ဖော်ထုတ်တွေ့ရှိထားသော အန္တရာယ်ရှိသော NPM အထုပ် ၁၀ ခု- နှိုးဆော်ချက် Software Supply Chain Security

မာတိကာ

မဖြစ်မနေဖတ်သင့်သောပို့စ်များ

စိတ်ဝင်စားဖွယ်ကောင်းသော နောက်ဆုံးပို့စ်များ

တစ်ခုတည်းသော အားနည်းချက်၊ သန်းပေါင်းများစွာကြားတွင် ဝှက်ထားသော တစ်ခုတည်းသော အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်တစ်ခုသည် မရေမတွက်နိုင်သော အပလီကေးရှင်းများ၏ လုံခြုံရေးကို ထိခိုက်စေနိုင်ပြီး စီးပွားရေးလုပ်ငန်းလည်ပတ်မှုနှင့် အသုံးပြုသူ၏ ကိုယ်ရေးကိုယ်တာ နှစ်ခုလုံးကို အန္တရာယ်ဖြစ်စေနိုင်သည်။ Xygeni ရှိ ကျွန်ုပ်တို့၏အဖွဲ့သည် ဤမရေမရာသော ရှုခင်းအတွင်းတွင် လုံခြုံရေးလုပ်ငန်းတစ်ခုကို စတင်ခဲ့ပြီး လူအများကြောက်ရွံ့ခဲ့သော်လည်း အတည်ပြုနိုင်သူ အနည်းငယ်သာရှိသော ထင်ရှားသော လက်တွေ့အခြေအနေကို ဖော်ထုတ်ခဲ့သည်- ကျွန်ုပ်တို့၏ ဒစ်ဂျစ်တယ်ဂေဟစနစ်၏ အဓိကကျောရိုးအတွင်း အန္တရာယ်ရှိသော NPM ပက်ကေ့ဂျ်များ ရှိနေခြင်းဖြစ်သည်။

၂၀၂၄ ခုနှစ်၊ ဇန်နဝါရီလ ၁၃ ရက်မှ ၁၅ ရက်အထိ၊ ကျွန်ုပ်တို့၏ မူပိုင် Malicious Code Detection scan သည် ပုံမှန်အခြေအနေ၏ ကုလားကာကို ထိုးဖောက်ဝင်ရောက်ခဲ့ပြီး လျှို့ဝှက်ဆန်းကြယ်သော NPM package ဆယ်ခုကို ဖော်ထုတ်နိုင်ခဲ့သည်။ ၎င်းတို့သည် ကျပန်းအလွဲသုံးစားပြုမှုများ မဟုတ်ဘဲ အင်တာနက်၏ အရိပ်အယောင်များဆီသို့ အရေးကြီးသောဒေတာများကို ခိုးယူရန် ဖန်တီးထားသော လှုပ်ရှားမှုများဖြစ်သည်။ ဤထုတ်ဖော်မှုသည် နှိုးဆော်ချက်တစ်ခုမျှသာ မဟုတ်ပါ။ ၎င်းသည် software ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်တွင် ပါဝင်သူတိုင်းအတွက် ရှင်းလင်းသော လုပ်ဆောင်ချက်တစ်ခု ဖြစ်သည်။

ဆိုက်ဘာလုံခြုံရေးတွင် ရှေ့ဆောင်များအနေဖြင့် Xygeni ၏ ထူးခြားသော ရှုထောင့်က ဤခြိမ်းခြောက်မှုများကို ရှာဖွေတွေ့ရှိနိုင်ရုံသာမက ၎င်းတို့၏ သက်ရောက်မှုများကို နက်နက်ရှိုင်းရှိုင်း နားလည်နိုင်စေပါသည်။ ဤအစီရင်ခံစာသည် ကျွန်ုပ်တို့၏ commitအနာဂတ်တိုက်ခိုက်မှုများတွင် ပြောင်းလဲမှုများကို ရှောင်ရှားရန်အတွက် ကုဒ်တွင် အန္တရာယ်ရှိသော အထောက်အထားများကို ရှာဖွေတွေ့ရှိခြင်း၏ ဒစ်ဂျစ်တယ်နယ်နိမိတ်ကို ကာကွယ်ရန် ရည်ရွယ်ချက်။

ဤကမ်ပိန်းများ၏ ရှုပ်ထွေးသောအသေးစိတ်အချက်အလက်များကို စူးစမ်းလေ့လာခြင်း၊ တိုက်ခိုက်သူများ၏နည်းလမ်းများကို ဖော်ထုတ်ခြင်းနှင့် အရေးကြီးဆုံးမှာ စီးပွားရေးလုပ်ငန်းများသည် ထိုကဲ့သို့သော လျှို့ဝှက်ဆန်းကြယ်သောခြိမ်းခြောက်မှုများကို မည်သို့ကာကွယ်နိုင်သည်ကို ရှင်းလင်းစွာဖော်ပြခြင်းတွင် ကျွန်ုပ်တို့နှင့်ပူးပေါင်းပါ။

ကနဦးရှာဖွေတွေ့ရှိမှု- Aurora Webmail Pro ချိုးဖောက်မှု

ကျွန်ုပ်တို့၏ စုံစမ်းစစ်ဆေးမှုတွင် ကနဦး တွေ့ရှိချက်မှာ အမည်ပေးထားသော အထုပ်ဖြစ်သည်။ aurora-webmail-proalias ရှိတဲ့ user တစ်ယောက်က NPM registry မှာ upload လုပ်ခဲ့တာပါ။ 0x379cဤရှာဖွေတွေ့ရှိမှုအပြီးတွင် မကြာမီတွင် နောက်ထပ် package လေးခုကို ဖော်ထုတ်နိုင်ခဲ့ပြီး ၎င်းတို့အားလုံးကို မှတ်ပုံတင်ရုံး၏ လုံခြုံရေးအစီအမံများဖြင့် ၎င်းတို့၏လုပ်ဆောင်ချက်များ ရပ်တန့်သွားခြင်းမပြုမီ စာရေးသူတစ်ဦးတည်းမှ အပ်လုဒ်လုပ်ခဲ့သည်။

