আমরা পিএইচপি সম্পর্কে লিখেছি প্যাকেজিস্ট ইকোসিস্টেম আগে.
পাইথনিস্তাসের জন্য PyPI, রুবি ভক্তদের জন্য রত্ন, JavaScript প্রোগ্রামারদের জন্য NPM বা Luaphiles-এর জন্য LuaRocks-এর মতো, প্যাকেজিস্ট হল একটি সংগ্রহস্থল যেখানে সম্প্রদায়ের অবদানকারীরা তাদের তৈরি করা PHP প্যাকেজগুলির বিবরণ প্রকাশ করতে পারে।
এটি সহকর্মী PHP কোডারদের জন্য তাদের নিজস্ব প্রকল্পে ব্যবহার করতে চান এমন লাইব্রেরি কোড ধরে রাখা সহজ করে এবং যদি তারা ইচ্ছা করে সেই কোডটি স্বয়ংক্রিয়ভাবে আপ টু ডেট রাখে।
PyPI এর বিপরীতে, যেটি তার নিজস্ব সার্ভার সরবরাহ করে যেখানে প্রকৃত লাইব্রেরি কোড সংরক্ষণ করা হয় (অথবা LuaRocks, যা কখনও কখনও প্রোজেক্ট সোর্স কোড নিজেই সঞ্চয় করে এবং কখনও কখনও অন্যান্য সংগ্রহস্থলের সাথে লিঙ্ক করে), প্যাকেজিস্ট আপনার কোডের সাথে লিঙ্ক করে, কিন্তু নিজেই কপি রাখে না। ডাউনলোড করতে হবে।
এইভাবে এটি করার একটি উত্থান আছে, উল্লেখযোগ্যভাবে যে প্রকল্পগুলি গিটহাবের মতো সুপরিচিত সোর্স কোড পরিষেবাগুলির মাধ্যমে পরিচালিত হয় তাদের অফিসিয়াল রিলিজের দুটি কপি বজায় রাখার প্রয়োজন হয় না, যা "সংস্করণ ড্রিফট" এর সমস্যা এড়াতে সহায়তা করে। সোর্স কোড কন্ট্রোল সিস্টেম এবং প্যাকেজিং সিস্টেম।
এবং একটি নেতিবাচক দিক আছে, উল্লেখযোগ্যভাবে যে দুটি ভিন্ন উপায়ে প্যাকেজগুলি বুবি-ট্র্যাপ করা যেতে পারে।
প্যাকেজ ম্যানেজার নিজেই হ্যাক হতে পারে, যেখানে একটি ইউআরএল পরিবর্তন করা প্যাকেজের ব্যবহারকারীদের ভুল নির্দেশ করার জন্য যথেষ্ট হতে পারে।
অথবা সোর্স কোড রিপোজিটরি যেটির সাথে লিঙ্ক করা আছে হ্যাক হয়ে যেতে পারে, যাতে ব্যবহারকারীরা সঠিক ইউআরএলের মতো দেখতে যা অনুসরণ করে তারা যেভাবেই হোক দুর্বৃত্ত বিষয়বস্তুর সাথে শেষ হবে।
পুরানো অ্যাকাউন্টগুলি ক্ষতিকারক হিসাবে বিবেচিত
এই আক্রমণ (আমরা এটিকে বলব, যদিও হ্যাকারের দ্বারা কোনও বুবি-ট্র্যাপড কোড প্রকাশিত হয়নি) আপনি যাকে হাইব্রিড পদ্ধতি বলতে পারেন তা ব্যবহার করেছেন।
আক্রমণকারী চারটি পুরানো এবং নিষ্ক্রিয় প্যাকেজিস্ট অ্যাকাউন্ট খুঁজে পেয়েছে যার জন্য তারা কোনওভাবে লগইন পাসওয়ার্ডগুলি অর্জন করেছিল।
তারপরে তারা 14টি গিটহাব প্রকল্প চিহ্নিত করেছে যা এই নিষ্ক্রিয় অ্যাকাউন্টগুলির সাথে লিঙ্ক করা হয়েছিল এবং তাদের একটি নতুন তৈরি করা গিটহাব অ্যাকাউন্ট অনুলিপি করেছে।
অবশেষে, তারা নতুন GitHub সংগ্রহস্থলের দিকে নির্দেশ করতে প্যাকেজিস্ট সিস্টেমে প্যাকেজগুলিকে টুইক করেছে।
GitHub প্রকল্প ক্লোনিং অবিশ্বাস্যভাবে সাধারণ. কখনও কখনও, বিকাশকারীরা নতুন ব্যবস্থাপনার অধীনে প্রকল্পের একটি আসল কাঁটা (বিকল্প সংস্করণ) তৈরি করতে চায়, বা বিভিন্ন বৈশিষ্ট্য সরবরাহ করতে চায়; অন্য সময়ে, কাঁটাযুক্ত প্রকল্পগুলিকে অনুলিপি করা হয়েছে বলে মনে হয় যাকে অপ্রস্তুতভাবে "ভলিউমেট্রিক কারণ" বলা যেতে পারে, যার ফলে গিটহাব অ্যাকাউন্টগুলিকে সত্যিকারের তুলনায় আরও বড়, ভাল, ব্যস্ত এবং সম্প্রদায়ের প্রতি আরও বেশি প্রতিশ্রুতিবদ্ধ দেখায় (যদি আপনি শ্লেষ ক্ষমা করবেন)।
যদিও হ্যাকার ক্লোন করা গিটহাব পিএইচপি উত্সে দুর্বৃত্ত কোড ঢোকাতে পারত, যেমন ট্র্যাকার, কীলগার, ব্যাকডোর বা অন্যান্য ম্যালওয়্যার যোগ করা, মনে হচ্ছে তারা যা পরিবর্তন করেছে তা প্রতিটি প্রকল্পে একটি একক আইটেম ছিল: একটি ফাইল composer.json
.
