384,000 साइटों ने हाल ही में चीनी फर्म द्वारा खरीदी गई संदिग्ध कोड लाइब्रेरी से कोड निकाला

गेटी इमेजेज

शोधकर्ताओं ने बताया कि 384,000 से अधिक वेबसाइटें एक ऐसी साइट से लिंक हैं, जो पिछले सप्ताह सप्लाई-चेन अटैक करते हुए पकड़ी गई थी, जो आगंतुकों को दुर्भावनापूर्ण साइटों पर भेज रही थी।

सालों तक, पॉलीफ़िल(.)कॉम पर होस्ट किया गया जावास्क्रिप्ट कोड एक वैध ओपन सोर्स प्रोजेक्ट था जो पुराने ब्राउज़रों को उन्नत फ़ंक्शन को संभालने की अनुमति देता था जो मूल रूप से समर्थित नहीं थे। cdn.polyfill(.)io से लिंक करके, वेबसाइटें यह सुनिश्चित कर सकती थीं कि विरासत ब्राउज़र का उपयोग करने वाले डिवाइस नए प्रारूपों में सामग्री प्रस्तुत कर सकें। यह मुफ़्त सेवा वेबसाइटों के बीच लोकप्रिय थी क्योंकि उन्हें बस अपनी साइटों में लिंक एम्बेड करना था। पॉलीफ़िल साइट पर होस्ट किया गया कोड बाकी काम करता था।

आपूर्ति-श्रृंखला हमलों की शक्ति

फरवरी में, चीन स्थित कंपनी फननल ने डोमेन और GitHub अकाउंट का अधिग्रहण किया, जिस पर जावास्क्रिप्ट कोड होस्ट किया गया था। 25 जून को, सुरक्षा फर्म सैनसेक के शोधकर्ताओं ने जावास्क्रिप्ट कोड को होस्ट करने वाले डोमेन और GitHub अकाउंट का अधिग्रहण किया। की सूचना दी पॉलीफ़िल डोमेन पर होस्ट किए गए कोड को उपयोगकर्ताओं को वयस्क और जुआ-थीम वाली वेबसाइटों पर रीडायरेक्ट करने के लिए बदल दिया गया था। कोड को जानबूझकर दिन के केवल कुछ निश्चित समय पर और केवल उन आगंतुकों के खिलाफ रीडायरेक्ट करके छिपाने के लिए डिज़ाइन किया गया था जो विशिष्ट मानदंडों को पूरा करते हैं।

इस खुलासे के बाद उद्योग जगत में कार्रवाई की मांग की गई। सैंसेक रिपोर्ट प्रकाशित होने के दो दिन बाद, डोमेन रजिस्ट्रार नेमचीप ने डोमेन को निलंबित कर दिया, एक ऐसा कदम जिसने दुर्भावनापूर्ण कोड को विज़िटर डिवाइस पर चलने से प्रभावी रूप से रोका। फिर भी, क्लाउडफ्लेयर जैसे कंटेंट डिलीवरी नेटवर्क ने पॉलीफ़िल लिंक को स्वचालित रूप से प्रतिस्थापित करना डोमेन सुरक्षित मिरर साइट्स की ओर ले जाते हैं। Google ने Polyfill(.)io डोमेन एम्बेड करने वाली साइटों के विज्ञापनों को ब्लॉक कर दिया। वेबसाइट ब्लॉकर uBlock Origin ने डोमेन को अपनी फ़िल्टर सूची में जोड़ दिया। और Polyfill.io के मूल निर्माता एंड्रयू बेट्स ने वेबसाइट मालिकों से लाइब्रेरी के लिंक तुरंत हटाने का आग्रह किया।

सुरक्षा फर्म सेन्सिस के शोधकर्ताओं के अनुसार, दुर्भावनापूर्ण व्यवहार के प्रकाश में आने के ठीक एक सप्ताह बाद, मंगलवार तक 384,773 साइटें साइट से लिंक करना जारी रखती थीं। इनमें से कुछ साइटें हुलु, मर्सिडीज-बेंज और वार्नर ब्रदर्स जैसी मुख्यधारा की कंपनियों और संघीय सरकार से जुड़ी थीं। निष्कर्ष आपूर्ति-श्रृंखला हमलों की शक्ति को रेखांकित करते हैं, जो केवल एक सामान्य स्रोत को संक्रमित करके हजारों या लाखों लोगों तक मैलवेयर फैला सकते हैं, जिस पर वे सभी निर्भर हैं।

