কিছু দিন আগে GitHub NPM প্যাকেজ সংগ্রহস্থল পরিকাঠামোতে দুটি ঘটনা প্রকাশ করেছে, যার মধ্যে এটি বিশদ বিবরণ দেয় যে 2 নভেম্বর, বাগ বাউন্টি প্রোগ্রামের অংশ হিসাবে তৃতীয় পক্ষের নিরাপত্তা গবেষকরা NPM সংগ্রহস্থলে একটি দুর্বলতা খুঁজে পেয়েছেন যা অনুমোদিত না হওয়া সত্ত্বেও ব্যবহার করে যেকোনো প্যাকেজের একটি নতুন সংস্করণ প্রকাশ করতে দেয় যেমন আপডেট সঞ্চালন.
মাইক্রোসার্ভিসেস কোডে ভুল অনুমোদন চেক করার কারণে দুর্বলতা সৃষ্টি হয়েছে যে প্রক্রিয়া NPM অনুরোধ. অনুমোদন পরিষেবা অনুরোধে পাস করা ডেটার উপর ভিত্তি করে প্যাকেজগুলিতে একটি অনুমতি পরীক্ষা করেছে, কিন্তু অন্য একটি পরিষেবা যা সংগ্রহস্থলে আপডেট আপলোড করছিল আপলোড করা প্যাকেজে মেটাডেটা বিষয়বস্তুর উপর ভিত্তি করে প্রকাশ করার জন্য প্যাকেজ নির্ধারণ করেছে।
এইভাবে, একজন আক্রমণকারী তার প্যাকেজের জন্য একটি আপডেট প্রকাশের অনুরোধ করতে পারে, যেখানে তার অ্যাক্সেস আছে, তবে প্যাকেজে নিজেই অন্য প্যাকেজ সম্পর্কে তথ্য নির্দেশ করে, যা অবশেষে আপডেট করা হবে।
গত কয়েক মাস ধরে, এনপিএম দল রিয়েল টাইমে ম্যালওয়্যার এবং অন্যান্য দূষিত কোড শনাক্ত করার জন্য সম্প্রতি প্রকাশিত প্যাকেজ সংস্করণগুলির পর্যবেক্ষণ এবং বিশ্লেষণ স্বয়ংক্রিয় করতে অবকাঠামো এবং নিরাপত্তার উন্নতিতে বিনিয়োগ করছে।
ম্যালওয়্যার পোস্টিং ইভেন্টের দুটি প্রধান বিভাগ রয়েছে যা এনপিএম ইকোসিস্টেমে ঘটে: ম্যালওয়্যার যা অ্যাকাউন্ট হাইজ্যাকিংয়ের কারণে পোস্ট করা হয় এবং ম্যালওয়্যার যা আক্রমণকারীরা তাদের নিজস্ব অ্যাকাউন্টের মাধ্যমে পোস্ট করে। যদিও উচ্চ-প্রভাবিত অ্যাকাউন্ট অধিগ্রহণ তুলনামূলকভাবে বিরল, আক্রমণকারীদের দ্বারা তাদের নিজস্ব অ্যাকাউন্ট ব্যবহার করে পোস্ট করা সরাসরি ম্যালওয়্যারের তুলনায়, জনপ্রিয় প্যাকেজ রক্ষণাবেক্ষণকারীদের টার্গেট করার সময় অ্যাকাউন্ট অধিগ্রহণগুলি অনেক বেশি পৌঁছাতে পারে। জনপ্রিয় প্যাকেজগুলি অধিগ্রহণের জন্য আমাদের সনাক্তকরণ এবং প্রতিক্রিয়ার সময় সাম্প্রতিক ঘটনাগুলিতে 10 মিনিটের মতো কম হলেও, আমরা আরও সক্রিয় প্রতিক্রিয়া মডেলের দিকে আমাদের ম্যালওয়্যার সনাক্তকরণ ক্ষমতা এবং বিজ্ঞপ্তি কৌশলগুলিকে বিকশিত করতে থাকি৷
সমস্যা দুর্বলতা রিপোর্ট করার 6 ঘন্টা পরে এটি স্থির করা হয়েছিল, তবে দুর্বলতা NPM-এ আরও বেশি সময় উপস্থিত ছিল টেলিমেট্রি লগ কভার কি তুলনায়. GitHub বলে যে এই দুর্বলতা ব্যবহার করে আক্রমণের কোন চিহ্ন পাওয়া যায়নি সেপ্টেম্বর 2020 থেকে, কিন্তু কোন গ্যারান্টি নেই যে সমস্যাটি আগে কাজে লাগানো হয়নি।
