Computer >> कंप्यूटर ट्यूटोरियल >  >> समस्या निवारण >> कंप्यूटर रखरखाव

सुरक्षा चेतावनी:आधिकारिक एसएपी एनपीएम पैकेज से समझौता - क्रेडेंशियल चोरी का पता चला

<पी> सुरक्षा चेतावनी:आधिकारिक एसएपी एनपीएम पैकेज से समझौता - क्रेडेंशियल चोरी का पता चला

<पी> डेवलपर्स के सिस्टम से क्रेडेंशियल्स और प्रमाणीकरण टोकन चुराने के लिए टीमपीसीपी आपूर्ति-श्रृंखला हमले में कई आधिकारिक एसएपी एनपीएम पैकेजों से समझौता किया गया था। <पी> सुरक्षा शोधकर्ताओं की रिपोर्ट है कि समझौते ने चार पैकेजों को प्रभावित किया है, जिनके संस्करण अब एनपीएम पर अप्रचलित हैं:

  • @cap-js/sqlite – v2.2.2
  • @cap-js/postgres – v2.2.2
  • @cap-js/db-service – v2.10.1
  • एमबीटी – v1.2.48
<पी> ये पैकेज SAP के क्लाउड एप्लिकेशन प्रोग्रामिंग मॉडल (CAP) और क्लाउड MTA का समर्थन करते हैं, जो आमतौर पर उद्यम विकास में उपयोग किए जाते हैं।  <पी> ऐकिडो और सॉकेट की नई रिपोर्ट के अनुसार, समझौता किए गए पैकेजों को एक दुर्भावनापूर्ण 'प्रीइंस्टॉल' स्क्रिप्ट को शामिल करने के लिए संशोधित किया गया था जो एनपीएम पैकेज स्थापित होने पर स्वचालित रूप से निष्पादित होता है।  <पी> यह स्क्रिप्ट setup.mjs नामक एक लोडर लॉन्च करती है जो GitHub से बन जावास्क्रिप्ट रनटाइम को डाउनलोड करता है और इसका उपयोग भारी अस्पष्ट निष्पादन.js पेलोड को निष्पादित करने के लिए करता है।  <पी> पेलोड एक सूचना-चोरी करने वाला उपकरण है जिसका उपयोग डेवलपर मशीनों और सीआई/सीडी वातावरण दोनों से विभिन्न प्रकार के क्रेडेंशियल्स चुराने के लिए किया जाता है, जिनमें शामिल हैं:

  • npm और GitHub प्रमाणीकरण टोकन
  • SSH कुंजी और डेवलपर क्रेडेंशियल
  • AWS, Azure और Google Cloud के लिए क्लाउड क्रेडेंशियल
  • कुबेरनेट्स कॉन्फ़िगरेशन और रहस्य
  • CI/CD पाइपलाइन रहस्य और पर्यावरण चर
<पी> मैलवेयर सीआई रनर की मेमोरी से सीधे रहस्य निकालने का भी प्रयास करता है, ठीक उसी तरह जैसे टीमपीसीपी ने पिछले आपूर्ति-श्रृंखला हमलों में क्रेडेंशियल्स निकाले थे।

<पी> "सीआई धावकों पर, पेलोड एक एम्बेडेड पायथन स्क्रिप्ट निष्पादित करता है जो रनर के लिए /proc//मैप्स और /proc//mem पढ़ता है। प्रत्येक गुप्त मिलान "कुंजी" को निकालने के लिए कार्यकर्ता प्रक्रिया:{ "मूल्य":"...", "isSecret":true} सीधे धावक मेमोरी से, सीआई प्लेटफ़ॉर्म द्वारा लागू सभी लॉग मास्किंग को दरकिनार करते हुए, सॉकेट बताते हैं।

<पी> "रहस्यों के लिए यह मेमोरी स्कैनर संरचनात्मक रूप से बिटवर्डन और चेकमार्क्स घटनाओं में प्रलेखित स्कैनर के समान है।"

<पी> एक बार डेटा एकत्र हो जाने के बाद, इसे एन्क्रिप्ट किया जाता है और पीड़ित के खाते के तहत सार्वजनिक GitHub रिपॉजिटरी में अपलोड किया जाता है। इन रिपॉजिटरी में विवरण शामिल है, "एक मिनी शाई-हुलुद प्रकट हुआ है", जो बिटवर्डन आपूर्ति श्रृंखला हमले में देखी गई "शाई-हुलुद:द थर्ड कमिंग" स्ट्रिंग के समान है।

सुरक्षा चेतावनी:आधिकारिक एसएपी एनपीएम पैकेज से समझौता - क्रेडेंशियल चोरी का पता चला Github रेपो "एक मिनी शाई-हुलुद प्रकट हुआ है" के विवरण के साथ बनाया गया है
स्रोत:ऐकिडो <पी> मैलवेयर टोकन प्राप्त करने और आगे पहुंच प्राप्त करने के लिए डेड-ड्रॉप तंत्र के रूप में GitHub प्रतिबद्ध खोजों पर भी निर्भर करता है।

