हमने PHP के बारे में लिखा है पैकगिस्ट पारिस्थितिकी तंत्र पहले.
Pythonistas के लिए PyPI की तरह, Ruby प्रशंसकों के लिए Gems, JavaScript प्रोग्रामर के लिए NPM, या Luaphiles के लिए LuaRocks, Packagist एक रिपॉजिटरी है जहां सामुदायिक योगदानकर्ता उनके द्वारा बनाए गए PHP पैकेजों का विवरण प्रकाशित कर सकते हैं।
यह साथी PHP कोडर के लिए पुस्तकालय कोड को पकड़ना आसान बनाता है जिसे वे अपनी परियोजनाओं में उपयोग करना चाहते हैं, और यदि वे चाहें तो कोड को स्वचालित रूप से अद्यतित रखना चाहते हैं।
PyPI के विपरीत, जो अपने स्वयं के सर्वर प्रदान करता है जहां वास्तविक पुस्तकालय कोड संग्रहीत किया जाता है (या LuaRocks, जो कभी-कभी प्रोजेक्ट स्रोत कोड को स्वयं संग्रहीत करता है और कभी-कभी अन्य रिपॉजिटरी से लिंक करता है), पैकगिस्ट लिंक करता है, लेकिन आपके द्वारा कोड की प्रतियां नहीं रखता है। डाउनलोड करने की जरूरत है।
इसे इस तरह से करने का एक लाभ यह है कि गिटहब जैसी प्रसिद्ध स्रोत कोड सेवाओं के माध्यम से प्रबंधित की जाने वाली परियोजनाओं को उनके आधिकारिक रिलीज की दो प्रतियों को बनाए रखने की आवश्यकता नहीं है, जो "संस्करण बहाव" की समस्या से बचने में मदद करता है। स्रोत कोड नियंत्रण प्रणाली और पैकेजिंग प्रणाली।
और एक नकारात्मक पहलू है, विशेष रूप से अनिवार्य रूप से दो अलग-अलग तरीके हैं जिनसे पैकेजों को फंसाया जा सकता है।
पैकेज मैनेजर खुद हैक हो सकता है, जहां एक URL को बदलना पैकेज के उपयोगकर्ताओं को गुमराह करने के लिए पर्याप्त हो सकता है।
या स्रोत कोड रिपॉजिटरी जो कि लिंक किया गया है, हैक हो सकता है, ताकि जो उपयोगकर्ता सही URL की तरह दिखने वाले का अनुसरण करते हैं, वे वैसे भी दुष्ट सामग्री के साथ समाप्त हो जाएंगे।
पुराने खाते हानिकारक माने जाते हैं
इस आक्रमण (हम इसे ऐसा कहेंगे, भले ही संबंधित हैकर द्वारा कोई बूबी-ट्रैप्ड कोड प्रकाशित नहीं किया गया था) जिसे आप हाइब्रिड दृष्टिकोण कह सकते हैं।
हमलावर को चार पुराने और निष्क्रिय पैकगिस्ट खाते मिले, जिनके लिए उन्होंने किसी तरह लॉगिन पासवर्ड हासिल कर लिए थे।
फिर उन्होंने 14 गिटहब परियोजनाओं की पहचान की जो इन निष्क्रिय खातों से जुड़े थे और उन्हें एक नव निर्मित गिटहब खाते की प्रतिलिपि बनाई।
अंत में, उन्होंने नए GitHub रिपॉजिटरी को इंगित करने के लिए पैकगिस्ट सिस्टम में पैकेजों को ट्वीक किया।
क्लोनिंग गिटहब परियोजनाएं अविश्वसनीय रूप से आम हैं। कभी-कभी, डेवलपर्स नए प्रबंधन के तहत परियोजना का एक वास्तविक कांटा (वैकल्पिक संस्करण) बनाना चाहते हैं, या विभिन्न सुविधाओं की पेशकश करते हैं; अन्य समयों में, फोर्क्ड प्रोजेक्ट्स की नकल की जाती है, जिसे अनाकर्षक रूप से "वॉल्यूमेट्रिक कारण" कहा जा सकता है, जिससे GitHub खाते बड़े, बेहतर, व्यस्त और समुदाय के प्रति अधिक प्रतिबद्ध दिखते हैं (यदि आप दंड को क्षमा करेंगे) तो वे वास्तव में हैं।
हालांकि हैकर क्लोन किए गए GitHub PHP स्रोत में दुष्ट कोड डाल सकता था, जैसे ट्रैकर्स, कीलॉगर्स, बैकडोर या अन्य मैलवेयर जोड़ना, ऐसा लगता है कि उन्होंने जो कुछ भी बदला वह प्रत्येक प्रोजेक्ट में एक ही आइटम था: एक फ़ाइल जिसे कहा जाता है composer.json
.
