एक तथाकथित सॉफ़्टवेयर आपूर्ति श्रृंखला हमला, जिसमें हैकर्स अपने स्वयं के दुर्भावनापूर्ण कोड को छिपाने के लिए सॉफ़्टवेयर के एक वैध टुकड़े को भ्रष्ट करते हैं, एक समय अपेक्षाकृत दुर्लभ घटना थी, लेकिन जिसने किसी भी निर्दोष एप्लिकेशन को पीड़ित के नेटवर्क में खतरनाक पैर जमाने के अपने घातक खतरे से साइबर सुरक्षा दुनिया को परेशान कर दिया था। अब साइबर अपराधियों के एक समूह ने उस कभी-कभार होने वाले दुःस्वप्न को लगभग साप्ताहिक प्रकरण में बदल दिया है, सैकड़ों ओपन सोर्स टूल को भ्रष्ट कर दिया है, लाभ के लिए पीड़ितों से जबरन वसूली की है, और दुनिया के सॉफ्टवेयर बनाने के लिए उपयोग किए जाने वाले पूरे पारिस्थितिकी तंत्र में अविश्वास का एक नया स्तर बोया है।
मंगलवार की रात, ओपन सोर्स कोड प्लेटफ़ॉर्म GitHub ने घोषणा की कि ऐसे ही एक सॉफ़्टवेयर आपूर्ति श्रृंखला हमले में हैकर्स द्वारा इसका उल्लंघन किया गया था: एक GitHub डेवलपर ने VSCode के लिए एक “ज़हर” एक्सटेंशन स्थापित किया था, जो आमतौर पर उपयोग किए जाने वाले कोड संपादक के लिए एक प्लग-इन है, जो कि GitHub की तरह ही, Microsoft के स्वामित्व में है। परिणामस्वरूप, उल्लंघन के पीछे के हैकर्स, TeamPCP नामक एक तेजी से कुख्यात समूह, GitHub के लगभग 4,000 कोड रिपॉजिटरी तक पहुंचने का दावा करता है। GitHub के बयान ने पुष्टि की कि उसे कम से कम 3,800 समझौता किए गए रिपॉजिटरी मिलीं, जबकि यह ध्यान में रखते हुए कि, अब तक के निष्कर्षों के आधार पर, उन सभी में GitHub का अपना कोड था, ग्राहकों का नहीं।
टीमपीसीपी ने साइबर अपराधियों के लिए एक फोरम और मार्केटप्लेस ब्रीचफोरम्स पर लिखा, “हम आज यहां बिक्री के लिए गिटहब के सोर्स कोड और आंतरिक संगठनों का विज्ञापन करने के लिए आए हैं।” “मुख्य मंच के लिए सब कुछ मौजूद है और पूर्ण प्रामाणिकता सत्यापित करने के लिए इच्छुक खरीदारों को नमूने भेजने में मुझे बहुत खुशी हो रही है।”
GitHub उल्लंघन नवीनतम घटना है जो सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों की अब तक की सबसे लंबे समय तक चलने वाली श्रृंखला बन गई है, जिसका कोई अंत नहीं दिख रहा है। साइबर सुरक्षा फर्म सॉकेट के अनुसार, जो सॉफ्टवेयर आपूर्ति श्रृंखलाओं पर ध्यान केंद्रित करती है, टीमपीसीपी ने, पिछले कुछ महीनों में, आपूर्ति श्रृंखला हमलों की 20 “तरंगों” को अंजाम दिया है, जिसमें सॉफ्टवेयर के 500 से अधिक अलग-अलग टुकड़ों में मैलवेयर छिपा हुआ है, या टीमपीसीपी द्वारा अपहरण किए गए कोड के सभी विभिन्न संस्करणों को मिलाकर एक हजार से अधिक में मैलवेयर छिपा हुआ है।