<पी> ऐकिडो बताते हैं, "मैलवेयर इस स्ट्रिंग के लिए गिटहब कमिट की खोज करता है और मेल खाने वाले कमिट संदेशों को टोकन डेड-ड्रॉप के रूप में उपयोग करता है।" <पी> "OhNoWhatsGoingOnWithGitHub: से मेल खाने वाले प्रतिबद्ध संदेशों को GitHub टोकन में डिकोड किया जाता है और रिपॉजिटरी एक्सेस के लिए जाँच की जाती है।"

<पी> पिछले हमलों के समान, तैनात पेलोड में अन्य पैकेजों में स्व-प्रसार के लिए कोड भी शामिल है।

<पी> चुराए गए एनपीएम या गिटहब क्रेडेंशियल्स का उपयोग करके, यह अन्य पैकेजों और रिपॉजिटरी को संशोधित करने का प्रयास करता है, जिन तक यह पहुंच प्राप्त करता है, और आगे फैलाने के लिए उसी दुर्भावनापूर्ण कोड को इंजेक्ट करता है।  <पी> शोधकर्ताओं ने इस हमले को मध्यम विश्वास के साथ टीमपीसीपी खतरे वाले अभिनेताओं से जोड़ा है, जिन्होंने ट्रिवी, चेकमार्क्स और बिटवर्डन के खिलाफ पिछले आपूर्ति-श्रृंखला हमलों में समान कोड और रणनीति का इस्तेमाल किया था।

<पी> हालांकि यह स्पष्ट नहीं है कि धमकी देने वाले अभिनेताओं ने एसएपी की एनपीएम प्रकाशन प्रक्रिया से कैसे समझौता किया, सुरक्षा इंजीनियर अदनान खान की रिपोर्ट है कि एनपीएम टोकन एक गलत कॉन्फ़िगर किए गए सर्किलसीआई कार्य के माध्यम से उजागर हो सकता है। <पी> ब्लीपिंगकंप्यूटर ने यह जानने के लिए एसएपी से संपर्क किया कि एनपीएम पैकेजों से कैसे छेड़छाड़ की गई, लेकिन प्रकाशन के समय उसे कोई उत्तर नहीं मिला।

<पी> सुरक्षा चेतावनी:आधिकारिक एसएपी एनपीएम पैकेज से समझौता - क्रेडेंशियल चोरी का पता चला

मिथोस ने जो पाया उसका 99% अभी भी अप्रकाशित है।

<पी> एआई ने चार शून्य-दिनों को एक शोषण में बदल दिया, जिसने रेंडरर और ओएस सैंडबॉक्स दोनों को बायपास कर दिया। नए कारनामों की लहर आ रही है.

<पी> स्वायत्त सत्यापन शिखर सम्मेलन (12 और 14 मई) में, देखें कि कैसे स्वायत्त, संदर्भ-समृद्ध सत्यापन शोषण योग्य चीज़ों को ढूंढता है, नियंत्रण को साबित करता है, और उपचार चक्र को बंद कर देता है।

<पी> अपने स्थान का दावा करें


  1. फिक्स ट्विच रिसोर्स फॉर्मेट समर्थित नहीं है फिक्स ट्विच रिसोर्स फॉर्मेट समर्थित नहीं है

    यदि आप एक विशाल दर्शक वर्ग के लिए सामग्री को स्ट्रीम करना पसंद करते हैं, तो ट्विच सेवा उसी के लिए एक अच्छा विकल्प है। हालांकि यह लाइव स्ट्रीमिंग इंटरएक्टिव सेवा विंडोज प्लेटफॉर्म पर कुछ समस्याएं पैदा करती है। त्रुटियों में से एक चिकोटी मीडिया संसाधन के नाम से समर्थित नहीं है। सरल शब्दों में, इसका मत

  1. ठीक करें:Windows 10/8/7 OS में OneDrive समस्याएँ। ठीक करें:Windows 10/8/7 OS में OneDrive समस्याएँ।

    इस समस्या निवारण मार्गदर्शिका में निम्न OneDrive समस्याओं को ठीक करने के तरीके के बारे में विस्तृत निर्देश हैं:वनड्राइव सिंक नहीं हो रहा है, वनड्राइव सिंक करते समय क्रैश हो जाता है और वनड्राइव नॉट स्टार्टिंग अप, विंडोज 10 / 8.1 या 7 आधारित कंप्यूटर में। यदि आप समस्याओं का सामना कर रहे हैं जब आप OneD

  1. अपने मैक को बूस्ट करें:मैकओएस वेंचुरा स्लोडाउन के लिए सिद्ध समाधान अपने मैक को बूस्ट करें:मैकओएस वेंचुरा स्लोडाउन के लिए सिद्ध समाधान

    उपयोगकर्ताओं की अपेक्षाओं के अनुसार, macOS अपडेट हमेशा ज्ञात बग के लिए नई सुविधाएँ और पैच लाते हैं। हालाँकि, यह नए मुद्दों को भी ट्रिगर करता है क्योंकि ये सुविधाएँ और संवर्द्धन पहले से मौजूद हार्डवेयर और सिस्टम सेटिंग्स के साथ विरोध कर सकते हैं।  किसी भी चीज़ को दूसरी प्राथमिकता के रूप में माना जा