দূষিত এনপিএম প্যাকেজগুলি ইথেরিয়াম বিকাশকারীদের ব্যক্তিগত কীগুলি লক্ষ্য করে
এনপিএম-এ, তিনটি দূষিত অ্যাকাউন্টগুলি 20 টি তথ্য-চুরি প্যাকেজ আপলোড করেছে যা বৈধ প্যাকেজগুলি ছদ্মবেশে টাইপস্ক্যাটিং ব্যবহার করে এবং তাদের ইনস্টল করার জন্য লোকদের কৌতুক করে
ইথেরিয়াম বিকাশকারীদের দ্বারা ব্যবহৃত হার্ডহাট বিকাশের পরিবেশের ছদ্মবেশে বিশটি দূষিত প্যাকেজগুলি ব্যক্তিগত কী এবং অন্যান্য সংবেদনশীল ডেটা লক্ষ্য করে চলেছে।
সম্মিলিতভাবে, দূষিত প্যাকেজগুলি এক হাজারেরও বেশি ডাউনলোড রেকর্ড করেছে, গবেষকরা বলছেন।
সংকীর্ণ টার্গেটিং ক্যাম্পেইন
হার্ডহ্যাট হ'ল নামিক ফাউন্ডেশন দ্বারা পরিচালিত একটি বহুল ব্যবহৃত ইথেরিয়াম বিকাশ পরিবেশ। এটি ইথেরিয়াম ব্লকচেইনে স্মার্ট চুক্তি এবং বিকেন্দ্রীভূত অ্যাপ্লিকেশন (ডিএপিপিএস) বিকাশ, পরীক্ষা এবং মোতায়েনের জন্য ব্যবহৃত হয়।
এটি সাধারণত ব্লকচেইন সফটওয়্যার বিকাশকারী, ফিনটেক ফার্ম এবং স্টার্টআপস এবং শিক্ষাপ্রতিষ্ঠানগুলি দ্বারা ব্যবহৃত হয়।
এই ব্যবহারকারীরা প্রায়শই জাভাস্ক্রিপ্ট বাস্তুতন্ত্রের একটি বহুল ব্যবহৃত সরঞ্জাম এনপিএম (নোট প্যাকেজ ম্যানেজার) থেকে তাদের প্রকল্পের উপাদানগুলি উত্স দেয় যা বিকাশকারীদের নির্ভরতা, গ্রন্থাগার এবং মডিউলগুলি পরিচালনা করতে সহায়তা করে।
এনপিএম-এ, তিনটি দূষিত অ্যাকাউন্টগুলি 20 টি তথ্য-চুরি প্যাকেজ আপলোড করেছে যা বৈধ প্যাকেজগুলি ছদ্মবেশে টাইপস্ক্যাটিং ব্যবহার করে এবং তাদের ইনস্টল করার জন্য লোকদের কৌতুক করে।
সকেট 16 টি দূষিত প্যাকেজের নাম ভাগ করেছে, যা:
মনোনীতকরণ
@মনোনীতকরণ/হার্ডহ্যাট-কনফিগার
ইনস্টলডপ্যাকেজপাবলিশ
@মনোনীতকরণ/হার্ডহ্যাট-কনফিগারেশন
@মনিকফাউন্ডেশন/হার্ডহ্যাট-কনফিগারেশন
@নামিকসফাউন্ডেশন/এসডিকে-পরীক্ষা
@নামিকসফাউন্ডেশন/হার্ডহ্যাট-কনফিগারেশন
@নামিকসফাউন্ডেশন/ওয়েব 3-এসডিকে
@নামিক ফাউন্ডেশন/এসডিকে-টেস্ট 1
@নামিকফাউন্ডেশনস/হার্ডহ্যাট-কনফিগারেশন
ক্রিপ্টো-নোডস-বৈধকারী
সোলানা-বৈধকারী
নোড-ভ্যালিডেটর
হার্ডহাট-মীমাংসা-অন্যরা
হার্ডহাট-গ্যাস-অপটিমাইজার
দৃ ity ়তা-জটিলতা-এক্সট্র্যাক্টর
