PyPI ওপেন সোর্স কোড রিপোজিটরি ম্যানিক ম্যালওয়্যার ম্যালস্ট্রমের সাথে ডিল করে

পাবলিক সোর্স কোড সংগ্রহস্থল, থেকে SourceForge থেকে GitHub, থেকে লিনাক্স কার্নেল আর্কাইভস থেকে ReactOS.org, থেকে পিএইচপি প্যাকেজিস্ট থেকে পাইথন প্যাকেজ সূচক, ভাল হিসাবে পরিচিত PyPI, বিনামূল্যের অপারেটিং সিস্টেম, অ্যাপ্লিকেশন, প্রোগ্রামিং লাইব্রেরি, এবং ডেভেলপারদের টুলকিটগুলির একটি চমত্কার উৎস (দুঃখিত!) যা কম্পিউটার বিজ্ঞান এবং সফ্টওয়্যার ইঞ্জিনিয়ারিং একটি ভাল বিশ্ব করেছে৷

বেশিরভাগ সফ্টওয়্যার প্রকল্পগুলির জন্য "সহায়ক" কোডের প্রয়োজন হয় যা সমস্যাটির একটি মৌলিক অংশ নয় যা প্রকল্প নিজেই সমাধান করার চেষ্টা করছে, যেমন সিস্টেম লগে লেখার জন্য ইউটিলিটি ফাংশন, রঙিন আউটপুট তৈরি করা, একটি ওয়েব পরিষেবাতে স্ট্যাটাস রিপোর্ট আপলোড করা, পুরানো ডেটার ব্যাকআপ আর্কাইভ তৈরি করা, ইত্যাদি।

এই ধরনের ক্ষেত্রে, আপনি অনেকগুলি উপলব্ধ সংগ্রহস্থলের একটিতে ইতিমধ্যেই বিদ্যমান একটি প্যাকেজ অনুসন্ধান করে এবং সেই বাহ্যিক প্যাকেজটিকে আপনার নিজস্ব সোর্স কোডের ট্রিতে হুক করে সময় বাঁচাতে পারেন (এবং অন্য লোকের দক্ষতা থেকে বিনামূল্যে উপকৃত হতে পারেন)৷

অন্য দিকে, আপনি যদি নিজের একটি প্রকল্পে কাজ করছেন যাতে এমন কিছু দরকারী ইউটিলিটি রয়েছে যা আপনি অন্য কোথাও খুঁজে পাননি, তাহলে আপনি আপনার কোড প্যাকেজিং করে এবং এটি উপলব্ধ করে বিনিময়ে সম্প্রদায়কে কিছু অফার করতে আগ্রহী বোধ করতে পারেন অন্য সবার জন্য বিনামূল্যে।

বিনামূল্যে খরচ

আপনি নিঃসন্দেহে সচেতন, যাইহোক, কমিউনিটি সোর্স কোড রিপোজিটরিগুলি তাদের সাথে সাইবার নিরাপত্তা চ্যালেঞ্জ নিয়ে আসে:

