গিটহাব অ্যাকশনে আর্টিফ্যাক্ট পয়জনিং সফটওয়্যার পাইপলাইনের মাধ্যমে ম্যালওয়্যার আমদানি করে

সময় স্ট্যাম্প: 1 ডিসেম্বর, 2022 4:05 অপরাহ্ন
উত্স নোড: 1769941

GitHub-এ একটি ওপেন সোর্স রিপোজিটরিতে পরিবর্তন জমা দেওয়া একজন আক্রমণকারী ডাউনস্ট্রিম সফ্টওয়্যার প্রকল্পের কারণ হতে পারে যা দূষিত কোড সহ আপডেট কম্পাইল করার জন্য একটি উপাদানের সর্বশেষ সংস্করণ অন্তর্ভুক্ত করে।

এটি সফ্টওয়্যার সাপ্লাই চেইন সিকিউরিটি ফার্ম লিজিট সিকিউরিটির মতে, যেটি 1 ডিসেম্বরে প্রকাশিত একটি পরামর্শে বলেছিল যে এই "আর্টিফ্যাক্ট বিষক্রিয়া" দুর্বলতা এমন সফ্টওয়্যার প্রকল্পগুলিকে প্রভাবিত করতে পারে যা গিটহাব অ্যাকশনগুলি ব্যবহার করে - বিকাশ পাইপলাইনগুলি স্বয়ংক্রিয় করার জন্য একটি পরিষেবা - যখন বিল্ড প্রক্রিয়াটিকে ট্রিগার করে একটি পরিবর্তন একটি সফ্টওয়্যার নির্ভরতা সনাক্ত করা হয়. 

দুর্বলতা তাত্ত্বিক নয়: আইনি সুরক্ষা প্রকল্পের উপর একটি আক্রমণ অনুকরণ করেছে যা মরিচা পরিচালনা করে, যার ফলে প্রকল্পটি জনপ্রিয় GCC সফ্টওয়্যার লাইব্রেরির একটি কাস্টমাইজড - এবং দূষিত - সংস্করণ ব্যবহার করে পুনরায় কম্পাইল করা হয়েছে, সংস্থাটি পরামর্শে বলেছে৷

সমস্যাটি সম্ভবত বিপুল সংখ্যক ওপেন সোর্স প্রকল্পকে প্রভাবিত করে কারণ রক্ষণাবেক্ষণকারীরা সাধারণত কোডটি নিজেরাই বিশ্লেষণ করার আগে অবদানকারী কোডে পরীক্ষা চালাবে, লিজিট সিকিউরিটির প্রধান প্রযুক্তি কর্মকর্তা লিয়াভ ক্যাস্পি বলেছেন।

"এটি আজ একটি সাধারণ প্যাটার্ন," তিনি বলেছেন। “আজকাল অনেকগুলি ওপেন সোর্স প্রকল্প, পরিবর্তনের অনুরোধের ভিত্তিতে, তারা অনুরোধটি যাচাই করার জন্য একগুচ্ছ পরীক্ষা চালায় কারণ রক্ষণাবেক্ষণকারী প্রথমে কোডটি পর্যালোচনা করতে চান না। পরিবর্তে, এটি স্বয়ংক্রিয়ভাবে পরীক্ষা চালায়।"

আক্রমণটি গিটহাব অ্যাকশনের মাধ্যমে স্বয়ংক্রিয় বিল্ড প্রক্রিয়ার সুবিধা নেয়। মরিচা প্রোগ্রামিং ভাষার ক্ষেত্রে, দুর্বল প্যাটার্নটি আক্রমণকারীকে ডেভেলপমেন্ট পাইপলাইনের অংশ হিসাবে একটি সুবিধাপ্রাপ্ত উপায়ে কোড চালানোর অনুমতি দিতে পারে, রিপোজিটরি গোপনীয়তা চুরি করতে পারে এবং সম্ভাব্য কোডের সাথে ট্যাম্পারিং করতে পারে, লিজিট সিকিউরিটি বলেছে।

"এটিকে সহজভাবে বলতে গেলে: একটি দুর্বল ওয়ার্কফ্লোতে, যেকোন গিটহাব ব্যবহারকারী একটি কাঁটা তৈরি করতে পারে যা একটি আর্টিফ্যাক্ট তৈরি করে," কোম্পানিটি এর উপদেষ্টাতে বলা হয়েছে. “তারপর এই আর্টিফ্যাক্টটিকে মূল রিপোজিটরি বিল্ড প্রক্রিয়ায় ইনজেক্ট করুন এবং এর আউটপুট পরিবর্তন করুন। এটি একটি সফ্টওয়্যার সরবরাহ চেইন আক্রমণের আরেকটি রূপ, যেখানে আক্রমণকারী দ্বারা বিল্ড আউটপুট পরিবর্তন করা হয়।"

দুর্বলতা অনুরূপ একটি আক্রমণ সক্রিয় করে ম্যালওয়্যার-সন্নিবেশ আক্রমণ যা CodeCov কে লক্ষ্য করে এবং, সেই কোম্পানির সফ্টওয়্যারের মাধ্যমে, এর নিম্নধারার গ্রাহকরা।