इस फ़ाइल में एक प्रविष्टि शामिल है जिसका शीर्षक है description
, जिसमें आम तौर पर वही होता है जो आप देखने की उम्मीद करते हैं: स्रोत कोड क्या है इसका वर्णन करने वाली एक टेक्स्ट स्ट्रिंग।
और यह सब हमारे हैकर ने संशोधित किया है, पाठ को कुछ सूचनात्मक से बदल रहा है, जैसे Project PPP implements the QQQ protocol so you can RRR
, ताकि उनके प्रोजेक्ट इसके बजाय रिपोर्ट करें:
XXX@XXXX.com द्वारा अधिकृत। वह एप्लिकेशन सुरक्षा, प्रवेश परीक्षक, साइबर सुरक्षा विशेषज्ञ को देखता है।
दूसरा वाक्य, आधा रूसी में और आधा अंग्रेजी में लिखा गया है, जिसका अर्थ है:
मैं एप्लिकेशन सुरक्षा में नौकरी ढूंढ रहा हूं... आदि।
हम सभी के लिए बात नहीं कर सकते, लेकिन सीवी (रिज्यूमे) के रूप में, हमें यह बहुत आश्वस्त करने वाला नहीं लगा।
यह भी पैकगिस्ट टीम का कहना है कि सभी अनधिकृत परिवर्तन अब वापस कर दिए गए हैं, और यह कि 14 क्लोन किए गए GitHub प्रोजेक्ट्स को किसी अन्य तरीके से संशोधित नहीं किया गया था, जिसमें पनेर के रोजगार के अनुरोध को शामिल किया गया था।
इसके लायक होने के लिए, अनुप्रयोग सुरक्षा विशेषज्ञ का गिटहब खाता अभी भी लाइव है, और इसमें अभी भी "फोर्क्ड" परियोजनाएं हैं।
हम नहीं जानते हैं कि क्या GitHub ने अभी तक खाते या परियोजनाओं को निकालने का दौर शुरू नहीं किया है, या साइट ने उन्हें न हटाने का फैसला किया है या नहीं।
आखिरकार, फोर्किंग परियोजनाएं सामान्य और अनुमेय हैं (जहां कम से कम लाइसेंस शर्तों की अनुमति है), और हालांकि पाठ के साथ एक गैर-दुर्भावनापूर्ण कोड परियोजना का वर्णन करना Pwned by XXXX@XXXX.com
अनुपयोगी है, यह शायद ही अवैध है।
क्या करना है?
- यह मत करो। आप निश्चित रूप से किसी भी वैध नियोक्ता के हित को आकर्षित नहीं करने जा रहे हैं, और (यदि हम ईमानदार हैं) तो आप किसी साइबर बदमाश को प्रभावित करने वाले भी नहीं हैं।
- यदि आप इसमें मदद कर सकते हैं तो अप्रयुक्त खातों को सक्रिय न छोड़ें। जैसा कि हमने कल कहा था विश्व पासवर्ड दिवस, उन खातों को बंद करने पर विचार करें जिनकी आपको अब आवश्यकता नहीं है, क्योंकि आपके पास जितने कम पासवर्ड उपयोग होंगे, चोरी होने की संभावना उतनी ही कम होगी।
- एक से अधिक खातों पर पासवर्ड का पुन: उपयोग न करें। पैकगिस्ट की धारणा यह है कि इस मामले में दुरुपयोग किए गए पासवर्ड अन्य खातों के डेटा ब्रीच रिकॉर्ड में पड़े हुए थे, जहां पीड़ितों ने अपने पैकगिस्ट खाते के समान पासवर्ड का उपयोग किया था।
- अपने 2FA को न भूलें। Packagists अपने सभी उपयोगकर्ताओं से 2FA चालू करने का आग्रह करता है, इसलिए किसी हमलावर के लिए आपके खाते में लॉग इन करने के लिए केवल एक पासवर्ड पर्याप्त नहीं है, और आपके GitHub खाते पर भी ऐसा करने की अनुशंसा करता है।
- आपूर्ति-श्रृंखला अद्यतनों की शुद्धता की समीक्षा किए बिना आँख बंद करके उन्हें स्वीकार न करें। यदि आपके पास पैकेज निर्भरता का एक जटिल वेब है, तो यह आपकी जिम्मेदारियों को एक तरफ उछालने और सिस्टम को आपके सभी अपडेट स्वचालित रूप से प्राप्त करने के लिए आकर्षक है, लेकिन यह आपको और आपके डाउनस्ट्रीम उपयोगकर्ताओं को अतिरिक्त जोखिम में डालता है।
विश्व पासवर्ड दिवस की वह सलाह यहां दी गई है
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
- PREIPO® के साथ PRE-IPO कंपनियों में शेयर खरीदें और बेचें। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 1
- 14
- 15% तक
- 2FA
- a
- About
- पूर्ण
- स्वीकार करें
- लेखा
- अकौन्टस(लेखा)
