हैकर्स फ़िशिंग लिंक उत्पन्न करने के लिए अप्रकाशित GitHub और GitLab टिप्पणियों का उपयोग कर रहे हैं जो वैध ओपन सोर्स सॉफ़्टवेयर (OSS) प्रोजेक्ट से आते प्रतीत होते हैं।
पिछले महीने ओपन एनालिसिस के सर्गेई फ्रैंकॉफ द्वारा पहली बार वर्णित चतुर चाल किसी को भी ऐसा करने की अनुमति देती है अपनी इच्छानुसार किसी भी भंडार का प्रतिरूपण करें उस भंडार के मालिकों को इसके बारे में पता चले बिना। और अगर मालिकों को इसके बारे में पता भी हो, तो भी वे इसे रोकने के लिए कुछ नहीं कर सकते।
मामले में मामला: हैकर्स के पास है पहले ही इस पद्धति का दुरुपयोग हो चुका है विभाजित करना रेडलाइन चोरी करने वाला ट्रोजनMcAfee के अनुसार, Microsoft के GitHub द्वारा होस्ट किए गए रिपोज़ "vcpkg" और "STL" से जुड़े लिंक का उपयोग किया जा रहा है। फ्रैंकऑफ़ ने स्वतंत्र रूप से उस अभियान में उपयोग किए गए समान लोडर से जुड़े अधिक मामलों की खोज की, और ब्लीपिंग कंप्यूटर को एक अतिरिक्त प्रभावित रेपो, "httprouter" मिला।
ब्लीपिंग कंप्यूटर के अनुसार, यह समस्या GitHub - 100 मिलियन से अधिक पंजीकृत उपयोगकर्ताओं वाला एक प्लेटफ़ॉर्म, और 30 मिलियन से अधिक उपयोगकर्ताओं के साथ इसके निकटतम प्रतिद्वंद्वी, GitLab दोनों को प्रभावित करती है।
पता न चलने योग्य, अजेय, विश्वसनीय फ़िशिंग लिंक
GitHub और GitLab में यह उल्लेखनीय दोष संभवतः सबसे अधिक कल्पनाशील सुविधा में निहित है।
डेवलपर्स अक्सर ओएसएस प्रोजेक्ट पेज पर टिप्पणियाँ छोड़ कर सुझाव छोड़ेंगे या बग की रिपोर्ट करेंगे। कभी-कभी, ऐसी टिप्पणी में एक फ़ाइल शामिल होगी: एक दस्तावेज़, एक स्क्रीनशॉट, या अन्य मीडिया।
जब किसी फ़ाइल को GitHub और GitLab के सामग्री वितरण नेटवर्क (CDNs) पर एक टिप्पणी के भाग के रूप में अपलोड किया जाना है, तो टिप्पणी को स्वचालित रूप से एक URL निर्दिष्ट किया जाता है। यह यूआरएल स्पष्ट रूप से उस परियोजना से जुड़ा हुआ है जिससे टिप्पणी संबंधित है। उदाहरण के लिए, GitLab पर, टिप्पणी के साथ अपलोड की गई फ़ाइल निम्नलिखित प्रारूप में एक URL अर्जित करती है: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
हैकर्स ने यह पता लगाया है कि यह उनके मैलवेयर के लिए एकदम सही कवर प्रदान करता है। उदाहरण के लिए, वे रेडलाइन स्टीलर के लिए एक मैलवेयर लोडर को माइक्रोसॉफ्ट रेपो में अपलोड कर सकते हैं और बदले में एक लिंक प्राप्त कर सकते हैं। हालाँकि इसमें मैलवेयर है, लेकिन किसी भी दर्शक को यह वास्तविक Microsoft रेपो फ़ाइल का एक वैध लिंक प्रतीत होगा।
लेकिन वह सब नहीं है।
यदि कोई हमलावर किसी रेपो पर मैलवेयर पोस्ट करता है, तो आप समझेंगे कि उस रेपो या GitHub का मालिक उसे पहचान लेगा और उसका समाधान कर देगा।
फिर, वे क्या कर सकते हैं, प्रकाशित करें और फिर टिप्पणी को तुरंत हटा दें। फिर भी, यूआरएल काम करता रहता है और फ़ाइल साइट के सीडीएन पर अपलोड रहती है।
या, इससे भी बेहतर: हमलावर शुरुआत में ही टिप्पणी पोस्ट नहीं कर सकता। GitHub और GitLab दोनों पर, जैसे ही किसी फ़ाइल को प्रगति में टिप्पणी में जोड़ा जाता है, एक कार्यशील लिंक स्वचालित रूप से उत्पन्न हो जाता है।
इस साधारण विचित्रता के लिए धन्यवाद, एक हमलावर अपनी इच्छानुसार किसी भी GitHub रेपो पर मैलवेयर अपलोड कर सकता है, उस रेपो से जुड़ा एक लिंक वापस प्राप्त कर सकता है, और टिप्पणी को अप्रकाशित छोड़ सकता है। वे जब तक चाहें फ़िशिंग हमलों में इसका उपयोग कर सकते हैं, जबकि प्रतिरूपित ब्रांड को पता नहीं होगा कि ऐसा कोई लिंक पहले स्थान पर उत्पन्न हुआ था।
लिंक पर भरोसा न करें
वैध रेपो से जुड़े दुर्भावनापूर्ण यूआरएल फ़िशिंग हमलों को बढ़ावा देते हैं और इसके विपरीत, धमकी देते हैं शर्मिंदा करें और विश्वसनीयता को कमज़ोर करें प्रतिरूपित पार्टी का.