क्लाउड सुरक्षा फर्म विज़ में रणनीतिक खतरे की खुफिया जानकारी का नेतृत्व करने वाले बेन रीड कहते हैं, कोड के उन दागी टुकड़ों ने टीमपीसीपी के हैकरों को सॉफ्टवेयर इंस्टॉल करने वाली सैकड़ों कंपनियों में सेंध लगाने की अनुमति दी है। GitHub समूह के पीड़ितों की लंबी सूची में नवीनतम है, जिसमें AI फर्म एंथ्रोपिक और डेटा कॉन्ट्रैक्टिंग फर्म मर्कोर भी शामिल हैं। GitHub उल्लंघन के बारे में रीड का कहना है, “यह उनका सबसे बड़ा उल्लंघन हो सकता है।” “लेकिन इनमें से प्रत्येक उस कंपनी के लिए एक बड़ी बात है जिसके साथ ऐसा होता है। यह पिछले सप्ताह हुए 14 उल्लंघनों से गुणात्मक रूप से भिन्न नहीं है।”
टीमपीसीपी की मुख्य रणनीति सॉफ्टवेयर डेवलपर्स का एक प्रकार का चक्रीय शोषण बन गई है: हैकर्स एक नेटवर्क तक पहुंच प्राप्त करते हैं जहां आमतौर पर कोडर्स द्वारा उपयोग किया जाने वाला एक ओपन सोर्स टूल विकसित किया जा रहा है – उदाहरण के लिए, वीएससीओडी एक्सटेंशन जिसके कारण गिटहब उल्लंघन हुआ या डेटा विज़ुअलाइज़ेशन सॉफ़्टवेयर एंटवी जिसे टीमपीसीपी ने इस सप्ताह के शुरू में हाईजैक कर लिया था। हैकर्स टूल में मैलवेयर प्लांट करते हैं जो अन्य सॉफ्टवेयर डेवलपर्स की मशीनों पर पहुंच जाता है, जिनमें कुछ ऐसे भी होते हैं जो कोडर द्वारा उपयोग किए जाने वाले अन्य टूल लिख रहे होते हैं।
मैलवेयर TeamPCP के हैकर्स को क्रेडेंशियल्स चुराने की अनुमति देता है जो उन्हें दुर्भावनापूर्ण संस्करण प्रकाशित करने देते हैं वे सॉफ़्टवेयर विकास उपकरण भी। चक्र दोहराता है, और टीमपीसीपी का उल्लंघन किए गए नेटवर्क का संग्रह बढ़ता है। रीड कहते हैं, “यह आपूर्ति श्रृंखला के समझौतों का एक चक्र है।” “यह स्वयं-स्थायी है, और यह नेटवर्क तक पहुंच प्राप्त करने और सामान चुराने का एक बेहद सफल तरीका रहा है।”
हाल ही में, ऐसा प्रतीत होता है कि समूह ने अपने कई सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों को एक स्व-फैलाने वाले कीड़े के साथ स्वचालित कर दिया है जिसे मिनी शाई-हुलुद के नाम से जाना जाता है। यह नाम GitHub रिपॉजिटरी से आया है जिसे वर्म बनाता है जिसमें पीड़ितों से चुराए गए एन्क्रिप्टेड क्रेडेंशियल शामिल होते हैं, जिनमें से प्रत्येक में विज्ञान-फाई उपन्यास के कुछ अन्य संदर्भों के साथ वाक्यांश “ए मिनी शाई-हुलुद हैज़ अपीयर्ड” शामिल होता है। ड्यून. बदले में वह संदेश न केवल एक संदर्भ प्रतीत होता है ड्यूनका सैंडवर्म लेकिन एक समान आपूर्ति श्रृंखला समझौता वर्म जिसे शाई-हुलुद के नाम से जाना जाता है जो सितंबर में सामने आया था, हालांकि इस बात का कोई सबूत नहीं है कि टीमपीसीपी उस पहले स्व-फैलाने वाले मैलवेयर के पीछे थी।