এই ফাইলে একটি এন্ট্রি এনটাইটেল আছে description
, যা সাধারণত আপনি যা দেখতে চান ঠিক তা থাকে: উৎস কোডটি কীসের জন্য তা বর্ণনা করে একটি পাঠ্য স্ট্রিং।
এবং যে সব আমাদের হ্যাকার পরিবর্তিত, তথ্যপূর্ণ কিছু থেকে পাঠ্য পরিবর্তন, মত Project PPP implements the QQQ protocol so you can RRR
, যাতে তাদের প্রকল্পগুলি পরিবর্তে রিপোর্ট করে:
XXX@XXXXXX.com দ্বারা তৈরি। অ্যাপ্লিকেশন নিরাপত্তা, অনুপ্রবেশ পরীক্ষক, সাইবার নিরাপত্তা বিশেষজ্ঞ.
দ্বিতীয় বাক্যটি, অর্ধেক রাশিয়ান ভাষায়, অর্ধেক ইংরেজিতে, অর্থ:
আমি অ্যাপ্লিকেশন নিরাপত্তা... ইত্যাদিতে চাকরি খুঁজছি।
আমরা প্রত্যেকের জন্য কথা বলতে পারি না, কিন্তু সিভি (জীবনবৃত্তান্ত) যাওয়ার সাথে সাথে আমরা এটিকে ভয়ানকভাবে বিশ্বাসযোগ্য মনে করিনি।
এছাড়াও প্যাকেজিস্ট দল ড যে সমস্ত অননুমোদিত পরিবর্তনগুলি এখন প্রত্যাবর্তন করা হয়েছে, এবং 14টি ক্লোন করা গিটহাব প্রকল্পগুলিকে চাকরির জন্য pwner এর আবেদন অন্তর্ভুক্ত করা ছাড়া অন্য কোনও উপায়ে পরিবর্তন করা হয়নি৷
এটির মূল্যের জন্য, অ্যাপ্লিকেশন সুরক্ষা বিশেষজ্ঞের গিটহাব অ্যাকাউন্টটি এখনও লাইভ রয়েছে এবং এখনও এটিতে "কাঁটাযুক্ত"" প্রকল্পগুলি রয়েছে৷
আমরা জানি না যে GitHub এখনও অ্যাকাউন্ট বা প্রকল্পগুলি মুছে ফেলার জন্য রাউন্ড পায়নি বা সাইটটি সেগুলি সরানোর সিদ্ধান্ত নিয়েছে কিনা।
সর্বোপরি, কাঁটাচামচ প্রকল্পগুলি সাধারণ এবং অনুমোদিত (যেখানে লাইসেন্সিং শর্তাবলী অনুমতি দেয়, অন্তত), এবং যদিও পাঠ্যের সাথে একটি অ-দূষিত কোড প্রকল্পের বর্ণনা করা Pwned by XXXX@XXXX.com
অসহায়, এটা খুব কমই অবৈধ।
কি করো?
