ہم نے پی ایچ پی کے بارے میں لکھا ہے۔ پیکجسٹ ماحولیاتی نظام سے پہلے.
Pythonistas کے لیے PyPI، روبی کے پرستاروں کے لیے Gems، JavaScript پروگرامرز کے لیے NPM، یا Luaphiles کے لیے LuaRocks کی طرح، Packagist ایک ذخیرہ ہے جہاں کمیونٹی کے تعاون کرنے والے اپنے بنائے ہوئے PHP پیکجوں کی تفصیلات شائع کر سکتے ہیں۔
اس سے پی ایچ پی کے ساتھی کوڈرز کے لیے لائبریری کوڈ حاصل کرنا آسان ہو جاتا ہے جو وہ اپنے پروجیکٹس میں استعمال کرنا چاہتے ہیں، اور اگر وہ چاہیں تو اس کوڈ کو خود بخود اپ ٹو ڈیٹ رکھ سکتے ہیں۔
PyPI کے برعکس، جو اپنے سرور فراہم کرتا ہے جہاں اصل لائبریری کوڈ ذخیرہ کیا جاتا ہے (یا LuaRocks، جو کبھی کبھی پروجیکٹ سورس کوڈ کو خود اسٹور کرتا ہے اور کبھی کبھی دوسرے ریپوزٹریز سے لنک کرتا ہے)، پیکجسٹ اس سے لنک کرتا ہے، لیکن خود اس کی کاپیاں نہیں رکھتا، کوڈ آپ کو۔ ڈاؤن لوڈ کرنے کی ضرورت ہے۔
اس طرح کرنے کا ایک فائدہ ہے، خاص طور پر وہ پروجیکٹس جن کا انتظام معروف سورس کوڈ سروسز جیسے کہ گٹ ہب کے ذریعے کیا جاتا ہے، کو اپنی آفیشل ریلیز کی دو کاپیاں برقرار رکھنے کی ضرورت نہیں ہے، جس سے "ورژن ڈرفٹ" کے مسئلے سے بچنے میں مدد ملتی ہے۔ سورس کوڈ کنٹرول سسٹم اور پیکیجنگ سسٹم۔
اور ایک منفی پہلو بھی ہے، خاص طور پر یہ کہ لامحالہ دو مختلف طریقے ہیں جن سے پیکجوں کو بوبی پھنسایا جا سکتا ہے۔
پیکیج مینیجر ہی ہیک ہو سکتا ہے، جہاں ایک یو آر ایل کو تبدیل کرنا پیکج کے صارفین کو گمراہ کرنے کے لیے کافی ہو سکتا ہے۔
یا سورس کوڈ ریپوزٹری جس سے منسلک ہے ہیک ہو سکتا ہے، تاکہ وہ صارفین جو درست URL کی طرح نظر آتے ہیں اس کی پیروی کرنے والے بہرحال بدمعاش مواد کے ساتھ ختم ہو جائیں۔
پرانے اکاؤنٹس کو نقصان دہ سمجھا جاتا ہے۔
یہ حملہ (ہم اسے کہیں گے، حالانکہ متعلقہ ہیکر کی طرف سے کوئی بوبی ٹریپڈ کوڈ شائع نہیں کیا گیا تھا) اس نے استعمال کیا جسے آپ ہائبرڈ اپروچ کہہ سکتے ہیں۔
حملہ آور کو چار پرانے اور غیر فعال پیکجسٹ اکاؤنٹس ملے جن کے لیے اس نے کسی نہ کسی طرح لاگ ان پاس ورڈ حاصل کر لیے تھے۔
اس کے بعد انہوں نے 14 GitHub پروجیکٹس کی نشاندہی کی جو ان غیر فعال اکاؤنٹس کے ذریعے منسلک تھے اور انہیں ایک نئے GitHub اکاؤنٹ کی کاپی کیا۔
آخر میں، انہوں نے نئے GitHub ذخیروں کی طرف اشارہ کرنے کے لیے پیکجسٹ سسٹم میں پیکجوں کو موافق بنایا۔
GitHub منصوبوں کی کلوننگ ناقابل یقین حد تک عام ہے۔ کبھی کبھی، ڈویلپرز نئے انتظام کے تحت پروجیکٹ کا حقیقی کانٹا (متبادل ورژن) بنانا چاہتے ہیں، یا مختلف خصوصیات پیش کرنا چاہتے ہیں۔ دوسرے اوقات میں، ایسا لگتا ہے کہ کانٹے دار پراجیکٹس کی نقل کی جاتی ہے جس کو بلاوجہ "وومیٹرک وجوہات" کہا جا سکتا ہے، جس سے GitHub اکاؤنٹس زیادہ بڑے، بہتر، مصروف اور کمیونٹی کے لیے زیادہ پرعزم نظر آتے ہیں (اگر آپ سزا کو معاف کر دیں گے) تو وہ واقعی ہیں۔
اگرچہ ہیکر کلون شدہ گٹ ہب پی ایچ پی سورس میں بدمعاش کوڈ ڈال سکتا تھا، جیسے ٹریکرز، کی لاگرز، بیک ڈور یا دیگر میلویئر شامل کرنا، ایسا لگتا ہے کہ انہوں نے جو کچھ تبدیل کیا وہ ہر پروجیکٹ میں ایک ہی آئٹم تھا: ایک فائل composer.json
.
اس فائل میں ایک اندراج شامل ہے جس کا عنوان ہے۔ description
، جس میں عام طور پر بالکل وہی ہوتا ہے جس کی آپ توقع کرتے ہیں: ایک ٹیکسٹ اسٹرنگ جو یہ بیان کرتی ہے کہ سورس کوڈ کس چیز کے لیے ہے۔
اور یہ سب کچھ ہمارے ہیکر نے تبدیل کیا ہے، متن کو کسی معلوماتی چیز سے تبدیل کرنا، جیسے Project PPP implements the QQQ protocol so you can RRR
، تاکہ ان کے منصوبوں کی بجائے اطلاع دی گئی:
XXX@XXXXXX.com کے ذریعہ تیار کردہ۔ ایپلی کیشن سیکیورٹی، پینیٹریشن ٹیسٹر، سائبر سیکیورٹی اسپیشلسٹ کے پاس موجود ہیں۔
دوسرا جملہ، آدھا روسی، آدھا انگریزی میں لکھا گیا، مطلب ہے:
میں Application Security... وغیرہ میں نوکری تلاش کر رہا ہوں۔
ہم ہر ایک کے لیے بات نہیں کر سکتے، لیکن جیسے جیسے CVs (resumés) جاتے ہیں، ہمیں یہ بہت زیادہ قابلِ یقین نہیں لگا۔
اس کے علاوہ، پیکجسٹ ٹیم کا کہنا ہے کہ کہ تمام غیر مجاز تبدیلیاں اب واپس کر دی گئی ہیں، اور یہ کہ 14 کلون شدہ GitHub پروجیکٹس میں پیونر کی ملازمت کی درخواست کو شامل کرنے کے علاوہ کسی اور طریقے سے ترمیم نہیں کی گئی تھی۔
اس کی قیمت کیا ہے، ایپلی کیشن سیکیورٹی کے ماہر کا GitHub اکاؤنٹ اب بھی زندہ ہے، اور اس میں اب بھی وہ "فورکڈ"" پروجیکٹس موجود ہیں۔
ہم نہیں جانتے کہ آیا GitHub نے ابھی تک اکاؤنٹ یا پروجیکٹس کو ختم کرنے کا دور نہیں کیا ہے، یا سائٹ نے انہیں نہ ہٹانے کا فیصلہ کیا ہے۔
بہر حال، فورکنگ پروجیکٹس عام اور جائز ہیں (جہاں لائسنس کی شرائط اجازت دیتی ہیں، کم از کم)، اور اگرچہ متن کے ساتھ غیر بدنیتی پر مبنی کوڈ پروجیکٹ کو بیان کرنا Pwned by XXXX@XXXX.com
غیر مددگار ہے، یہ شاید ہی غیر قانونی ہے۔
کیا کیا جائے؟
- ایسا مت کرو۔ آپ یقینی طور پر کسی بھی جائز آجروں کی دلچسپی کو اپنی طرف متوجہ نہیں کریں گے، اور (اگر ہم ایماندار ہیں) تو آپ وہاں موجود کسی سائبر کروک کو بھی متاثر نہیں کریں گے۔
- اگر آپ مدد کر سکتے ہیں تو غیر استعمال شدہ اکاؤنٹس کو فعال نہ چھوڑیں۔ جیسا کہ ہم نے کل کہا تھا۔ پاس ورڈ کا عالمی دن۔ان اکاؤنٹس کو بند کرنے پر غور کریں جن کی آپ کو مزید ضرورت نہیں ہے، اس بنیاد پر کہ آپ جتنے کم پاس ورڈ استعمال کر رہے ہیں، اتنے ہی کم چوری ہونے کا امکان ہے۔