• জনপ্রিয় প্যাকেজ যা হঠাৎ অদৃশ্য হয়ে যায়। কখনও কখনও, প্যাকেজগুলি যেগুলি একজন ভালমানুষ প্রোগ্রামার সম্প্রদায়কে দান করেছেন তা এত জনপ্রিয় হয়ে ওঠে যে তারা হাজার হাজার বা এমনকি কয়েক হাজার বড় প্রকল্পের একটি গুরুত্বপূর্ণ অংশ হয়ে ওঠে যা তাদের মঞ্জুর করে। কিন্তু যদি মূল প্রোগ্রামার সম্প্রদায় থেকে প্রত্যাহার করার এবং তাদের প্রকল্পগুলি মুছে ফেলার সিদ্ধান্ত নেয় (যা তাদের উপর নির্ভর করার জন্য বেছে নেওয়া হয়েছে এমন কারও কাছে যদি তাদের কোনও আনুষ্ঠানিক চুক্তিবদ্ধ বাধ্যবাধকতা না থাকে তবে এটি করার তাদের সম্পূর্ণ অধিকার আছে), পার্শ্ব প্রতিক্রিয়াগুলি সাময়িকভাবে বিপর্যয়কর হতে পারে, অন্যান্য লোকের প্রকল্পগুলি হঠাৎ করে এমন একটি রাজ্যে "আপডেট" করে যেখানে তাদের কোডের একটি প্রয়োজনীয় অংশ অনুপস্থিত।
• মন্দের জন্য সক্রিয়ভাবে হাইজ্যাক করা প্রকল্পগুলি। সাইবার অপরাধীরা যারা অনুমান করে, চুরি করে বা অন্য লোকেদের প্রকল্পে পাসওয়ার্ড কিনে দেয় তারা কোডে ম্যালওয়্যার ইনজেক্ট করতে পারে এবং যে কেউ ইতিমধ্যেই একবার-নিরীহ প্যাকেজটিকে বিশ্বাস করে তারা অজান্তেই নিজেদের (এবং সম্ভবত তাদের নিজস্ব গ্রাহকদের) ম্যালওয়্যার দ্বারা সংক্রামিত করবে যদি তারা দুর্বৃত্ত "আপডেট" ডাউনলোড করে। স্বয়ংক্রিয়ভাবে. এমনকি আসল রক্ষণাবেক্ষণকারী আপলোড অ্যাক্সেসের সাথে তাদের বিশ্বাস করার সিদ্ধান্ত না নেওয়া পর্যন্ত, প্রকল্পে যোগদান করে এবং কিছু সময়ের জন্য সত্যিই সহায়ক হয়ে, সামাজিক প্রকৌশল কৌশল ব্যবহার করে পুরানো প্রকল্পগুলিও দখল করতে পারে।
• দুর্বৃত্ত প্যাকেজ যারা নির্দোষ বেশী মাস্করেড. ক্রুকস নিয়মিতভাবে এমন প্যাকেজ আপলোড করে যেগুলির নাম রয়েছে যা সুপরিচিত প্রকল্পগুলির যথেষ্ট কাছাকাছি যা অন্য ব্যবহারকারীরা ডাউনলোড করে এবং ভুলবশত ব্যবহার করে, একটি আক্রমণে যা হাস্যকরভাবে পরিচিত টাইপোস্ক্যাটিং. (একই কৌশল ওয়েবসাইটগুলির জন্যও কাজ করে, এই আশায় যে একজন ব্যবহারকারী যে ইউআরএলটি সামান্য টাইপ করে তার পরিবর্তে একটি বোগাস লুক-সদৃশ সাইটে শেষ হবে।) দুর্বৃত্তরা সাধারণত আসল প্যাকেজটিকে প্রথমে ক্লোন করে, তাই এটি এখনও আসল প্যাকেজের সমস্ত কার্য সম্পাদন করে , কিন্তু কিছু অতিরিক্ত দূষিত আচরণের সাথে কোডের গভীরে সমাহিত।
• তথাকথিত "গবেষকদের" দ্বারা উদাসীন আচরণ। আমাদের দুঃখজনকভাবে এই ধরণের সম্ভবত-আইনি-কিন্তু-নৈতিক-সন্দেহজনক আচরণ সম্পর্কে বেশ কয়েকবার লিখতে হয়েছিল। উদাহরণগুলির মধ্যে একজন মার্কিন পিএইচডি ছাত্র এবং তাদের তত্ত্বাবধায়ক যারা ইচ্ছাকৃতভাবে অন্তর্ভুক্ত জাল প্যাচ আপলোড একটি অননুমোদিত পরীক্ষার অংশ হিসাবে লিনাক্স কার্নেলে মূল লিনাক্স টিমকে বাছাই করার জন্য ছেড়ে দেওয়া হয়েছিল, এবং ডাকনাম সহ একজন স্ব-সেবাকারী "বিশেষজ্ঞ" সাপ্লাই চেইন ঝুঁকি যিনি তথাকথিত সাপ্লাই চেইন আক্রমণের ঝুঁকির অনুস্মারক হিসাবে PyPI সংগ্রহস্থলে একটি বুবি-ট্র্যাপড জাল প্রকল্প আপলোড করেছেন। SC Risks তারপর তাদের প্রুফ-অফ-ধারণা "গবেষণা" প্যাকেজ অনুসরণ করে a আরও 3950 প্যাকেজ, সেগুলিকে খুঁজে পেতে এবং মুছে ফেলতে PyPI টিমকে রেখে যাচ্ছি৷

দুর্বৃত্ত আপলোডাররা

দুর্ভাগ্যবশত, PyPI গত সপ্তাহান্তে একগুচ্ছ দুর্বৃত্ত, স্বয়ংক্রিয় আপলোড দ্বারা ক্ষতিগ্রস্ত হয়েছে বলে মনে হচ্ছে।

দলটি, সম্ভবত বোধগম্যভাবে, আক্রমণটি কীভাবে করা হয়েছিল সে সম্পর্কে এখনও কোনও বিবরণ দেয়নি, তবে সাইটটি সাময়িকভাবে অবরুদ্ধ নতুন কেউ যোগদান থেকে, এবং বিদ্যমান ব্যবহারকারীদের নতুন প্রকল্প তৈরি করা থেকে অবরুদ্ধ করেছে:

PyPI-তে নতুন ব্যবহারকারী এবং নতুন প্রকল্পের নাম নিবন্ধন সাময়িকভাবে স্থগিত করা হয়েছে। বিগত সপ্তাহে সূচকে দূষিত ব্যবহারকারী এবং দূষিত প্রকল্প তৈরি করা হয়েছে, বিশেষ করে একাধিক PyPI অ্যাডমিনিস্ট্রেটরদের ছুটিতে থাকাকালীন সময়ে এটির প্রতিক্রিয়া জানাতে আমাদের ক্ষমতাকে ছাড়িয়ে গেছে।

