलिजेंस का उपयोग करते हुए, विरोधी नौकरी चाहने वालों तक अपनी पहुँच बनाते हैं, पीड़ितों को अपने जाल में फंसाने के लिए $192,000 और $300,000 के बीच कथित वेतन वाली भूमिकाएँ प्रदान करते हैं। उम्मीदवारों पर अक्सर कोड को “लाइव” निष्पादित करने का दबाव डाला जाता है - कभी-कभी स्क्रीन-शेयर साक्षात्कार-और इसे सुरक्षित, कंटेनरीकृत वातावरण में चलाने से हतोत्साहित किया जाता है।
सुरक्षा विश्लेषकों ने बताया है कि विलंबित मैलवेयर स्टेजिंग, न्यूनतम रजिस्ट्री फ़ुटप्रिंट और सशर्त पेलोड डिलीवरी स्वचालित और मैन्युअल समीक्षा प्रयासों को जटिल बनाता है। हमलावर कार्यप्रणाली में यह विकास डेवलपर्स के काम करने के तरीके और उनके द्वारा भरोसा किए जाने वाले सुरक्षा उपकरणों के बारे में गहरी जानकारी प्रदर्शित करता है।
डेवलपर्स और ओपन-सोर्स समुदाय के लिए रक्षात्मक कदम
के प्रति सचेत एनपीएम रजिस्ट्री और ओपन-सोर्स सप्लाई चेन से जुड़े जोखिम, डेवलपर्स के लिए सक्रिय सुरक्षा उपाय अपनाना महत्वपूर्ण है। यह अनुशंसा की जाती है कि अज्ञात पैकेज स्थानीय मशीन पर किसी भी निष्पादन से पहले हमेशा निहित या वर्चुअलाइज्ड वातावरण में परीक्षण किया जाना चाहिए। एनपीएम पैकेज में संभावित खतरों का विश्लेषण करने वाले उपकरणों को शामिल करने से घुसपैठ के जोखिम को काफी हद तक कम किया जा सकता है। इसके अतिरिक्त, उन्नत मैलवेयर पहचान उपकरणों को अपनाना और सोशल इंजीनियरिंग रणनीति के बारे में जागरूकता बढ़ाना भी जोखिम को कम करने के लिए आवश्यक कदम हैं।
चूंकि इस तरह के हमलों में कमी आने का कोई संकेत नहीं दिखता, इसलिए ओपन-सोर्स इकोसिस्टम को अपनी सुरक्षा को मजबूत करना जारी रखना चाहिए। सुरक्षा अनुसंधान समुदाय की ओर से त्वरित प्रतिक्रिया, जिसमें सक्रिय खतरों को चिह्नित करने और हटाने के प्रयास शामिल हैं, ऐसे ऑपरेशनों की पहुंच को सीमित करने में सहायक है। एनपीएम इकोसिस्टम को सुरक्षित रखने के लिए निरंतर परिश्रम और शिक्षा महत्वपूर्ण बनी हुई है। सुरक्षा रणनीतियों में गहराई से जाने के लिए, हमारे लेख पर जाएँ एनपीएम की सुरक्षा के लिए.
