PhantomRaven தீம்பொருள்

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் npm சுற்றுச்சூழல் அமைப்பை குறிவைத்து மிகவும் சுறுசுறுப்பான மென்பொருள் விநியோகச் சங்கிலி தாக்குதலைக் கண்டறிந்துள்ளனர். 100க்கும் மேற்பட்ட தீங்கிழைக்கும் தொகுப்புகள் அடையாளம் காணப்பட்டுள்ளன, அவை அங்கீகார டோக்கன்கள், CI/CD ரகசியங்கள் மற்றும் GitHub சான்றுகள் உள்ளிட்ட முக்கியமான டெவலப்பர் சான்றுகளை நேரடியாக சமரசம் செய்யப்பட்ட இயந்திரங்களிலிருந்து திருடும் திறன் கொண்டவை.

PhantomRaven என்ற குறியீட்டுப் பெயரிடப்பட்ட இந்தப் பிரச்சாரம் முதலில் ஆகஸ்ட் 2025 இல் தோன்றியது. அதன் பின்னர், இது 126 npm நூலகங்களாக விரிவடைந்து 86,000 க்கும் மேற்பட்ட நிறுவல்களைப் பெற்றுள்ளது, இது இந்த தீங்கிழைக்கும் தொகுப்புகளின் விரைவான பரவல் மற்றும் ஏற்றுக்கொள்ளலை நிரூபிக்கிறது.

ரேடாரின் கீழ் பறக்கும் தீங்கிழைக்கும் தொகுப்புகள்

கொடியிடப்பட்ட பல தொகுப்புகளில் பின்வருவன அடங்கும்:

• op-cli-installer - 486 பதிவிறக்கங்கள்
• பயன்படுத்தப்படாத இறக்குமதிகள் – 1,350 பதிவிறக்கங்கள்
• badgetkit-api-client – 483 பதிவிறக்கங்கள்
• பாலிஃபில்-கோர்ஜேஎஸ்3 – 475 பதிவிறக்கங்கள்
• எஸ்லின்ட்-கருத்துகள் – 936 பதிவிறக்கங்கள்

PhantomRaven-ஐ குறிப்பாக நயவஞ்சகமாக்குவது அதன் Remote Dynamic Dependencies (RDDs) பயன்பாடு ஆகும். அதிகாரப்பூர்வ npm பதிவேட்டில் இருந்து குறியீட்டைப் பெறுவதற்குப் பதிலாக, தீங்கிழைக்கும் தொகுப்புகள் ஒரு தனிப்பயன் HTTP URL (packages.storeartifact.com) ஐ சுட்டிக்காட்டுகின்றன. இது npm ஐ நம்பத்தகாத வெளிப்புற மூலத்திலிருந்து சார்புகளை மீட்டெடுக்க அனுமதிக்கிறது, npmjs.com பாதுகாப்புகளைத் திறம்படத் தவிர்த்து விடுகிறது.

பாரம்பரிய பாதுகாப்பு ஸ்கேனர்கள் மற்றும் சார்பு பகுப்பாய்வு கருவிகள் இந்த RDDகளைக் கண்டறியத் தவறிவிடுகின்றன, ஏனெனில் தானியங்கி அமைப்புகள் தொகுப்புகளை '0 சார்புகள்' கொண்டதாகக் காண்கின்றன.

தாக்குதல் எவ்வாறு செயல்படுகிறது

ஒரு டெவலப்பர் தீங்கற்றதாகத் தோன்றும் தொகுப்புகளில் ஒன்றை நிறுவியவுடன் தாக்குதல் சங்கிலி தொடங்குகிறது. முக்கிய கூறுகள் பின்வருமாறு:

முன்-நிறுவல் ஹூக் செயல்படுத்தல் : தொகுப்பில் பிரதான பேலோடை தானாகவே இயக்கும் முன்-நிறுவல் வாழ்க்கைச் சுழற்சி ஸ்கிரிப்ட் உள்ளது.

ரிமோட் பேலோட் மீட்டெடுப்பு : ஸ்கிரிப்ட் தாக்குபவர் கட்டுப்படுத்தும் சேவையகத்திலிருந்து தீங்கிழைக்கும் சார்புநிலையைப் பெறுகிறது.

தரவு வெளியேற்றம் : செயல்படுத்தப்பட்டதும், தீம்பொருள் டெவலப்பரின் சூழலை மின்னஞ்சல் முகவரிகளுக்காக ஸ்கேன் செய்கிறது, CI/CD சூழல் விவரங்களைச் சேகரிக்கிறது, கணினியை (பொது IP முகவரி உட்பட) கைரேகை செய்கிறது மற்றும் தரவை தொலை சேவையகத்திற்கு அனுப்புகிறது.

தாக்குதல் நடத்துபவர் தனது விருப்பப்படி பேலோடை மாற்றியமைக்க முடியும், ஆரம்பத்தில் கண்டறிதலைத் தவிர்க்க தீங்கிழைக்காத குறியீட்டை வழங்கி, பின்னர் தொகுப்பு ஏற்றுக்கொள்ளப்பட்டவுடன் தீங்கிழைக்கும் புதுப்பிப்புகளைத் தள்ள முடியும்.

மனித மற்றும் AI குருட்டுப் புள்ளிகளைப் பயன்படுத்துதல்

தொகுப்பு பெயர்களின் தேர்வு வேண்டுமென்றே செய்யப்பட்டுள்ளது. அச்சுறுத்தல் நடிகர் ஸ்லோப்ஸ்குவாட்டிங் எனப்படும் ஒரு தந்திரோபாயத்தைப் பயன்படுத்துகிறார், அங்கு பெரிய மொழி மாதிரிகள் (LLMகள்) இல்லாத ஆனால் நம்பத்தகுந்த ஒலிக்கும் தொகுப்பு பெயர்களை மாயத்தோற்றம் செய்கின்றன. மறைக்கப்பட்ட அச்சுறுத்தலை அறியாமல், அவற்றின் யதார்த்தமான பெயரிடல் காரணமாக டெவலப்பர்கள் இந்த தொகுப்புகளை நம்பலாம்.

ஆராய்ச்சியாளர்கள் குறிப்பிடுவது போல, தாக்குபவர்களின் வளர்ந்து வரும் நுட்பத்தை PhantomRaven எடுத்துக்காட்டுகிறது:

• தொலைநிலை இயக்கவியல் சார்புகள் நிலையான பகுப்பாய்வைத் தவிர்க்கின்றன.
• AI-உருவாக்கிய தொகுப்பு பெயர்கள் டெவலப்பர் நம்பிக்கையைச் சுரண்டுகின்றன.
• வாழ்க்கைச் சுழற்சி ஸ்கிரிப்ட்கள் பயனர் தொடர்பு இல்லாமல் தானாகவே இயங்கும்.

இந்த பிரச்சாரம், தீங்கிழைக்கும் நபர்கள், திறந்த மூல சுற்றுச்சூழல் அமைப்புகளில் குறியீட்டை மறைக்க, பாரம்பரிய பாதுகாப்பு கருவிகளில் உள்ள இடைவெளிகளைப் பயன்படுத்திக் கொள்ள, எவ்வாறு புதிய வழிகளைக் கண்டுபிடிக்கின்றனர் என்பதை அடிக்கோடிட்டுக் காட்டுகிறது.

ஏன் npm ஒரு முக்கிய இலக்காக உள்ளது?

npm சுற்றுச்சூழல் அமைப்பின் வெளியீட்டுப் பொதிகளுக்கான குறைந்த உராய்வு, முன்-நிறுவல், நிறுவல் மற்றும் பின்-நிறுவல் ஸ்கிரிப்ட்களின் தானியங்கி செயல்படுத்தலுடன் இணைந்து, அதை ஒரு முக்கிய இலக்காக ஆக்குகிறது. தாக்குபவர்கள் வாழ்க்கைச் சுழற்சி ஸ்கிரிப்ட்களுக்குள் தீங்கிழைக்கும் நடத்தையை மறைக்க முடியும், பெரும்பாலும் டெவலப்பரின் அறிவு இல்லாமல், நவீன மேம்பாட்டு சூழல்களில் அதிகரித்த விழிப்புணர்வு மற்றும் வலுவான பாதுகாப்பு நடைமுறைகளின் அவசியத்தை இது விளக்குகிறது.