Trojanized jQuery Packages Found on npm, GitHub, and jsDelivr Code Repositories – OfficialSarkar

जुलाई 09, 2024न्यूज़रूमआपूर्ति श्रृंखला हमला / वेब सुरक्षा

अज्ञात खतरा पैदा करने वाले लोगों को ट्रोजनकृत संस्करण का प्रचार करते हुए पाया गया है। jQuery एनपीएम, गिटहब और जेएसडिलीवर पर जो कुछ हुआ, वह एक “जटिल और लगातार” आपूर्ति श्रृंखला हमले का उदाहरण प्रतीत होता है।

फाइलम ने कहा, “यह हमला पैकेजों में उच्च परिवर्तनशीलता के कारण उल्लेखनीय है।” कहा पिछले सप्ताह प्रकाशित एक विश्लेषण में यह बात कही गई है।

“हमलावर ने बड़ी चतुराई से मैलवेयर को शायद ही कभी इस्तेमाल होने वाले ‘अंतjQuery का ‘ फ़ंक्शन, जिसे आंतरिक रूप से अधिक लोकप्रिय ‘ द्वारा बुलाया जाता हैमुरझाना‘ फ़ंक्शन को इसके एनीमेशन उपयोगिताओं से हटा दिया गया है।”

अभियान से 68 पैकेज जुड़े हैं। इन्हें 26 मई से 23 जून, 2024 तक npm रजिस्ट्री में प्रकाशित किया गया, जिसमें cdnjquery, footersicons, jquertyi, jqueryxxx, logoo और sytlesheets जैसे नाम शामिल हैं।

इस बात के प्रमाण मौजूद हैं कि प्रत्येक फर्जी पैकेज को मैन्युअल रूप से संकलित और प्रकाशित किया गया था, क्योंकि विभिन्न खातों से प्रकाशित पैकेजों की संख्या बहुत अधिक थी, नामकरण में अंतर था, व्यक्तिगत फाइलों को शामिल किया गया था, तथा उन्हें अपलोड करने में काफी समय लगा था।

यह अन्य सामान्य रूप से देखे जाने वाले तरीकों से भिन्न है, जिसमें हमलावर एक पूर्वनिर्धारित पैटर्न का पालन करते हैं, जो पैकेजों के निर्माण और प्रकाशन में शामिल स्वचालन के तत्व को रेखांकित करता है।

फाइलम के अनुसार, दुर्भावनापूर्ण परिवर्तन “एंड” नामक फ़ंक्शन में किए गए हैं, जो खतरे पैदा करने वाले को वेबसाइट फ़ॉर्म डेटा को दूरस्थ URL पर भेजने की अनुमति देता है।

आगे की जांच में पाया गया कि ट्रोजनकृत jQuery फ़ाइल को “नामक खाते से जुड़े GitHub रिपोजिटरी पर होस्ट किया गया है।अनुक्रमणिका.” इसी रिपोजिटरी में जावास्क्रिप्ट फाइलें भी मौजूद हैं, जिनमें लाइब्रेरी के संशोधित संस्करण की ओर इशारा करने वाली एक स्क्रिप्ट शामिल है।

फाइलम ने कहा, “यह ध्यान देने योग्य है कि jsDelivr इन GitHub URLs का निर्माण CDN पर कुछ भी अपलोड किए बिना स्वचालित रूप से करता है।”

“यह संभवतः हमलावर द्वारा स्रोत को अधिक वैध दिखाने या GitHub से सीधे कोड लोड करने के बजाय jsDelivr का उपयोग करके फायरवॉल को भेदने का प्रयास है।”

यह विकास डेटाडॉग के रूप में आता है पहचान की पाइथन पैकेज इंडेक्स (PyPI) रिपोजिटरी पर पैकेजों की एक श्रृंखला, जिसमें CPU आर्किटेक्चर के आधार पर हमलावर-नियंत्रित सर्वर से द्वितीय-चरण बाइनरी डाउनलोड करने की क्षमता होती है।

क्या आपको यह लेख रोचक लगा? हमें फ़ॉलो करें ट्विटर और Linkedin हमारे द्वारा पोस्ट की गई अधिक विशिष्ट सामग्री पढ़ने के लिए।

Source: TheHackerNews

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *