સાયબર ખતરો! સરકારે ‘શાઈ હુલુદ’ વાયરસ અંગે નવી ચેતવણી જારી કરી, IT કંપનીઓ અને સ્ટાર્ટ-અપ્સને સતર્ક કર્યા
“શાઈ-હુલુડ” નામના એક નવલકથા, સ્વ-પ્રતિકૃતિ બનાવતા કીડાએ નોડ પેકેજ મેનેજર (npm) ઇકોસિસ્ટમમાં સેંકડો સોફ્ટવેર પેકેજો સાથે ચેડા કર્યા છે, જેના કારણે વૈશ્વિક સાયબર સુરક્ષા ચેતવણી ફેલાઈ છે અને સરકારી એજન્સીઓ તરફથી તાત્કાલિક ચેતવણીઓ આપવામાં આવી છે. સુરક્ષા સંશોધકો દ્વારા સંભવિત “ઇતિહાસમાં સૌથી મોટું અને સૌથી ખતરનાક npm સપ્લાય-ચેઇન સમાધાન” તરીકે વર્ણવવામાં આવ્યું છે, આ હુમલો ડેવલપર ઓળખપત્રો ચોરી કરવા અને તેમને જાહેરમાં ખુલ્લા પાડવા માટે સ્વચાલિત પ્રચારનો ઉપયોગ કરે છે, જે સોફ્ટવેર વિકાસ સમુદાય માટે એક કાલ્પનિક કટોકટી ઊભી કરે છે.
માલવેરનું નામ ફ્રેન્ક હર્બર્ટની પ્રતિષ્ઠિત વિજ્ઞાન સાહિત્ય નવલકથા ડ્યુનમાંથી વિશાળ, પ્રાદેશિક સેન્ડવોર્મ્સનો સીધો સંદર્ભ છે, જેને મૂળ ફ્રેમન લોકો “શાઈ-હુલુડ” તરીકે પૂજે છે. આ નામ યોગ્ય છે, કારણ કે “શાઈ-હુલુડ” નામના ગિટહબ રિપોઝીટરીઓમાં જાહેરમાં ચોરાયેલા રહસ્યો ડમ્પ કરવાની કૃમિની પદ્ધતિ તેના કાલ્પનિક નામના વિનાશક અને અત્યંત દૃશ્યમાન સ્વભાવને પ્રતિબિંબિત કરે છે.
એક બહુ-તબક્કો સ્વચાલિત હુમલો
આ હુમલો સપ્લાય ચેઇન ધમકીઓમાં નોંધપાત્ર ઉત્ક્રાંતિનું પ્રતિનિધિત્વ કરે છે, જેમાં ઓળખપત્ર લણણીને એક અત્યાધુનિક, સ્વચાલિત પ્રસારણ પદ્ધતિ સાથે જોડવામાં આવે છે. યુએસ સાયબર સિક્યુરિટી એન્ડ ઇન્ફ્રાસ્ટ્રક્ચર સિક્યુરિટી એજન્સી (CISA) અને ઇન્ડિયન કોમ્પ્યુટર ઇમરજન્સી રિસ્પોન્સ ટીમ (CERT-In) ના ચેતવણીઓ અનુસાર, આ ઝુંબેશ બહુ-તબક્કાની પ્રક્રિયા દ્વારા કાર્ય કરે છે.
પ્રારંભિક સમાધાન: હુમલો ઘણીવાર ઓળખપત્ર-હાર્વેસ્ટિંગ ફિશિંગ ઝુંબેશથી શરૂ થાય છે જે npm ને છેતરે છે. વિકાસકર્તાઓને તેમની મલ્ટી-ફેક્ટર ઓથેન્ટિકેશન (MFA) સેટિંગ્સ “અપડેટ” કરવા માટે છેતરવામાં આવે છે, અજાણતાં તેમની લોગિન વિગતો છોડી દે છે.
ચેપ અને ઓળખપત્ર હાર્વેસ્ટિંગ: એકવાર ડેવલપરના એકાઉન્ટનો ભંગ થાય છે, ત્યારે તેઓ જે પેકેજો જાળવી રાખે છે તેમાં દૂષિત પેલોડ દાખલ કરવામાં આવે છે. જ્યારે બીજો ડેવલપર સમાધાન થયેલ પેકેજ ઇન્સ્ટોલ કરે છે, ત્યારે ઇન્સ્ટોલેશન પછીની સ્ક્રિપ્ટ એક્ઝિક્યુટ થાય છે, સંવેદનશીલ ઓળખપત્રો માટે સમગ્ર પર્યાવરણને સ્કેન કરે છે. આ કૃમિ ગુપ્તતાઓની વિશાળ શ્રેણીને લક્ષ્ય બનાવે છે, જેમાં npm ટોકન્સ માટે .npmrc ફાઇલો, પર્યાવરણ ચલો અને Amazon Web Services (AWS), Google Cloud Platform (GCP), અને Microsoft Azure જેવી ક્લાઉડ સેવાઓ માટે API કીનો સમાવેશ થાય છે. કેટલાક પ્રકારો ખાનગી GitHub રિપોઝીટરીઓમાં રહસ્યો માટે આક્રમક રીતે સ્કેન કરવા માટે ઓપન-સોર્સ ટૂલ TruffleHog ને પણ બંડલ કરે છે.
