নিরাপত্তা সতর্কতা:অফিসিয়াল SAP NPM প্যাকেজ আপস করা হয়েছে - শংসাপত্র চুরি সনাক্ত করা হয়েছে

ডেভেলপারদের সিস্টেম থেকে শংসাপত্র এবং প্রমাণীকরণ টোকেন চুরি করার জন্য টিমপিসিপি সাপ্লাই-চেইন আক্রমণ বলে মনে করা হয় এমন একাধিক অফিসিয়াল SAP npm প্যাকেজগুলির সাথে আপস করা হয়েছিল৷

নিরাপত্তা গবেষকরা রিপোর্ট করেছেন যে সমঝোতা চারটি প্যাকেজকে প্রভাবিত করেছে, যার সংস্করণগুলি এখন NPM-এ অবমূল্যায়িত হয়েছে:

• @cap-js/sqlite – v2.2.2
• @cap-js/postgres – v2.2.2
• @cap-js/db-service – v2.10.1
• mbt – v1.2.48

এই প্যাকেজগুলি SAP এর ক্লাউড অ্যাপ্লিকেশন প্রোগ্রামিং মডেল (CAP) এবং ক্লাউড MTA সমর্থন করে, যা সাধারণত এন্টারপ্রাইজ ডেভেলপমেন্টে ব্যবহৃত হয়। 

Aikido এবং Socket-এর নতুন রিপোর্ট অনুসারে, এনপিএম প্যাকেজ ইন্সটল হলে স্বয়ংক্রিয়ভাবে কার্যকর হয় এমন একটি দূষিত 'প্রি-ইনস্টল' স্ক্রিপ্ট অন্তর্ভুক্ত করার জন্য আপোস করা প্যাকেজগুলিকে সংশোধন করা হয়েছে। 

এই স্ক্রিপ্টটি setup.mjs নামে একটি লোডার চালু করে যা GitHub থেকে Bun JavaScript রানটাইম ডাউনলোড করে এবং এটি একটি ভারী অস্পষ্ট execution.js পেলোড চালানোর জন্য ব্যবহার করে। 

পেলোড হল একটি তথ্য-চুরিকারী যা ডেভেলপার মেশিন এবং CI/CD পরিবেশ উভয় থেকে বিভিন্ন ধরনের শংসাপত্র চুরি করতে ব্যবহৃত হয়, যার মধ্যে রয়েছে:

• npm এবং GitHub প্রমাণীকরণ টোকেন
• SSH কী এবং ডেভেলপার শংসাপত্র
• AWS, Azure, এবং Google Cloud এর জন্য ক্লাউড শংসাপত্র
• Kubernetes কনফিগারেশন এবং গোপনীয়তা
• CI/CD পাইপলাইন সিক্রেটস এবং এনভায়রনমেন্ট ভেরিয়েবল

ম্যালওয়্যারটি সিআই রানার মেমরি থেকে সরাসরি গোপনীয়তা বের করার চেষ্টা করে, যেমন টিমপিসিপি আগের সাপ্লাই-চেইন আক্রমণে শংসাপত্রগুলি বের করেছিল।

"সিআই রানারগুলিতে, পেলোড একটি এমবেডেড পাইথন স্ক্রিপ্ট চালায় যা রানারের জন্য /proc//maps এবং /proc//mem পড়ে। প্রতিটি গোপন মিলে যাওয়া "কী" :{ "value":"...", "isSecret":true} প্ল্যাটফর্ম মেমরি প্রয়োগ করে, সরাসরি CI masing মেমরির মাধ্যমে সমস্ত গোপন মেমরি বের করার জন্য কর্মী প্রক্রিয়া। সকেট।

"গোপনের জন্য এই মেমরি স্ক্যানারটি কাঠামোগতভাবে বিটওয়ার্ডেন এবং চেকমার্কস ঘটনাগুলির নথিভুক্ত একটির মতো।"