सेन्सिस रिसर्च टीम के सदस्य एडन हॉलैंड ने एक ईमेल में लिखा, “चूंकि डोमेन को निलंबित कर दिया गया था, इसलिए सप्लाई-चेन अटैक को रोक दिया गया है।” “हालांकि, अगर डोमेन को निलंबित या स्थानांतरित किया जाता है, तो यह अपने दुर्भावनापूर्ण व्यवहार को फिर से शुरू कर सकता है। मेरी आशा है कि नेमचीप ने डोमेन को ठीक से लॉक कर दिया है और ऐसा होने से रोकेगा।”

इसके अलावा, सेन्सिस द्वारा किए गए इंटरनेट स्कैन में 1.6 मिलियन से अधिक साइटें एक या एक से अधिक डोमेन से जुड़ी हुई पाई गईं, जो उसी इकाई द्वारा पंजीकृत थीं, जो पॉलीफ़िल (.)io की मालिक है। कम से कम एक साइट, bootcss (.)com, को जून 2023 में पॉलीफ़िल के समान दुर्भावनापूर्ण कार्य करते हुए देखा गया था। उस डोमेन और तीन अन्य – bootcdn (.)net, staticfile (.)net, और staticfile (.)org – को क्लाउडफ्लेयर द्वारा प्रदान किए गए प्रोग्रामिंग इंटरफ़ेस तक पहुँचने के लिए उपयोगकर्ता की प्रमाणीकरण कुंजी लीक करते हुए भी पाया गया।

सेन्सिस शोधकर्ताओं ने लिखा:

अब तक, यह डोमेन (bootcss.com) एकमात्र ऐसा डोमेन है जो संभावित दुर्भावना के किसी भी संकेत को दिखा रहा है। अन्य संबद्ध एंडपॉइंट्स की प्रकृति अज्ञात बनी हुई है, और हम अटकलों से बचते हैं। हालाँकि, इस संभावना पर विचार करना पूरी तरह से अनुचित नहीं होगा कि polyfill.io हमले के लिए जिम्मेदार वही दुर्भावनापूर्ण अभिनेता भविष्य में इसी तरह की गतिविधियों के लिए इन अन्य डोमेन का शोषण कर सकता है।

पॉलीफिल(.)कॉम से अभी भी लिंक करने वाली 384,773 साइटों में से 237,700 या लगभग 62 प्रतिशत, जर्मनी स्थित वेब होस्ट हेट्जनर के अंदर स्थित थीं।

सेन्सिस ने पाया कि विभिन्न मुख्यधारा की साइटें – सार्वजनिक और निजी दोनों क्षेत्रों में – पॉलीफ़िल से जुड़ने वालों में से थीं। उनमें शामिल हैं:

  • वॉर्नर ब्रदर्स। (www.warnerbros.com)
  • हुलु (www.hulu.com)
  • मर्सिडीज-बेंज (shop.mercedes-benz.com)
  • पियर्सन (digital-library-qa.pearson.com, digital-library-stg.pearson.com)
  • ns-static-assets.s3.amazonaws.com

amazonaws.com पता सबसे आम डोमेन था जो अभी भी पॉलीफ़िल साइट से लिंक करने वाली साइटों से जुड़ा था, जो अमेज़न की S3 स्थिर वेबसाइट होस्टिंग के उपयोगकर्ताओं के बीच व्यापक उपयोग का संकेत था।

सेन्सिस ने .gov में समाप्त होने वाले 182 डोमेन भी पाए, जिसका अर्थ है कि वे किसी सरकारी संस्था से संबद्ध हैं। ऐसा ही एक डोमेन-feedthefuture(.)gov-अमेरिकी संघीय सरकार से संबद्ध है। शीर्ष 50 प्रभावित साइटों का विवरण इस प्रकार है यहाँ.

टिप्पणी के लिए फननल प्रतिनिधियों तक पहुंचने के प्रयास सफल नहीं हुए।

Source link