- এটা করবেন না। আপনি অবশ্যই কোনো বৈধ নিয়োগকর্তার আগ্রহকে আকর্ষণ করতে যাচ্ছেন না, এবং (যদি আমরা সৎ হই) আপনি সেখানেও কোনো সাইবারক্রুককে প্রভাবিত করতে যাচ্ছেন না।
- আপনি যদি সাহায্য করতে পারেন তবে অব্যবহৃত অ্যাকাউন্টগুলি সক্রিয় রাখবেন না। আমরা গতকাল বলেছিলাম বিশ্ব পাসওয়ার্ড ডে, আপনার আর প্রয়োজন নেই এমন অ্যাকাউন্টগুলি বন্ধ করার কথা বিবেচনা করুন, এই কারণে যে আপনি যত কম পাসওয়ার্ড ব্যবহার করছেন, চুরি হওয়ার ঘটনা তত কম।
- একাধিক অ্যাকাউন্টে পাসওয়ার্ড পুনরায় ব্যবহার করবেন না। প্যাকেজিস্টের অনুমান হল যে এই ক্ষেত্রে অপব্যবহার করা পাসওয়ার্ডগুলি অন্যান্য অ্যাকাউন্টের ডেটা লঙ্ঘনের রেকর্ডে পড়ে ছিল যেখানে শিকাররা তাদের প্যাকেজিস্ট অ্যাকাউন্টের মতো একই পাসওয়ার্ড ব্যবহার করেছিল।
- আপনার 2FA ভুলবেন না. প্যাকেজিস্টরা তার নিজস্ব ব্যবহারকারীদের 2FA চালু করার জন্য অনুরোধ করে, তাই আক্রমণকারীর জন্য আপনার অ্যাকাউন্টে লগ ইন করার জন্য শুধুমাত্র একটি পাসওয়ার্ডই যথেষ্ট নয় এবং আপনার GitHub অ্যাকাউন্টেও একই কাজ করার পরামর্শ দেয়।
- সাপ্লাই-চেইন আপডেটগুলি সঠিকতার জন্য পর্যালোচনা না করে অন্ধভাবে গ্রহণ করবেন না। আপনার যদি প্যাকেজ নির্ভরতাগুলির একটি জটিল ওয়েব থাকে, তবে এটি আপনার দায়িত্বগুলিকে একপাশে ফেলে দিতে এবং সিস্টেমটিকে আপনার সমস্ত আপডেটগুলি স্বয়ংক্রিয়ভাবে আনতে দিতে প্রলুব্ধ করে, তবে এটি আপনাকে এবং আপনার ডাউনস্ট্রিম ব্যবহারকারীদের অতিরিক্ত ঝুঁকিতে ফেলেছে৷
এখানে বিশ্ব পাসওয়ার্ড দিবসের সেই পরামর্শ
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
- PREIPO® এর সাথে PRE-IPO কোম্পানিতে শেয়ার কিনুন এবং বিক্রি করুন। এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 1
- 14
- 15%
- 2FA
- a
- সম্পর্কে
- পরম
- সমর্থন দিন
- হিসাব
- অ্যাকাউন্টস
- অর্জিত
- সক্রিয়
- যোগ
- অতিরিক্ত
- পরামর্শ
- সব
- অনুমতি
- একা
- বিকল্প
- যদিও
- an
- এবং
- কোন
- আবেদন
- অ্যাপ্লিকেশন নিরাপত্তা
- অভিগমন
- রয়েছি
- কাছাকাছি
- AS
- ধৃষ্টতা
- At
- লেখক
- গাড়ী
- স্বয়ংক্রিয়ভাবে
- এড়াতে
- পিছনে
- পটভূমি চিত্র
- BE
- হয়েছে
- আগে
- উত্তম
- মধ্যে
- বড়
- BleepingComputer
- অন্ধভাবে
- সীমান্ত
- পাদ
- লঙ্ঘন
- কিন্তু
- by
- কল
- নামক
- CAN
- কেস
- কেন্দ্র
- চেন
- পরিবর্তিত
- পরিবর্তন
- পরিবর্তন
- বন্ধ
- কোড
- রঙ
- এর COM
- প্রতিজ্ঞাবদ্ধ
- সাধারণ
- সম্প্রদায়
- জটিল
- উদ্বিগ্ন
- বিবেচনা
- বিবেচিত
- ধারণ
- বিষয়বস্তু
- অবদানকারী
- নিয়ন্ত্রণ
- কপি
- পারা
- আবরণ
- সৃষ্টি
- নির্মিত
- জীবনবৃত্তান্ত
- সাইবার
- সাইবার নিরাপত্তা
- উপাত্ত
- তথ্য ভঙ্গ
- তারিখ
- সিদ্ধান্ত নিয়েছে
- স্পষ্টভাবে
- বিস্তারিত
- ডেভেলপারদের
- বিভিন্ন