સ્વ-પ્રતિકૃતિ: ચોરાયેલા npm ટોકનનો ઉપયોગ કરીને, માલવેર npm રજિસ્ટ્રીમાં ચેડા થયેલા ડેવલપર તરીકે પ્રમાણિત કરે છે. પછી તે તે ડેવલપર દ્વારા જાળવવામાં આવતા અન્ય પેકેજોને ઓળખે છે, તેમાં તેનો દૂષિત કોડ દાખલ કરે છે, અને નવા, દૂષિત સંસ્કરણો પ્રકાશિત કરે છે, જેનાથી કૃમિ સીધા હુમલાખોર હસ્તક્ષેપ વિના ઝડપથી ફેલાય છે.
ડ્યુઅલ-મેથડ એક્સફિલ્ટ્રેશન: કૃમિ ચોરાયેલા ડેટાને એક્સફિલ્ટર કરવા માટે બે અલગ અલગ પદ્ધતિઓનો ઉપયોગ કરે છે. તેના સૌથી હિંમતવાન પગલામાં, તે પ્રોગ્રામેટિકલી પીડિતના એકાઉન્ટ હેઠળ “શાઈ-હુલુદ” નામનું એક નવું જાહેર GitHub ભંડાર બનાવે છે અને ચોરાયેલા બધા રહસ્યોને જાહેરમાં દૃશ્યમાન ફાઇલમાં મોકલે છે. તે જ સમયે, તે દૂષિત GitHub ક્રિયાઓ વર્કફ્લો ફાઇલ (shai-hulud-workflow.yml) રોપણી કરીને વધુ ગુપ્ત ચેનલ બનાવે છે, જે સીધા હુમલાખોર-નિયંત્રિત વેબહૂકને રહસ્યો મોકલે છે.
હુમલો એમ્પ્લીફિકેશન: નુકસાનને મહત્તમ કરવા માટે, કૃમિ પીડિતના ખાનગી ભંડારને જાહેરમાં બદલી શકે છે અને દૂષિત વર્કફ્લોને વધારાના ભંડારોમાં ઇન્જેક્ટ કરી શકે છે, જે હુમલાની અસર શક્ય તેટલી વ્યાપક છે તેની ખાતરી કરે છે.
પાલો અલ્ટો નેટવર્ક્સનું યુનિટ 42 પણ મધ્યમ વિશ્વાસ સાથે મૂલ્યાંકન કરે છે કે દૂષિત સ્ક્રિપ્ટ જનરેટ કરવામાં મદદ કરવા માટે LLM નો ઉપયોગ કરવામાં આવ્યો હતો, જે ટિપ્પણીઓ અને ઇમોજીસના સમાવેશના આધારે છે, જે દૂષિત હેતુઓ માટે AI નો ઉપયોગ કરતા કલાકારો તરફથી વિકસિત ખતરાને દર્શાવે છે.
અવકાશ, અસર અને સત્તાવાર પ્રતિભાવ
વિવિધ સુરક્ષા અહેવાલો અનુસાર, હુમલાનો અવકાશ વ્યાપક છે, જે ઓછામાં ઓછા 187 થી 500 થી વધુ અનન્ય સોફ્ટવેર પેકેજોને અસર કરે છે. હાઇ-પ્રોફાઇલ પીડિતોમાં વ્યાપકપણે ઉપયોગમાં લેવાતી @ctrl/tinycolor લાઇબ્રેરીનો સમાવેશ થાય છે, જે લાખો સાપ્તાહિક ડાઉનલોડ્સ મેળવે છે, અને સાયબર સુરક્ષા કંપની CrowdStrike દ્વારા જાળવવામાં આવતા ઘણા જાહેર પેકેજોનો સમાવેશ થાય છે. CrowdStrike એ પુષ્ટિ કરી છે કે તેના પેકેજો થોડા સમય માટે ચેડા કરવામાં આવ્યા હતા પરંતુ જણાવ્યું હતું કે તેના પ્લેટફોર્મ અને ગ્રાહકોને અસર થઈ નથી.
સંભવિત પરિણામો ગંભીર છે. ચોરાયેલા ક્લાઉડ ઓળખપત્રો સ્ટોરેજ બકેટ્સમાંથી ડેટા ચોરી, રેન્સમવેર ડિપ્લોયમેન્ટ, ક્રિપ્ટોમાઇનિંગ અથવા સમગ્ર ઉત્પાદન વાતાવરણને કાઢી નાખવા તરફ દોરી શકે છે. આ હુમલો મુખ્યત્વે Linux અને macOS વાતાવરણને લક્ષ્ય બનાવે છે, Windows સિસ્ટમ્સ પર ઇરાદાપૂર્વક અમલીકરણ છોડી દે છે.
સરકારી એજન્સીઓએ ઉચ્ચ-ગંભીરતા ચેતવણીઓ જારી કરી છે. CISA એ સંસ્થાઓને તાત્કાલિક તેમની સોફ્ટવેર નિર્ભરતાની સમીક્ષા કરવા અને તમામ વિકાસકર્તા ઓળખપત્રોને ફેરવવા વિનંતી કરી છે. તેવી જ રીતે, CERT-In એ ચેતવણી આપી હતી કે આ હુમલો ભારતના સ્ટાર્ટઅપ્સ, IT કંપનીઓ, ફિનટેક પ્લેટફોર્મ્સ અને ઇ-ગવર્નન્સ એપ્લિકેશન્સ માટે નોંધપાત્ર જોખમ ઊભું કરે છે.
તાત્કાલિક ઉપાય માર્ગદર્શન
સુરક્ષા નિષ્ણાતો અને સરકારી એજન્સીઓ તમામ વિકાસ ટીમોને તાત્કાલિક પગલાં લેવાની સલાહ આપે છે.
બધી નિર્ભરતાઓનું ઑડિટ કરો: npm ઑડિટ જેવા સાધનોનો ઉપયોગ કરીને તમામ પ્રોજેક્ટ ડિપેન્ડન્સીનું સંપૂર્ણ ઑડિટ કરો અને જાણીતા-ચેડગ્રસ્ત પેકેજો માટે package-lock.json અથવા yarn.lock ફાઇલોની તપાસ કરો.
બધા ઓળખપત્રો ફેરવો: npm ઍક્સેસ ટોકન્સ, GitHub પર્સનલ એક્સેસ ટોકન્સ (PATs), SSH કી અને ક્લાઉડ સેવાઓ માટે બધી પ્રોગ્રામેટિક કી સહિત તમામ વિકાસકર્તા ઓળખપત્રોને તાત્કાલિક રદ કરો અને ફેરવો. ધારો કે વિકાસકર્તાના મશીન પરના કોઈપણ ગુપ્ત સાથે ચેડા કરવામાં આવ્યા હોઈ શકે છે.
GitHub એકાઉન્ટ્સની સમીક્ષા કરો: બધા વિકાસકર્તાઓએ “Shai-Hulud” નામના અજાણ્યા જાહેર ભંડારો, શંકાસ્પદ કમિટ્સ અથવા અણધારી વર્કફ્લો ફાઇલો માટે તેમના GitHub એકાઉન્ટ્સ તપાસવા જોઈએ.
ફિશિંગ-પ્રતિરોધક MFA લાગુ કરો: ઓળખપત્રના દુરુપયોગને રોકવા માટે GitHub અને npm જેવા તમામ મહત્વપૂર્ણ પ્લેટફોર્મ પર હાર્ડવેર ટોકન-આધારિત અથવા અન્ય ફિશિંગ-પ્રતિરોધક MFA નો ઉપયોગ ફરજિયાત કરો.
સુરક્ષા અને મોનિટર નેટવર્ક્સને સખત બનાવો: બિનજરૂરી GitHub એપ્લિકેશનો દૂર કરો, શાખા સુરક્ષા નિયમો સક્ષમ કરો અને શંકાસ્પદ આઉટબાઉન્ડ કનેક્શન્સ માટે ફાયરવોલ લોગનું નિરીક્ષણ કરો, ખાસ કરીને webhook.site ડોમેન માટે.
આ હુમલો એક ચેતવણીરૂપ ઘટના છે, જે દર્શાવે છે કે આધુનિક સપ્લાય ચેઇન હુમલાઓ સતત એકીકરણ અને ડિલિવરી (CI/CD) ની ગતિએ કેવી રીતે ફેલાઈ રહ્યા છે, જે સમગ્ર ઓપન-સોર્સ ઇકોસિસ્ટમ માટે લાંબા ગાળાના અને વધતા જતા સુરક્ષા પડકારને રજૂ કરે છે.
