فشنگ جي نتيجي ۾، حملي آور 18 مشهور اين پي ايم پيڪيجز جي سنڀاليندڙ جي سند کي روڪڻ ۾ ڪامياب ٿي ويا، جيڪي هر هفتي 2 ارب کان وڌيڪ ڀيرا ڊائون لوڊ ڪيا ويا هئا. حملي آور خراب ڪوڊ تي مشتمل سمجھوتي ٿيل پيڪيجز جا نوان نسخا جاري ڪرڻ ۾ ڪامياب ٿي ويا. هي اين پي ايم ريپوزٽري تي سڀ کان وڏو حملو آهي، جيڪو نه رڳو سڌي طرح حملو ڪيل منصوبن کي متاثر ڪري ٿو، پر انهن تي منحصر سوين هزارين پيڪيجز کي پڻ.
ٻين شين سان گڏ، ڊيبگ، چاڪ، اينسي-اسٽائل، رنگ-ڪنورٽ، ريپ-اينسي، سپورٽ-رنگ ۽ اينسي-ريجيڪس پيڪيجز لاءِ خراب اپڊيٽ جاري ڪيا ويا، جن جا گذريل هفتي ۾ 200 ملين کان وڌيڪ ڊائون لوڊ ٿيا آهن. چاڪ ۽ ڊيبگ پيڪيجز الڳ الڳ نظر اچن ٿا، ڇاڪاڻ ته اهي 129286 ۽ 55289 اين پي ايم پيڪيجز جي سڌي انحصار آهن. جوش جونن جي اڪائونٽ سند جي ليڪ ٿيڻ جي ڪري پيڪيجز کي سمجهوتو ڪيو ويو، جيڪو ڪنسول ايپليڪيشنن لاءِ ڊيبگ-جي ايس، چاڪ ۽ ڪيتريون ئي لائبريريون برقرار رکي ٿو.
فشنگ دوران، اين پي ايم پروجيڪٽ جي طرفان مينٽينر کي هڪ اي ميل نوٽيفڪيشن موڪليو ويو ته جيئن انهن جي ٻن عنصرن جي تصديق جي سيٽنگن کي اپڊيٽ ڪيو وڃي. اي ميل ۾ چيو ويو آهي ته صارف 12 مهينن کان وڌيڪ عرصي تائين پنهنجي ٻن عنصرن جي تصديق جي ڊيٽا کي اپڊيٽ نه ڪيو آهي ۽ غير مجاز رسائي کي روڪڻ لاءِ 10 سيپٽمبر تي غير اپڊيٽ ٿيل 2FA سيٽنگن وارا سڀئي اڪائونٽ بلاڪ ڪيا ويندا.
پيغام "support@npmjs.help" ايڊريس تان موڪليا ويا ۽ npmjs.help ڏانهن هدايت ڪئي وئي، هڪ سائيٽ جيڪا npmjs.com جي نقل ڪري ٿي. اهو فريب PyPI، NPM، ۽ addons.mozilla.org تي پوئين حملن سان ملندڙ جلندڙ نظر آيو، جنهن ۾ ٻه عنصر جي تصديق کي نظرانداز ڪرڻ ۽ حقيقي NPM ڊاريڪٽري سان ڪم ڪرڻ جو وهم پيدا ڪرڻ لاءِ فشنگ سائيٽ کان حقيقي سائيٽ تائين ٽرئفڪ جي شفاف پراڪسينگ استعمال ڪئي وئي. npmjs.com تائين رسائي لاءِ پراڪسي طور ڪم ڪرڻ لاءِ npmjs.help کي ترتيب ڏيڻ سان، حملي آور سڀني ٽرئفڪ جي نگراني ڪندا هئا، بشمول لاگ ان پيج ۽ ٻئي عنصر جي تصديق واري پيج تي سرگرمي.
حملي آورن پاران جاري ڪيل پيڪيج اپڊيٽس ۾ خراب ڪوڊ شامل هو جيڪو سائيٽن يا ايپليڪيشنن سان ڪم ڪندڙ صارفين جي سسٽم تي عمل ڪيو ويو هو جيڪي پيڪيجز جي سمجھوتي ٿيل ورزن استعمال ڪندي سائيٽن يا ايپليڪيشنن سان ڪم ڪري رهيا هئا. برائوزرن لاءِ خراب داخل ڪرڻ ٽرئفڪ ۽ ويب API سرگرمي کي روڪيو ان جي هينڊلر کي فيچ ۽ XMLHttpRequest افعال سان ڳنڍيندي، ۽ منتقلي دوران وصول ڪندڙ جي تفصيل کي ڳجهي طور تي تبديل ڪرڻ لاءِ عام ڪرپٽو والٽ انٽرفيس جي آپريشن ۾ پڻ مداخلت ڪئي. متبادل درخواستن ۽ جوابن ۾ قدرن کي تبديل ڪرڻ جي سطح تي ڪيو ويو، صارف لاءِ غير محسوس طور تي (صحيح تفصيل يوزر انٽرفيس ۾ ڏيکاريا ويا هئا). سپورٽ ٿيل ٽرانزيڪشن فارميٽ ايٿيريم، بِٽ ڪوئن، سولانا، ٽرون، لِٽيڪوئن ۽ بِٽ ڪوئن ڪيش هئا.
سوال ۾ NPM پيڪيجز تي حملن جي ڪجهه اعلانن ۾ خراب ڪوڊ جو ذڪر پڻ آهي جيڪو پيڪيج جي انسٽاليشن يا لانچ دوران انڪرپشن ڪيز، پاسورڊ، ۽ ٽوڪن گڏ ڪري ٿو ۽ موڪلي ٿو. خراب داخل ڪرڻ جي هن فارم تي تفصيل اڃا تائين مهيا نه ڪيا ويا آهن.
سمجهوتو ٿيل پيڪيجز:
جو ذريعو: opennet.ru