इससे भी बुरी बात यह है कि उनके पास कोई सहारा नहीं है। ब्लीपिंग कंप्यूटर के अनुसार, ऐसी कोई सेटिंग नहीं है जो मालिकों को अपने प्रोजेक्ट से जुड़ी फ़ाइलों को प्रबंधित करने की अनुमति देती है। वे टिप्पणियों को अस्थायी रूप से अक्षम कर सकते हैं, साथ ही बग रिपोर्टिंग और समुदाय के साथ सहयोग को रोक सकते हैं, लेकिन कोई स्थायी समाधान नहीं है।
डार्क रीडिंग ने GitHub और GitLab दोनों से यह पूछने के लिए संपर्क किया कि क्या वे इस मुद्दे को ठीक करने की योजना बना रहे हैं और कैसे। यहां बताया गया है कि किसी ने कैसे प्रतिक्रिया दी:
“GitHub रिपोर्ट किए गए सुरक्षा मुद्दों की जांच करने के लिए प्रतिबद्ध है। हमने इसके अनुसार उपयोगकर्ता खातों और सामग्री को अक्षम कर दिया है GitHub की स्वीकार्य उपयोग नीतियां, जो ऐसी सामग्री पोस्ट करने पर रोक लगाता है जो सीधे तौर पर गैरकानूनी सक्रिय हमले या मैलवेयर अभियानों का समर्थन करती है जो तकनीकी नुकसान पहुंचा रहे हैं, ”एक GitHub प्रतिनिधि ने एक ईमेल में कहा। “हम GitHub और अपने उपयोगकर्ताओं की सुरक्षा में सुधार के लिए निवेश करना जारी रखते हैं, और इस गतिविधि से बेहतर सुरक्षा के उपायों पर विचार कर रहे हैं। हम अनुशंसा करते हैं कि उपयोगकर्ता आधिकारिक तौर पर जारी किए गए सॉफ़्टवेयर को डाउनलोड करने के तरीके के बारे में अनुरक्षकों द्वारा दिए गए निर्देशों का पालन करें। अनुरक्षक उपयोग कर सकते हैं गिटहब रिलीज़ या अपने उपयोगकर्ताओं को सॉफ़्टवेयर सुरक्षित रूप से वितरित करने के लिए पैकेज और सॉफ़्टवेयर रजिस्ट्रियों के भीतर प्रक्रियाएं जारी करें।"
यदि GitLab प्रतिक्रिया देता है तो डार्क रीडिंग कहानी को अपडेट कर देगी। इस दौरान यूजर्स को संभलकर चलना चाहिए।
सेक्टिगो में उत्पाद के वरिष्ठ उपाध्यक्ष जेसन सोरोको कहते हैं, "गिटहब यूआरएल में एक विश्वसनीय विक्रेता का नाम देखने वाले डेवलपर्स अक्सर भरोसा करेंगे कि वे जिस पर क्लिक कर रहे हैं वह सुरक्षित और वैध है।" “इस बारे में बहुत सारी टिप्पणियाँ की गई हैं कि कैसे यूआरएल तत्व उपयोगकर्ताओं द्वारा समझ में नहीं आते हैं, या उनका विश्वास से कोई लेना-देना नहीं है। हालाँकि, यह एक आदर्श उदाहरण है कि यूआरएल महत्वपूर्ण हैं और गलत विश्वास पैदा करने की क्षमता रखते हैं।
"डेवलपर्स को GitHub, या किसी अन्य रिपॉजिटरी से जुड़े लिंक के साथ अपने संबंधों पर पुनर्विचार करने की आवश्यकता है, और कुछ समय की जांच करने में निवेश करना चाहिए, जैसे वे ईमेल अनुलग्नक के साथ कर सकते हैं।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments
