PhantomRaven मालवेयर
साइबर सुरक्षा अनुसन्धानकर्ताहरूले npm इकोसिस्टमलाई लक्षित गर्दै अत्यधिक सक्रिय सफ्टवेयर आपूर्ति श्रृंखला आक्रमणको पर्दाफास गरेका छन्। १०० भन्दा बढी दुर्भावनापूर्ण प्याकेजहरू पहिचान गरिएका छन्, जसले संवेदनशील विकासकर्ता प्रमाणहरू, प्रमाणीकरण टोकनहरू, CI/CD गोप्यहरू, र GitHub प्रमाणहरू, सिधै सम्झौता गरिएका मेसिनहरूबाट चोर्न सक्षम छन्।
फ्यान्टमरेभन कोडनाम दिइएको यो अभियान पहिलो पटक अगस्ट २०२५ मा देखा पर्यो। त्यसबेलादेखि, यो १२६ एनपीएम पुस्तकालयहरूमा विस्तार भएको छ र ८६,००० भन्दा बढी स्थापनाहरू प्राप्त गरेको छ, जसले यी दुर्भावनापूर्ण प्याकेजहरूको द्रुत प्रसार र अपनाउने प्रदर्शन गर्दछ।
सामग्रीको तालिका
राडार मुनि उडिरहेका दुर्भावनापूर्ण प्याकेजहरू
फ्ल्याग गरिएका धेरै प्याकेजहरू समावेश छन्:
- op-cli-installer - 486 डाउनलोडहरू
- प्रयोग नगरिएको-आयात - १,३५० डाउनलोडहरू
- ब्याजकिट-एपीआई-क्लाइन्ट – ४८३ डाउनलोडहरू
- पोलिफिल-कोरजेएस३ – ४७५ डाउनलोडहरू
- एस्लिन्ट-टिप्पणीहरू – ९३६ डाउनलोडहरू
PhantomRaven लाई विशेष गरी कपटी बनाउने कुरा भनेको यसको रिमोट डायनामिक डिपेन्डेन्सीज (RDDs) को प्रयोग हो। आधिकारिक npm रजिस्ट्रीबाट कोड ल्याउनुको सट्टा, दुर्भावनापूर्ण प्याकेजहरूले अनुकूलन HTTP URL (packages.storeartifact.com) लाई औंल्याउँछन्। यसले npm लाई अविश्वसनीय बाह्य स्रोतबाट निर्भरताहरू पुन: प्राप्त गर्न अनुमति दिन्छ, प्रभावकारी रूपमा npmjs.com सुरक्षाहरू बाइपास गर्दै।
परम्परागत सुरक्षा स्क्यानरहरू र निर्भरता विश्लेषण उपकरणहरूले यी RDD हरू पत्ता लगाउन असफल हुन्छन्, किनकि स्वचालित प्रणालीहरूले प्याकेजहरूलाई '० निर्भरता' भएको देख्छन्।
आक्रमण कसरी काम गर्छ
विकासकर्ताले देखिने सामान्य प्याकेजहरू मध्ये एक स्थापना गर्ने बित्तिकै आक्रमण श्रृंखला सुरु हुन्छ। मुख्य तत्वहरूमा समावेश छन्:
पूर्व-स्थापना हुक कार्यान्वयन : प्याकेजमा पूर्व-स्थापना जीवनचक्र स्क्रिप्ट समावेश छ जसले स्वचालित रूपमा मुख्य पेलोड कार्यान्वयन गर्दछ।
रिमोट पेलोड पुनःप्राप्ति : स्क्रिप्टले आक्रमणकारी-नियन्त्रित सर्भरबाट दुर्भावनापूर्ण निर्भरता ल्याउँछ।
डेटा एक्सफिल्ट्रेसन : एक पटक कार्यान्वयन भएपछि, मालवेयरले विकासकर्ताको वातावरणलाई इमेल ठेगानाहरूको लागि स्क्यान गर्दछ, CI/CD वातावरण विवरणहरू सङ्कलन गर्दछ, प्रणालीको औंठाछाप (सार्वजनिक IP सहित) गर्छ, र डेटा रिमोट सर्भरमा पठाउँछ।
आक्रमणकारीले आफ्नो इच्छा अनुसार पेलोड परिमार्जन गर्न सक्छ, सुरुमा पत्ता लगाउनबाट बच्न हानिरहित कोड प्रदान गर्दछ र प्याकेजले स्वीकृति प्राप्त गरेपछि दुर्भावनापूर्ण अपडेटहरू धकेल्छ।
मानव र एआई ब्लाइन्ड स्पटहरूको शोषण
प्याकेज नामहरूको छनोट जानाजानी गरिएको छ। धम्की दिने व्यक्तिले स्लपस्क्वाटिंग भनेर चिनिने रणनीति अपनाउँछ, जहाँ ठूला भाषा मोडेलहरू (LLMs) ले अस्तित्वमा नभएका तर प्रशंसनीय लाग्ने प्याकेज नामहरूलाई भ्रमित गर्छन्। विकासकर्ताहरूले यी प्याकेजहरूलाई तिनीहरूको यथार्थपरक नामकरणको कारणले विश्वास गर्न सक्छन्, लुकेको खतराको बारेमा अनजान।
अनुसन्धानकर्ताहरूले उल्लेख गरेझैं, फ्यान्टमरेभनले आक्रमणकारीहरूको बढ्दो परिष्कारलाई प्रकाश पार्छ:
- रिमोट डायनामिक डिपेन्डेन्सीहरूले स्थिर विश्लेषणबाट बच्छन्।
- एआई-उत्पन्न प्याकेज नामहरूले विकासकर्ताको विश्वासको शोषण गर्छन्।
- जीवनचक्र स्क्रिप्टहरू प्रयोगकर्ता अन्तरक्रिया बिना स्वचालित रूपमा कार्यान्वयन हुन्छन्।
यो अभियानले कसरी दुर्भावनापूर्ण तत्वहरूले खुला-स्रोत इकोसिस्टममा कोड लुकाउन नयाँ तरिकाहरू खोजिरहेका छन्, परम्परागत सुरक्षा उपकरणहरूमा रहेको खाडलको शोषण गर्दै कसरी नयाँ तरिकाहरू खोजिरहेका छन् भन्ने कुरालाई जोड दिन्छ।
किन npm एक प्रमुख लक्ष्य हो?
npm इकोसिस्टमको प्रकाशन प्याकेजहरूको लागि कम घर्षण, प्रि-इन्स्टल, इन्स्टल, र पोस्ट-इन्स्टल स्क्रिप्टहरूको स्वचालित कार्यान्वयनसँग मिलेर, यसलाई प्रमुख लक्ष्य बनाउँछ। आक्रमणकारीहरूले जीवनचक्र स्क्रिप्टहरू भित्र दुर्भावनापूर्ण व्यवहार लुकाउन सक्छन्, प्रायः विकासकर्ताको जानकारी बिना, आधुनिक विकास वातावरणमा बढ्दो सतर्कता र बलियो सुरक्षा अभ्यासहरूको आवश्यकतालाई चित्रण गर्दछ।