- ایک سے زیادہ اکاؤنٹس پر پاس ورڈ دوبارہ استعمال نہ کریں۔ پیکجسٹ کا مفروضہ یہ ہے کہ اس معاملے میں غلط استعمال کیے گئے پاس ورڈز دوسرے اکاؤنٹس کے ڈیٹا کی خلاف ورزی کے ریکارڈ میں پڑے ہوئے تھے جہاں متاثرین نے اپنے پیکجسٹ اکاؤنٹ میں وہی پاس ورڈ استعمال کیا تھا۔
- اپنے 2FA کو مت بھولنا۔ پیکجسٹ اپنے تمام صارفین سے 2FA کو آن کرنے کی تاکید کرتا ہے، لہذا حملہ آور کے لیے آپ کے اکاؤنٹ میں لاگ ان کرنے کے لیے اکیلے پاس ورڈ کافی نہیں ہے، اور آپ کے GitHub اکاؤنٹ پر بھی ایسا ہی کرنے کی تجویز کرتا ہے۔
- سپلائی چین اپ ڈیٹس کو درستگی کے لیے ان کا جائزہ لیے بغیر ان کو آنکھیں بند کرکے قبول نہ کریں۔ اگر آپ کے پاس پیکیج پر انحصار کا ایک پیچیدہ ویب ہے، تو یہ آپ کی ذمہ داریوں کو ایک طرف پھینکنے اور سسٹم کو آپ کے تمام اپ ڈیٹس کو خود بخود حاصل کرنے دینے کے لیے پرکشش ہے، لیکن اس سے آپ اور آپ کے نیچے دھارے کے صارفین کو اضافی خطرہ لاحق ہو جاتا ہے۔
یہ رہا ورلڈ پاس ورڈ ڈے کا مشورہ
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/05/05/php-packagist-supply-chain-poisoned-by-hacker-looking-for-a-job/
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 1
- 14
- 15٪
- 2FA
- a
- ہمارے بارے میں
- مطلق
- قبول کریں
- اکاؤنٹ
- اکاؤنٹس
- حاصل
- فعال
- انہوں نے مزید کہا
- ایڈیشنل
- مشورہ
- تمام
- کی اجازت
- اکیلے
- متبادل
- اگرچہ
- an
- اور
- کوئی بھی
- درخواست
- درخواست سیکورٹی
- نقطہ نظر
- کیا
- ارد گرد
- AS
- مفروضہ
- At
- مصنف
- آٹو
- خود کار طریقے سے
- سے اجتناب
- گھر کے دروازے
- پس منظر کی تصویر
- BE
- رہا
- اس سے پہلے
- بہتر
- کے درمیان
- بڑا
- سووڈنگ کمپیوٹر
- اندھیرے میں
- سرحد
- پایان
- خلاف ورزی
- لیکن
- by
- فون
- کہا جاتا ہے
- کر سکتے ہیں
- کیس
- سینٹر
- چین
- تبدیل کر دیا گیا
- تبدیلیاں
- تبدیل کرنے
- اختتامی
- کوڈ
- رنگ
- COM
- انجام دیا
- کامن
- کمیونٹی
- پیچیدہ
- متعلقہ
- غور کریں
- سمجھا
- پر مشتمل ہے
- مواد
- یوگدانکرتاوں
- کنٹرول
- کاپیاں
- سکتا ہے
- احاطہ
- تخلیق
- بنائی
- CVS
- سائبر
- سائبر سیکورٹی
- اعداد و شمار
- ڈیٹا کی خلاف ورزی
- تاریخ
- فیصلہ کیا
- ضرور
- تفصیلات
- ڈویلپرز
- مختلف
- دکھائیں
- do
- نہیں کرتا
- کر
- نہیں
- نیچے
- ڈاؤن لوڈ، اتارنا
- نیچے کی طرف
- ہر ایک
- آسان
- یا تو
- آجروں
- روزگار
- آخر
- انگریزی
- کافی
- اندراج
- وغیرہ
- بھی
- سب
- بالکل
- توقع ہے