"[টি] ক্রস-ওয়ার্কফ্লো আর্টিফ্যাক্ট যোগাযোগের জন্য দেশীয় গিটহাব বাস্তবায়নের অভাব অনেক প্রকল্প এবং গিটহাব অ্যাকশন সম্প্রদায়কে ক্রস-ওয়ার্কফ্লো যোগাযোগের জন্য অনিরাপদ সমাধান বিকাশ করতে পরিচালিত করেছিল এবং এই হুমকিটিকে অত্যন্ত প্রচলিত করে তুলেছিল," আইনী নিরাপত্তা পরামর্শে বলা হয়েছে।

গিটহাব সমস্যাটি নিশ্চিত করেছে এবং তথ্যের জন্য একটি অনুদান প্রদান করেছে, যখন মরিচা তার দুর্বল পাইপলাইন ঠিক করেছে, লিজিট সিকিউরিটি জানিয়েছে।

সূত্র: বৈধ নিরাপত্তা

সফ্টওয়্যার সরবরাহ চেইন নিরাপত্তা প্রয়োজন

দুর্বলতা হল সফ্টওয়্যার সরবরাহ চেইনকে প্রভাবিত করার জন্য সর্বশেষ নিরাপত্তা সমস্যা। শিল্প এবং সরকারী সংস্থাগুলি ক্রমবর্ধমানভাবে ওপেন সোর্স সফ্টওয়্যার এবং পরিষেবা হিসাবে প্রদত্ত সফ্টওয়্যারগুলির নিরাপত্তা জোরদার করার চেষ্টা করেছে৷

2021 সালের মে মাসে, উদাহরণস্বরূপ, বিডেন প্রশাসন জাতির সাইবার নিরাপত্তার উন্নতির বিষয়ে তার নির্বাহী আদেশ জারি করেছিল, একটি ফেডারেল নিয়ম যা অন্যান্য প্রয়োজনীয়তার মধ্যে, বাধ্যতামূলক যে সরকার করবে যেকোনো সফ্টওয়্যার কেনার জন্য বেসলাইন নিরাপত্তা মান প্রয়োজন. বেসরকারী শিল্পের দিকে, গুগল এবং মাইক্রোসফ্ট রয়েছে বিলিয়ন ডলারের প্রতিশ্রুতি দিয়েছে ওপেন সোর্স ইকোসিস্টেমে নিরাপত্তা বাড়াতে, যা কোড প্রদান করে গড় অ্যাপ্লিকেশনের কোডবেসের তিন-চতুর্থাংশেরও বেশি অন্তর্ভুক্ত.

যৌক্তিক, কিন্তু দুর্বল

সুরক্ষা সমস্যাটি লজিক সমস্যা হিসাবে পরিচিত সমস্যাগুলির একটি কঠিন-খুঁজে পাওয়া শ্রেণীর অন্তর্গত, যার মধ্যে রয়েছে অনুমতি সংক্রান্ত সমস্যা, একটি পাইপলাইনে কাঁটাযুক্ত সংগ্রহস্থলগুলি ঢোকানোর সম্ভাবনা এবং কাঁটাযুক্ত এবং বেস সংগ্রহস্থলগুলির মধ্যে পার্থক্যের অভাব।

যেহেতু সফ্টওয়্যার প্রকল্পগুলি রক্ষণাবেক্ষণকারীদের কাছে ফরওয়ার্ড করার আগে কোড জমাগুলি পরীক্ষা করার জন্য প্রায়শই স্বয়ংক্রিয় স্ক্রিপ্ট ব্যবহার করে, কোনও মানুষ ক্ষতিকারক কোডের জন্য তাদের পরীক্ষা করার আগে পুল অনুরোধগুলি অটোমেশনের মাধ্যমে চালানো হবে। যদিও অটোমেশন সময় বাঁচায়, এটিকে আক্রমণকারীদের পাইপলাইনে দূষিত কোড ঢোকানোর একটি উপায় হিসাবে বিবেচনা করা উচিত।

"যখন আপনি ওপেন সোর্স ডেভেলপমেন্ট করছেন, তখন সমস্যাটি আরও বড়, কারণ আপনি বিশ্বের যে কারো কাছ থেকে অবদান গ্রহণ করছেন," ক্যাস্পি বলেছেন। "আপনি এমন জিনিসগুলি সম্পাদন করছেন যা আপনি বিশ্বাস করতে পারবেন না।"

GitHub সমস্যাটি স্বীকার করেছে এবং অ্যাকশন পাইপলাইনে স্বয়ংক্রিয়ভাবে ঢোকানো থেকে বাইরের সহযোগীদের জমা দেওয়া বাদ দেওয়ার উপায়গুলি প্রসারিত করেছে। কোম্পানি এর GetArtifact এবং ListArtifacts API আপডেট করেছে একটি আর্টিফ্যাক্ট বিশ্বাস করা যায় কিনা তা নির্ধারণে সাহায্য করার জন্য আরও তথ্য প্রদানের লক্ষ্যে।

"যে কেউ রাস্ট প্রকল্পের মতো কিছু করে - তৃতীয় পক্ষের ইনপুটকে বিশ্বাস করে - তাহলে তারা এখনও দুর্বল," ক্যাস্পি বলেছেন। “এটি একটি যুক্তির সমস্যা। গিটহাব শুধু একটি নিরাপদ স্ক্রিপ্ট লেখা সহজ করে দিয়েছে।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া