একবার ডেটা সংগ্রহ করা হলে, এটি এনক্রিপ্ট করা হয় এবং শিকারের অ্যাকাউন্টের অধীনে পাবলিক গিটহাব রিপোজিটরিতে আপলোড করা হয়। এই সংগ্রহস্থলগুলিতে "একটি মিনি শাই-হুলুদ উপস্থিত হয়েছে" বর্ণনা অন্তর্ভুক্ত রয়েছে, যা বিটওয়ার্ডেন সাপ্লাই চেইন আক্রমণে দেখা "শাই-হুলুদ:দ্য থার্ড কামিং" স্ট্রিংয়ের মতো।

ম্যালওয়্যারটি টোকেনগুলি পুনরুদ্ধার করতে এবং আরও অ্যাক্সেস পেতে একটি ডেড-ড্রপ মেকানিজম হিসাবে গিটহাব কমিট অনুসন্ধানের উপর নির্ভর করে৷

"ম্যালওয়্যার অনুসন্ধান করে GitHub এই স্ট্রিংয়ের জন্য প্রতিশ্রুতি দেয় এবং একটি টোকেন ডেড-ড্রপ হিসাবে ম্যাচিং কমিট বার্তাগুলি ব্যবহার করে," Aikido ব্যাখ্যা করে৷

"OhNoWhatsGoingOnWithGitHub: এর সাথে মিলে যাওয়া বার্তাগুলিকে GitHub টোকেনে ডিকোড করা হয় এবং সংগ্রহস্থল অ্যাক্সেসের জন্য চেক করা হয়৷"

পূর্ববর্তী আক্রমণের মতোই, নিয়োজিত পেলোডে অন্যান্য প্যাকেজে স্ব-প্রচার করার জন্য কোডও রয়েছে।

চুরি হওয়া npm বা GitHub শংসাপত্রগুলি ব্যবহার করে, এটি অন্যান্য প্যাকেজ এবং সংগ্রহস্থলগুলিকে সংশোধন করার চেষ্টা করে যাতে এটি অ্যাক্সেস পায় এবং আরও ছড়িয়ে দেওয়ার জন্য একই দূষিত কোড ইনজেক্ট করে। 

গবেষকরা এই আক্রমণটিকে মাঝারি আত্মবিশ্বাসের সাথে টিমপিসিপি হুমকি অভিনেতাদের সাথে যুক্ত করেছেন, যারা ট্রিভি, চেকমার্কস এবং বিটওয়ার্ডেনের বিরুদ্ধে পূর্ববর্তী সাপ্লাই-চেইন আক্রমণগুলিতে অনুরূপ কোড এবং কৌশল ব্যবহার করেছিলেন৷

যদিও এটি স্পষ্ট নয় যে হুমকি অভিনেতারা কীভাবে SAP-এর npm প্রকাশনা প্রক্রিয়ার সাথে আপস করেছে, নিরাপত্তা প্রকৌশলী আদনান খান রিপোর্ট করেছেন যে একটি NPM টোকেন একটি ভুল কনফিগার করা সার্কেলসিআই কাজের মাধ্যমে প্রকাশ করা হতে পারে৷

এনপিএম প্যাকেজগুলি কীভাবে আপোস করা হয়েছিল তা জানতে BleepingComputer SAP-এর সাথে যোগাযোগ করেছিল, কিন্তু প্রকাশের সময় একটি উত্তর পায়নি৷

মিথোস যা পাওয়া গেছে তার 99% এখনও আনপ্যাচ করা হয়নি।

AI চারটি শূন্য-দিনকে একটি শোষণে চেইন করেছে যা রেন্ডারার এবং OS স্যান্ডবক্স উভয়কেই বাইপাস করেছে। নতুন শোষণের একটি ঢেউ আসছে।

স্বায়ত্তশাসিত বৈধতা সম্মেলনে (মে 12 এবং 14), দেখুন কিভাবে স্বায়ত্তশাসিত, প্রসঙ্গ-সমৃদ্ধ বৈধতা শোষণযোগ্য জিনিস খুঁজে পায়, নিয়ন্ত্রণগুলিকে ধরে রাখে এবং প্রতিকারের লুপ বন্ধ করে।

আপনার জায়গা দাবি করুন