- प्राप्त
- सक्रिय
- जोड़ने
- अतिरिक्त
- सलाह
- सब
- अनुमति देना
- अकेला
- वैकल्पिक
- हालांकि
- an
- और
- कोई
- आवेदन
- अनुप्रयोग सुरक्षा
- दृष्टिकोण
- हैं
- चारों ओर
- AS
- कल्पना
- At
- लेखक
- स्वत:
- स्वतः
- से बचने
- पिछले दरवाजे
- पृष्ठभूमि छवि
- BE
- किया गया
- से पहले
- बेहतर
- के बीच
- बड़ा
- BleepingComputer
- आंखों पर पट्टी से
- सीमा
- तल
- भंग
- लेकिन
- by
- कॉल
- बुलाया
- कर सकते हैं
- मामला
- केंद्र
- श्रृंखला
- बदल
- परिवर्तन
- बदलना
- समापन
- कोड
- रंग
- COM
- प्रतिबद्ध
- सामान्य
- समुदाय
- जटिल
- चिंतित
- विचार करना
- माना
- शामिल हैं
- सामग्री
- योगदानकर्ताओं
- नियंत्रण
- प्रतियां
- सका
- आवरण
- बनाना
- बनाया
- CVS
- साइबर
- साइबर सुरक्षा
- तिथि
- डेटा भंग
- तारीख
- का फैसला किया
- निश्चित रूप से
- विवरण
- डेवलपर्स
- विभिन्न
- डिस्प्ले
- do
- नहीं करता है
- कर
- dont
- नीचे
- डाउनलोड
- नकारात्मक पक्ष यह है
- से प्रत्येक
- आसान
- भी
- नियोक्ताओं
- रोजगार
- समाप्त
- अंग्रेज़ी
- पर्याप्त
- प्रविष्टि
- आदि
- और भी
- हर कोई
- ठीक ठीक
- उम्मीद
- प्रशंसकों
- विशेषताएं
- साथी
- कम
- पट्टिका
- खोज
- पीछा किया
- के लिए
- कांटा
- फोर्किंग
- पाया
- चार
- से
- असली
- मिल
- GitHub
- Go
- जा
- hacked
- हैकर
- था
- आधा
- है
- ऊंचाई
- मदद
- मदद करता है
- पकड़
- मंडराना
- HTTPS
- संकर
- i
- पहचान
- if
- अवैध
- औजार
- in
- निष्क्रिय
- शामिल
- शामिल
- अविश्वसनीय रूप से
- अनिवार्य रूप से
- जानकारीपूर्ण
- बजाय
- ब्याज
- में
- IT
- आईटी इस
- खुद
- जावास्क्रिप्ट
- काम
- केवल
- रखना
- जानना
- कम से कम
- छोड़ना
- बाएं
- वैध
- पुस्तकालय
- लाइसेंसिंग
- पसंद
- जुड़ा हुआ
- लिंक
- जीना
- लॉग इन
- लॉग इन
- देखिए
- देखा
- देख
- बनाए रखना
- बनाता है
- निर्माण
- मैलवेयर
- कामयाब
- प्रबंध
- प्रबंधक
- हाशिया
- अधिकतम-चौड़ाई
- साधन
- हो सकता है
- संशोधित
- अधिक
- आवश्यकता
- नया
- नहीं
- साधारण
- विशेष रूप से
- अभी
- of
- की पेशकश
- सरकारी
- पुराना
- on
- ONE
- or
- अन्य
- हमारी
- आउट
- अपना
- पैकेज
- संकुल
- पैकेजिंग
- पासवर्ड
- पासवर्ड
- पॉल
- प्रवेश
- PHP
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- स्थिति
- पोस्ट
- पीपीपी
- मुसीबत
- प्रोग्रामर्स
- परियोजना
- परियोजनाओं
- प्रोटोकॉल
- प्रदान करता है
- प्रकाशित करना
- प्रकाशित
- डालता है
- वास्तव में
- की सिफारिश की
- अभिलेख
- विज्ञप्ति
- हटाना
- की सूचना दी
- कोष
- जिम्मेदारियों
- की समीक्षा
- जोखिम
- दौर
- रूसी
- कहा
- वही
- दूसरा
- सुरक्षा
- देखना
- लगता है
- लगता है
- वाक्य
- सेवाएँ
- एक
- साइट
- So
- लोभ
- ठोस
- कुछ
- स्रोत
- स्रोत कोड
- बोलना
- विशेषज्ञ
- फिर भी
- चुराया
- संग्रहित
- भंडार
- तार
- ऐसा
- आपूर्ति
- आपूर्ति श्रृंखला
- एसवीजी
- प्रणाली
- टीम
- शर्तों
- से
- कि
- RSI
- परियोजनाएं
- स्रोत
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- इसका
- उन
- हालांकि?
- बार
- सेवा मेरे
- भी
- ऊपर का
- टॉस
- ट्रैकर्स
- संक्रमण
- पारदर्शी
- मोड़
- दो
- के अंतर्गत
- अप्रयुक्त
- अपडेट
- उल्टा
- आग्रह
- यूआरएल
- उपयोग
- प्रयुक्त
- उपयोगकर्ताओं
- आमतौर पर
- संस्करण
- के माध्यम से
- शिकार
- करना चाहते हैं
- था
- मार्ग..
- तरीके
- we
- वेब
- प्रसिद्ध
- थे
- क्या
- या
- कौन कौन से
- कौन
- मर्जी
- साथ में
- बिना
- विश्व
- लायक
- होगा
- लिखा हुआ
- अभी तक
- इसलिए आप
- आपका
- जेफिरनेट