टाइपोस्क्वाटिंग अब केवल उन भोले-भाले लोगों के लिए धोखाधड़ी नहीं रह गई है जो URL गलत टाइप कर देते हैं। अब, हमलावर लोकप्रिय सॉफ्टवेयर लाइब्रेरीज़ के लगभग समान डोमेन नाम पंजीकृत करते हैं। जब कोई डेवलपर पैकेज इंस्टॉल करते समय टाइपिंग की गलती करता है, तो उनका निरंतर एकीकरण सिस्टम बिना किसी की नज़र में आए दुर्भावनापूर्ण कोड डाउनलोड कर लेता है। समस्या एक उपयोगकर्ता से बढ़कर पूरी आपूर्ति श्रृंखला को प्रभावित करती है।
हमलावर स्वचालित प्रक्रियाओं का शोषण कैसे करते हैं 🔍
हमलावर npm या PyPI जैसे सार्वजनिक रिपॉजिटरी में requests के बजाय requets जैसे नामों वाले पैकेज प्रकाशित करते हैं। CI/CD उपकरण, जो मानवीय निगरानी के बिना इंस्टॉलेशन चलाते हैं, सही लक्ष्य हैं। प्रत्येक निर्भरता की जाँच न करने पर, सिस्टम दुर्भावनापूर्ण पैकेज डाउनलोड कर लेता है। एक बार अंदर आने के बाद, कोड क्रेडेंशियल चुरा सकता है, बैकडोर इंजेक्ट कर सकता है या अंतिम बाइनरी को संशोधित कर सकता है। पता लगाना जटिल है क्योंकि नाम वैध नाम के लगभग समान होता है।
वह डेवलपर जिसने गलत टाइप किया और बैकडोर तैनात कर दिया 🛠️
एक नींद से भरे डेवलपर की कल्पना करें जो colorful-stuff के बजाय pip install collerful-stuff लिखता है। उसका CI इसे खुशी-खुशी स्वीकार कर लेता है, बिना कुछ पूछे। दुर्भावनापूर्ण पैकेज इंस्टॉल हो जाता है, हमलावर को सलाम करता है और प्रोडक्शन डेटाबेस के लिए एक निजी VPN खोल देता है। यह सब सिर्फ एक अक्षर के अंतर के कारण। सबसे बुरी बात यह है कि डेवलपर कीबोर्ड को दोष देता है, लेकिन असली दोषी वह सिस्टम है जो सही नाम से मिलते-जुलते किसी भी नाम पर आँख बंद करके भरोसा करता है।