- کے پرستار
- خصوصیات
- ساتھی
- کم
- فائل
- مل
- پیچھے پیچھے
- کے لئے
- کانٹا
- فورکنگ
- ملا
- چار
- سے
- حقیقی
- حاصل
- GitHub کے
- Go
- جا
- ہیک
- ہیکر
- تھا
- نصف
- ہے
- اونچائی
- مدد
- مدد کرتا ہے
- پکڑو
- ہور
- HTTPS
- ہائبرڈ
- i
- کی نشاندہی
- if
- غیر قانونی
- عمل
- in
- غیر فعال
- شامل
- شامل ہیں
- ناقابل یقین حد تک
- لامحالہ
- معلوماتی
- کے بجائے
- دلچسپی
- میں
- IT
- میں
- خود
- جاوا سکرپٹ
- ایوب
- صرف
- رکھیں
- جان
- کم سے کم
- چھوڑ دو
- چھوڑ دیا
- جائز
- لائبریری
- لائسنسنگ
- کی طرح
- منسلک
- لنکس
- رہتے ہیں
- لاگ ان کریں
- لاگ ان
- دیکھو
- دیکھا
- تلاش
- برقرار رکھنے کے
- بناتا ہے
- بنانا
- میلویئر
- میں کامیاب
- انتظام
- مینیجر
- مارجن
- زیادہ سے زیادہ چوڑائی
- کا مطلب ہے کہ
- شاید
- نظر ثانی کی
- زیادہ
- ضرورت ہے
- نئی
- نہیں
- عام
- خاص طور پر
- اب
- of
- کی پیشکش
- سرکاری
- پرانا
- on
- ایک
- or
- دیگر
- ہمارے
- باہر
- خود
- پیکج
- پیکجوں کے
- پیکیجنگ
- پاس ورڈ
- پاس ورڈز
- پال
- رسائی
- پی ایچ پی
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پوزیشن
- مراسلات
- پیپلز پارٹی
- مسئلہ
- پروگرامر
- منصوبے
- منصوبوں
- پروٹوکول
- فراہم کرتا ہے
- شائع
- شائع
- رکھتا ہے
- واقعی
- تجویز ہے
- ریکارڈ
- ریلیز
- ہٹا
- اطلاع دی
- ذخیرہ
- ذمہ داریاں
- جائزہ لیں
- رسک
- منہاج القرآن
- روسی
- کہا
- اسی
- دوسری
- سیکورٹی
- دیکھنا
- لگتا ہے
- لگتا ہے
- سزا
- سروسز
- ایک
- سائٹ
- So
- التجا
- ٹھوس
- کچھ
- ماخذ
- ماخذ کوڈ
- بات
- ماہر
- ابھی تک
- چوری
- ذخیرہ
- پردہ
- سلک
- اس طرح
- فراہمی
- فراہمی کا سلسلہ
- SVG
- کے نظام
- ٹیم
- شرائط
- سے
- کہ
- ۔
- منصوبے
- ماخذ
- ان
- ان
- تو
- وہاں.
- یہ
- وہ
- اس
- ان
- اگرچہ؟
- اوقات
- کرنے کے لئے
- بھی
- سب سے اوپر
- ٹاس
- Trackers کے
- منتقلی
- شفاف
- ٹرن
- دو
- کے تحت
- غیر استعمال شدہ
- تازہ ترین معلومات
- الٹا
- زور
- URL
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- صارفین
- عام طور پر
- ورژن
- کی طرف سے
- متاثرین
- چاہتے ہیں
- تھا
- راستہ..
- طریقوں
- we
- ویب
- اچھی طرح سے جانا جاتا ہے
- تھے
- کیا
- چاہے
- جس
- ڈبلیو
- گے
- ساتھ
- بغیر
- دنیا
- قابل
- گا
- لکھا
- ابھی
- آپ
- اور
- زیفیرنیٹ