দ্বিতীয় ঘটনাটি ঘটে ২৬ অক্টোবর। replicant.npmjs.com সার্ভিস ডাটাবেসের সাথে প্রযুক্তিগত কাজের সময়, এটি প্রকাশ করা হয়েছিল যে বহিরাগত পরামর্শের জন্য উপলব্ধ ডাটাবেসে গোপনীয় তথ্য ছিল, চেঞ্জলগে উল্লিখিত অভ্যন্তরীণ প্যাকেজের নাম সম্পর্কে তথ্য প্রকাশ করে।
এই নাম সম্পর্কে তথ্য অভ্যন্তরীণ প্রকল্পের উপর নির্ভরতা আক্রমণ চালাতে ব্যবহার করা যেতে পারে (ফেব্রুয়ারিতে, এই ধরনের আক্রমণের ফলে কোড পেপ্যাল, মাইক্রোসফ্ট, অ্যাপল, নেটফ্লিক্স, উবার এবং অন্যান্য 30টি কোম্পানির সার্ভারে চালানোর অনুমতি দেওয়া হয়েছিল।)
উপরন্তু, বড় প্রকল্পের ভান্ডার বাজেয়াপ্ত করার ক্রমবর্ধমান ঘটনার সাথে সম্পর্কিত এবং ডেভেলপার অ্যাকাউন্টের আপোষের মাধ্যমে দূষিত কোডের প্রচার, GitHub বাধ্যতামূলক দ্বি-ফ্যাক্টর প্রমাণীকরণ চালু করার সিদ্ধান্ত নিয়েছে. পরিবর্তনটি 2022 সালের প্রথম ত্রৈমাসিকে কার্যকর হবে এবং সর্বাধিক জনপ্রিয়গুলির তালিকায় অন্তর্ভুক্ত প্যাকেজগুলির রক্ষণাবেক্ষণকারী এবং প্রশাসকদের জন্য প্রযোজ্য হবে৷ অতিরিক্তভাবে, এটি অবকাঠামোর আধুনিকীকরণের বিষয়ে রিপোর্ট করে, যা দূষিত পরিবর্তনগুলির প্রাথমিক সনাক্তকরণের জন্য নতুন প্যাকেজ সংস্করণগুলির স্বয়ংক্রিয় পর্যবেক্ষণ এবং বিশ্লেষণ প্রবর্তন করবে।
স্মরণ করুন যে 2020 সালে পরিচালিত একটি সমীক্ষা অনুসারে, মাত্র 9.27% প্যাকেজ পরিচালকরা অ্যাক্সেস রক্ষা করার জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করেন এবং 13.37% ক্ষেত্রে, নতুন অ্যাকাউন্ট নিবন্ধন করার সময়, বিকাশকারীরা পরিচিত পাসওয়ার্ডগুলিতে প্রদর্শিত আপস করা পাসওয়ার্ডগুলি পুনরায় ব্যবহার করার চেষ্টা করেছিল .
ব্যবহৃত পাসওয়ার্ডের শক্তি পরীক্ষা করার সময়, "12" এর মতো অনুমানযোগ্য এবং তুচ্ছ পাসওয়ার্ড ব্যবহারের কারণে NPM-এর 13% অ্যাকাউন্ট (প্যাকেজের 123456%) অ্যাক্সেস করা হয়েছিল। সমস্যাগুলির মধ্যে ছিল 4টি সর্বাধিক জনপ্রিয় প্যাকেজের 20টি ব্যবহারকারীর অ্যাকাউন্ট, 13টি অ্যাকাউন্ট যার প্যাকেজগুলি প্রতি মাসে 50 মিলিয়নেরও বেশি বার ডাউনলোড করা হয়েছে, 40টি - প্রতি মাসে 10 মিলিয়নের বেশি ডাউনলোড এবং 282টি প্রতি মাসে 1 মিলিয়নের বেশি ডাউনলোড সহ। নির্ভরশীলতার শৃঙ্খল বরাবর মডিউলগুলির লোড বিবেচনা করে, অবিশ্বস্ত অ্যাকাউন্টগুলির সাথে আপস করা NPM-এর মোট সমস্ত মডিউলের 52% পর্যন্ত প্রভাবিত করতে পারে।
পরিশেষে, আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।