- প্রদর্শন
- do
- না
- করছেন
- Dont
- নিচে
- ডাউনলোড
- downside হয়
- প্রতি
- সহজ
- পারেন
- নিয়োগকারীদের
- চাকরি
- শেষ
- ইংরেজি
- যথেষ্ট
- প্রবেশ
- ইত্যাদি
- এমন কি
- সবাই
- ঠিক
- আশা করা
- ভক্ত
- বৈশিষ্ট্য
- সহকর্মী
- কম
- ফাইল
- আবিষ্কার
- অনুসৃত
- জন্য
- কাঁটাচামচ
- ফর্কিং
- পাওয়া
- চার
- থেকে
- অকৃত্রিম
- পাওয়া
- GitHub
- Go
- চালু
- গভীর ক্ষত
- হ্যাকার
- ছিল
- অর্ধেক
- আছে
- উচ্চতা
- সাহায্য
- সাহায্য
- রাখা
- বাতাসে ভাসিতে থাকা
- HTTPS দ্বারা
- অকুলীন
- i
- চিহ্নিত
- if
- অবৈধ
- সরঁজাম
- in
- নিষ্ক্রিয়
- অন্তর্ভুক্ত করা
- অন্তর্ভুক্ত
- অবিশ্বাস্যভাবে
- অবশ্যম্ভাবীরূপে
- তথ্যপূর্ণ
- পরিবর্তে
- স্বার্থ
- মধ্যে
- IT
- এর
- নিজেই
- জাভাস্ক্রিপ্ট
- কাজ
- মাত্র
- রাখা
- জানা
- অন্তত
- ত্যাগ
- বাম
- বৈধ
- লাইব্রেরি
- লাইসেন্সকরণ
- মত
- সংযুক্ত
- লিঙ্ক
- জীবিত
- লগ ইন করুন
- লগইন
- দেখুন
- তাকিয়ে
- খুঁজছি
- বজায় রাখা
- তৈরি করে
- মেকিং
- ম্যালওয়্যার
- পরিচালিত
- ব্যবস্থাপনা
- পরিচালক
- মার্জিন
- সর্বোচ্চ প্রস্থ
- মানে
- হতে পারে
- পরিবর্তিত
- অধিক
- প্রয়োজন
- নতুন
- না।
- সাধারণ
- লক্ষণীয়ভাবে
- এখন
- of
- নৈবেদ্য
- কর্মকর্তা
- পুরাতন
- on
- ONE
- or
- অন্যান্য
- আমাদের
- বাইরে
- নিজের
- প্যাকেজ
- প্যাকেজ
- প্যাকেজিং
- পাসওয়ার্ড
- পাসওয়ার্ড
- পল
- অনুপ্রবেশ
- পিএইচপি
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিন্দু
- অবস্থান
- পোস্ট
- পিপিপি
- সমস্যা
- প্রোগ্রামাররা
- প্রকল্প
- প্রকল্প
- প্রোটোকল
- উপলব্ধ
- প্রকাশ করা
- প্রকাশিত
- রাখে
- সত্যিই
- বিশেষ পরামর্শ দেওয়া হচ্ছে
- রেকর্ড
- রিলিজ
- অপসারণ
- রিপোর্ট
- সংগ্রহস্থলের
- দায়িত্ব
- পর্যালোচনা
- ঝুঁকি
- বৃত্তাকার
- রাশিয়ান
- বলেছেন
- একই
- দ্বিতীয়
- নিরাপত্তা
- দেখ
- মনে
- মনে হয়
- বাক্য
- সেবা
- একক
- সাইট
- So
- অনুরোধ
- কঠিন
- কিছু
- উৎস
- সোর্স কোড
- কথা বলা
- বিশেষজ্ঞ
- এখনো
- অপহৃত
- সঞ্চিত
- দোকান
- স্ট্রিং
- এমন
- সরবরাহ
- সরবরাহ শৃঙ্খল
- করা SVG
- পদ্ধতি
- টীম
- শর্তাবলী
- চেয়ে
- যে
- সার্জারির
- প্রকল্পগুলি
- উৎস
- তাদের
- তাহাদিগকে
- তারপর
- সেখানে।
- এইগুলো
- তারা
- এই
- সেগুলো
- যদিও?
- বার
- থেকে
- অত্যধিক
- শীর্ষ
- শিরসঁচালন
- trackers
- রূপান্তর
- স্বচ্ছ
- চালু
- দুই
- অধীনে
- অব্যবহৃত
- আপডেট
- ওলট
- কমিটি
- URL টি
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- সাধারণত
- সংস্করণ
- মাধ্যমে
- ক্ষতিগ্রস্তদের
- প্রয়োজন
- ছিল
- উপায়..
- উপায়
- we
- ওয়েব
- সুপরিচিত
- ছিল
- কি
- কিনা
- যে
- হু
- ইচ্ছা
- সঙ্গে
- ছাড়া
- বিশ্ব
- মূল্য
- would
- লিখিত
- এখনো
- আপনি
- আপনার
- zephyrnet