Trojanized jQuery Packages Found on npm, GitHub, and jsDelivr Code Repositories – OfficialSarkar
अज्ञात खतरा पैदा करने वाले लोगों को ट्रोजनकृत संस्करण का प्रचार करते हुए पाया गया है। jQuery एनपीएम, गिटहब और जेएसडिलीवर पर जो कुछ हुआ, वह एक “जटिल और लगातार” आपूर्ति श्रृंखला हमले का उदाहरण प्रतीत होता है।
फाइलम ने कहा, “यह हमला पैकेजों में उच्च परिवर्तनशीलता के कारण उल्लेखनीय है।” कहा पिछले सप्ताह प्रकाशित एक विश्लेषण में यह बात कही गई है।
“हमलावर ने बड़ी चतुराई से मैलवेयर को शायद ही कभी इस्तेमाल होने वाले ‘अंतjQuery का ‘ फ़ंक्शन, जिसे आंतरिक रूप से अधिक लोकप्रिय ‘ द्वारा बुलाया जाता हैमुरझाना‘ फ़ंक्शन को इसके एनीमेशन उपयोगिताओं से हटा दिया गया है।”
अभियान से 68 पैकेज जुड़े हैं। इन्हें 26 मई से 23 जून, 2024 तक npm रजिस्ट्री में प्रकाशित किया गया, जिसमें cdnjquery, footersicons, jquertyi, jqueryxxx, logoo और sytlesheets जैसे नाम शामिल हैं।
इस बात के प्रमाण मौजूद हैं कि प्रत्येक फर्जी पैकेज को मैन्युअल रूप से संकलित और प्रकाशित किया गया था, क्योंकि विभिन्न खातों से प्रकाशित पैकेजों की संख्या बहुत अधिक थी, नामकरण में अंतर था, व्यक्तिगत फाइलों को शामिल किया गया था, तथा उन्हें अपलोड करने में काफी समय लगा था।
यह अन्य सामान्य रूप से देखे जाने वाले तरीकों से भिन्न है, जिसमें हमलावर एक पूर्वनिर्धारित पैटर्न का पालन करते हैं, जो पैकेजों के निर्माण और प्रकाशन में शामिल स्वचालन के तत्व को रेखांकित करता है।
फाइलम के अनुसार, दुर्भावनापूर्ण परिवर्तन “एंड” नामक फ़ंक्शन में किए गए हैं, जो खतरे पैदा करने वाले को वेबसाइट फ़ॉर्म डेटा को दूरस्थ URL पर भेजने की अनुमति देता है।
आगे की जांच में पाया गया कि ट्रोजनकृत jQuery फ़ाइल को “नामक खाते से जुड़े GitHub रिपोजिटरी पर होस्ट किया गया है।अनुक्रमणिका.” इसी रिपोजिटरी में जावास्क्रिप्ट फाइलें भी मौजूद हैं, जिनमें लाइब्रेरी के संशोधित संस्करण की ओर इशारा करने वाली एक स्क्रिप्ट शामिल है।
फाइलम ने कहा, “यह ध्यान देने योग्य है कि jsDelivr इन GitHub URLs का निर्माण CDN पर कुछ भी अपलोड किए बिना स्वचालित रूप से करता है।”
“यह संभवतः हमलावर द्वारा स्रोत को अधिक वैध दिखाने या GitHub से सीधे कोड लोड करने के बजाय jsDelivr का उपयोग करके फायरवॉल को भेदने का प्रयास है।”
यह विकास डेटाडॉग के रूप में आता है पहचान की पाइथन पैकेज इंडेक्स (PyPI) रिपोजिटरी पर पैकेजों की एक श्रृंखला, जिसमें CPU आर्किटेक्चर के आधार पर हमलावर-नियंत्रित सर्वर से द्वितीय-चरण बाइनरी डाउनलोड करने की क्षमता होती है।
Source: TheHackerNews
