PyPI रिपॉजिटरी में दो हालिया घटनाओं ने सॉफ्टवेयर आपूर्ति श्रृंखला में कमजोरियों को उजागर किया है। हमलावरों ने PyTorch Lightning और Intercom-client जैसे वैध पैकेजों के संशोधित संस्करण प्रकाशित करने में सफलता प्राप्त की। इन वेरिएंट में छिपा हुआ कोड था जो उपयोगकर्ताओं के सिस्टम में संग्रहीत एक्सेस क्रेडेंशियल्स निकालने के लिए डिज़ाइन किया गया था, जो ओपन-सोर्स लाइब्रेरी पर भरोसा करने वाले डेवलपर्स और कंपनियों के लिए बढ़ते जोखिम को प्रदर्शित करता है।
हमलावरों ने PyPI के वैध पैकेजों में कैसे हेरफेर किया 🔍
हमलावरों ने अपने दुर्भावनापूर्ण संस्करणों को वितरित करने के लिए typosquatting और dependency confusion तकनीकों का उपयोग किया। PyTorch Lightning के मामले में, हानिकारक कोड इंस्टॉलेशन के दौरान निष्पादित हुआ, जो क्रेडेंशियल्स वाले पर्यावरण चर और कॉन्फ़िगरेशन फ़ाइलों को एकत्र करता था। Intercom-client के लिए, मैलवेयर पैकेज को आयात करने पर सक्रिय हुआ, जो नियंत्रित सर्वरों को HTTP अनुरोधों के माध्यम से डेटा बाहर निकालता था। दोनों मामलों ने पायथन पारिस्थितिकी तंत्र में विश्वास का शोषण किया, जहाँ निर्भरताओं की मैन्युअल समीक्षा एक चुनौती बनी हुई है।
PyPI में अंध विश्वास स्थापित करने का विरोधाभास 🤔
यह दिलचस्प है कि वही डेवलपर्स जो प्रक्रियाओं को स्वचालित करने के लिए कोड लिखते हैं, फिर बिना उनकी सामग्री की समीक्षा किए पैकेज इंस्टॉल करते हैं। यह एक इस्तेमाल की गई कार खरीदने और हुड न खोलने जैसा है क्योंकि विक्रेता का चेहरा अच्छा है। हमलावर जानते हैं कि तकनीकी आलस्य एक लाभदायक हमला वेक्टर है। इस बीच, हम pip install को ऐसे चलाते रहते हैं जैसे कि यह विश्वास का एक कार्य हो, यह उम्मीद करते हुए कि किसी ने सूचियों को क्रमबद्ध करने वाली लाइब्रेरी के नवीनतम अपडेट में कीलॉगर नहीं डाला होगा।