আমরা সপ্তাহান্তে পুনরায় গ্রুপ করার সময়, নতুন ব্যবহারকারী এবং নতুন প্রকল্প নিবন্ধন সাময়িকভাবে স্থগিত করা হয়েছে। [2023-05-20T16:02:00Z]

আমরা অনুমান করছি যে আক্রমণকারীরা দুর্বৃত্ত প্যাকেজ দিয়ে সাইট প্লাবিত করার জন্য স্বয়ংক্রিয় সরঞ্জাম ব্যবহার করছিল, সম্ভবত আশা করা হচ্ছে যে যদি তারা যথেষ্ট চেষ্টা করে, কিছু দূষিত বিষয়বস্তু নোটিশ এড়াতে পারে এবং সাইট পরিষ্কার করার প্রচেষ্টার পরেও পিছিয়ে পড়ে যায়, এইভাবে কী সম্পন্ন হয় আপনি একটি কল করতে পারেন নিরাপত্তা বাইপাস আক্রমণ...

…অথবা সম্ভবত সাইট অ্যাডমিনিস্ট্রেটররা এটিকে সাজানোর জন্য পুরো সাইটটিকে অফলাইনে নিতে বাধ্য বোধ করবেন, যার ফলে একটি পরিষেবা আক্রমণ অস্বীকার, বা DoS.

ভাল খবর হল যে মাত্র 24 ঘন্টার মধ্যে, দলটি সমস্যার শীর্ষে উঠেছিল, এবং ঘোষণা করতে সক্ষম হয়েছিল, "স্থগিতাদেশ প্রত্যাহার করা হয়েছে।"

অন্য কথায়, যদিও PyPI সপ্তাহান্তে 100% কার্যকরী ছিল না, সাইট বা এর লক্ষ লক্ষ ব্যবহারকারীর বিরুদ্ধে পরিষেবার কোন সত্য অস্বীকার করা হয়নি।

কি করো?

• নামটি সঠিক দেখায় বলে একটি সংগ্রহস্থল প্যাকেজ নির্বাচন করবেন না। আপনি সত্যই সঠিক প্রকাশকের কাছ থেকে সঠিক মডিউলটি ডাউনলোড করছেন কিনা তা পরীক্ষা করুন। এমনকি বৈধ মডিউলগুলির মাঝে মাঝে এমন নাম থাকে যা সংঘর্ষ, প্রতিযোগিতা বা বিভ্রান্ত করে।
• অন্ধভাবে আপনার নিজস্ব বিকাশ বা বিল্ড সিস্টেমে প্যাকেজ আপডেটগুলি ডাউনলোড করবেন না। আপনি ব্যবহারের জন্য অনুমোদন করার আগে আপনার ডাউনলোড করা সবকিছু পরীক্ষা করুন এবং পর্যালোচনা করুন। মনে রাখবেন যে প্যাকেজগুলি সাধারণত আপডেট-টাইম স্ক্রিপ্টগুলি অন্তর্ভুক্ত করে যা আপনি আপডেট করার সময় চালিত হয়, তাই ম্যালওয়্যার সংক্রমণগুলি আপডেট প্রক্রিয়ার মাধ্যমেই বিতরণ করা যেতে পারে, প্যাকেজ উত্স কোডের অংশ হিসাবে নয় যা পরে ছেড়ে যায়৷
• আক্রমণকারীদের আপনার নিজের প্যাকেজে প্রবেশ করা সহজ করবেন না। সঠিক পাসওয়ার্ড চয়ন করুন, যখনই পারেন 2FA ব্যবহার করুন এবং আপনার প্রকল্পে নতুনদের অন্ধভাবে বিশ্বাস করবেন না যত তাড়াতাড়ি তারা রক্ষণাবেক্ষণকারী অ্যাক্সেস পেতে শুরু করবে, আপনি অন্য কারো হাতে লাগাম দিতে যতই আগ্রহী হন না কেন।
• আপনি কি জানেন একটি হতে না. এই গল্পটি আমাদের সকলকে মনে করিয়ে দেয়, ওপেন সোর্স সম্প্রদায়ের স্বেচ্ছাসেবকদের প্রকৃত সাইবার অপরাধীদের সাথে "গবেষকদের" মোকাবেলা না করেই যথেষ্ট সমস্যা হয় যারা তাদের নিজস্ব সুবিধার জন্য ধারণার প্রমাণ আক্রমণ পরিচালনা করে, তা একাডেমিক উদ্দেশ্যে হোক বা বড়াই করার অধিকারের জন্য (বা উভয়)।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
• PREIPO® এর সাথে PRE-IPO কোম্পানিতে শেয়ার কিনুন এবং বিক্রি করুন। এখানে প্রবেশ করুন.
• উত্স: https://nakedsecurity.sophos.com/2023/05/23/pypi-open-source-code-repository-deals-with-manic-malware-maelstrom/