একবার ইনস্টল হয়ে গেলে, এই প্যাকেজগুলিতে কোড হার্ডহাট প্রাইভেট কী, কনফিগারেশন ফাইল এবং স্মৃতিকোষগুলি সংগ্রহ করার চেষ্টা করে, তাদেরকে একটি হার্ডকোডেড এইএস কী দিয়ে এনক্রিপ্ট করে এবং তারপরে আক্রমণকারীদের কাছে তাদের এক্সফিলারেট করে।
"এই প্যাকেজগুলি হ্রেইনিট () এবং এইচআরকনফিগ () এর মতো ফাংশনগুলি ব্যবহার করে হার্ডহ্যাট রানটাইম পরিবেশকে শোষণ করে যা ব্যক্তিগত কী, স্মৃতিসৌধ এবং কনফিগারেশন ফাইলগুলির মতো সংবেদনশীল বিশদ সংগ্রহ করতে," সকেট ব্যাখ্যা করে।
"সংগৃহীত ডেটাগুলি আক্রমণকারী-নিয়ন্ত্রিত শেষ পয়েন্টগুলিতে প্রেরণ করা হয়, স্ট্রিমলাইনড এক্সিফিল্ট্রেশনের জন্য হার্ডকোডেড কী এবং ইথেরিয়াম ঠিকানাগুলি উপার্জন করে।"
সুরক্ষা ঝুঁকি এবং প্রশমন
ইথেরিয়াম ওয়ালেটগুলি অ্যাক্সেস করতে ব্যক্তিগত কী এবং স্মৃতিসৌধগুলি ব্যবহার করা হয়, সুতরাং এই আক্রমণটির প্রথম সম্ভাব্য র্যামিফিকেশন হ'ল অননুমোদিত লেনদেন শুরু করার মাধ্যমে তহবিলের ক্ষতি।
তদতিরিক্ত, যেহেতু অনেকগুলি আপোসড সিস্টেম বিকাশকারীদের অন্তর্ভুক্ত, তাই আক্রমণকারীরা উত্পাদন ব্যবস্থায় অননুমোদিত অ্যাক্সেস অর্জন করতে পারে এবং স্মার্ট চুক্তিতে আপস করতে পারে বা আরও কার্যকর, বিস্তৃত-স্কেল আক্রমণগুলির জন্য স্থলটি রাখার জন্য বিদ্যমান ড্যাপগুলির দূষিত ক্লোনগুলি স্থাপন করতে পারে।
হার্ডহ্যাট কনফিগারেশন ফাইলগুলিতে তৃতীয় পক্ষের পরিষেবাগুলির জন্য এপিআই কীগুলি পাশাপাশি বিকাশ নেটওয়ার্ক এবং শেষ পয়েন্টগুলি সম্পর্কিত তথ্য অন্তর্ভুক্ত থাকতে পারে এবং ফিশিং আক্রমণগুলি প্রস্তুত করতে সেগুলি লাভ করা যেতে পারে।
সফ্টওয়্যার বিকাশকারীদের সাবধানতা অবলম্বন করা উচিত, প্যাকেজের সত্যতা যাচাই করা উচিত, টাইপস্ক্যাটিং থেকে সতর্ক হওয়া উচিত এবং ইনস্টলেশনের আগে উত্স কোডটি পরিদর্শন করা উচিত।
একটি সাধারণ সুপারিশ হিসাবে, ব্যক্তিগত কীগুলি হার্ডকোড করা উচিত নয় তবে সুরক্ষিত ভল্টগুলিতে সংরক্ষণ করা উচিত।
এই জাতীয় ঝুঁকির সংস্পর্শকে হ্রাস করতে, লক ফাইলগুলি ব্যবহার করুন, আপনার নির্ভরতার জন্য নির্দিষ্ট সংস্করণগুলি সংজ্ঞায়িত করুন এবং ব্যবহারিকভাবে সম্ভব হিসাবে কয়েকটি ব্যবহার করুন।
