उत्तर कोरिया से जुड़े नकली सॉफ्टवेयर पैकेजों के एक समूह ने npm प्लेटफॉर्म में घुसपैठ की, खुद को वैध टूल के रूप में पेश किया। इसका उद्देश्य डेवलपर्स के रहस्यों, जैसे एक्सेस कुंजियाँ और टोकन, चुराना था। आम नागरिकों के लिए, इसका मतलब है कि हमारे द्वारा रोज़ाना उपयोग किए जाने वाले एप्लिकेशन या सेवाएँ हमारी जानकारी के बिना समझौता किए जा सकते हैं, जिससे व्यक्तिगत या वित्तीय डेटा उजागर हो सकता है। निष्कर्ष स्पष्ट है: संदिग्ध अपडेट के प्रति सतर्क रहना चाहिए और केवल सत्यापित स्रोतों पर भरोसा करना चाहिए।
npm इकोसिस्टम में धोखाधड़ी कैसे काम करती है 🛡️
हमलावरों ने ज्ञात लाइब्रेरीज़ के समान नामों वाले पैकेज प्रकाशित किए, जैसे cross-env के बजाय crossenv। एक बार इंस्टॉल होने के बाद, वे दुर्भावनापूर्ण स्क्रिप्ट निष्पादित करते थे जो पर्यावरण चर, कॉन्फ़िगरेशन फ़ाइलें और क्लाउड सेवाओं के क्रेडेंशियल्स को बाहर निकाल देती थीं। यह तकनीक, जिसे typosquatting के नाम से जाना जाता है, लोकप्रिय नामों की नकल करके डेवलपर्स के भरोसे का शोषण करती है। इसका दायरा व्यापक है: जो भी प्रोजेक्ट उन पैकेजों पर निर्भर था, उसकी आपूर्ति श्रृंखला से समझौता हो सकता था, जिससे उस सॉफ्टवेयर का उपयोग करने वाली कंपनियाँ और अंतिम उपयोगकर्ता प्रभावित हो सकते थे।
कुछ भी अपडेट न करने का सही बहाना 😅
अब, जब आपका बॉस आपसे प्रोजेक्ट की सभी निर्भरताओं को अपडेट करने के लिए कहे, तो आप गंभीर चेहरे के साथ जवाब दे सकते हैं: मैं यह जोखिम नहीं लेना चाहता कि कोई उत्तर कोरियाई हैकर ऑफिस कैलकुलेटर का कोड चुरा ले। क्योंकि हाँ, यह पता चला है कि सबसे मासूम पैकेज भी एक जाल हो सकता है। तो अब आप जानते हैं: npm install करने से पहले, नाम दो बार जाँच लें। या बेहतर होगा, पुराने संस्करण के साथ रहें जो काम करता है। तकनीकी आलस्य, आखिरकार, इसका सकारात्मक पक्ष है।