ဤပက်ကေ့ဂျ်များတွင်ပါဝင်သည်များ blog_2021@1.1.1, heatwallet@10.1.1, newbooking@1.1.1နှင့် ပက်ကို@၁.၀.၁စစ်ဆေးချက်အရ ပက်ကေ့ဂျ်တစ်ခုစီတွင် အရေးကြီးသော အသုံးပြုသူအချက်အလက်များကို ခိုးယူရန် ရည်ရွယ်သည့် အံ့သြဖွယ်ကောင်းသော အလားတူ အန္တရာယ်ရှိသော ကုဒ်များ ပါဝင်နေသည်ကို တွေ့ရှိခဲ့သည်။

NPM Packages များ

ပရိုဂရမ်သည် အသုံးပြုသူနှင့် စနစ်နှင့် သက်ဆိုင်သော အရေးကြီးသော စနစ်အချက်အလက်များကို ပြန်လည်ရယူပြီး ထိုဒေတာများဖြင့် hexdump တစ်ခု ဖန်တီးသည်။ ထို့နောက် ဒေတာကို ထပ်ခါတလဲလဲ လုပ်ဆောင်ပြီး chunk တစ်ခုစီအတွက် ပြင်ပ site တစ်ခုသို့ GET request တစ်ခု ပြုလုပ်သည်။ ထိုနေရာတွင် accessed path သည် တည်ဆောက်ထားသော chunk တစ်ခုစီဖြစ်သည်။

ဒုတိယထုတ်ဖော်မှု- အန္တရာယ်ရှိသော ကုဒ်ပျံ့နှံ့မှုတွင် ကွဲပြားသော နည်းဗျူဟာများ

ကနဦးအသုတ်ကို ရှာဖွေတွေ့ရှိခြင်းနှင့်အတူ၊ ကျွန်ုပ်တို့၏ စုံစမ်းစစ်ဆေးမှုတွင် မှတ်ပုံတင်ခြင်းတစ်လျှောက်တွင် သီးခြားအသုံးပြုသူသုံးဦးမှ ဖြန့်ဝေထားသော NPM package လေးခုကို တွေ့ရှိခဲ့သည်။ 

ဤအထုပ်များကို အောက်ပါအတိုင်းဖော်ပြထားပါသည် anyone-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2နှင့် synology-cft@10.0.0သည် ၎င်းတို့၏ ကုဒ်အခြေခံတွင် ဘုံချည်နှောင်မှုကို မျှဝေထားသည်—တစ်ခုချင်းစီကို အသုံးပြုသူအချက်အလက်များကို ခိုးယူရန် ဒီဇိုင်းထုတ်ထားသည်။ မှတ်သားစရာကောင်းသည်မှာ ဤကိစ္စများတွင် ဒေတာထုတ်ယူမှုအတွက် အသုံးပြုသည့်နည်းလမ်းသည် ပထမအုပ်စုနှင့် ကွဲပြားပြီး သီးခြားဖြစ်သော်လည်း အလားတူဆိုးရွားသော စည်းရုံးလှုံ့ဆော်မှုတစ်ခုကို ညွှန်ပြနေသည်။

ဒုတိယထုတ်ဖော်မှု- အန္တရာယ်ရှိသော ကုဒ်ပျံ့နှံ့မှုတွင် ကွဲပြားသော နည်းဗျူဟာများ

ဒုတိယမြောက် လှုပ်ရှားမှု၏ မဟာဗျူဟာတွင် အရေးကြီးသော အချက်အလက်များကို စုဆောင်းရန် ပိုမိုတိုက်ရိုက်ချဉ်းကပ်မှု ပါဝင်သည်။ အသက်ဝင်သည်နှင့် ဤပက်ကေ့ဂျ်များအတွင်းရှိ အန္တရာယ်ရှိသော ကုဒ်သည် အသုံးပြုသူ၏ စနစ်ဖွဲ့စည်းပုံ၊ ကိုယ်ရေးကိုယ်တာ အသုံးပြုသူဒေတာနှင့် အထူးသဖြင့် စနစ်၏ IP လိပ်စာအကြောင်း အသေးစိတ်အချက်အလက်များကို ထုတ်ယူကာ ပြည့်စုံသော ထောက်လှမ်းရေးမစ်ရှင်ကို စတင်ခဲ့သည်။ ဤပြည့်စုံသော အချက်အလက်စုဆောင်းမှုသည် သားကောင်အပေါ် အပြည့်အစုံသော မှတ်တမ်းတစ်ခုကို စုစည်းရန် ရည်ရွယ်ပြီး ပိုမိုနက်ရှိုင်းသော ကျူးကျော်မှုများ သို့မဟုတ် ပစ်မှတ်ထားတိုက်ခိုက်မှုများအတွက် အခြေခံအုတ်မြစ်ချရန် ရည်ရွယ်သည်။

Dependency Confusion နည်းဗျူဟာများမှတစ်ဆင့် အားနည်းချက်များကို ဖော်ထုတ်ရန် ရည်ရွယ်သည့် တရားဝင်လုံခြုံရေးသုတေသနလုပ်ဆောင်ချက်များ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် ဤ package များသည် ဟန်ဆောင်နိုင်သော်လည်း၊ လက်တွေ့အခြေအနေမှာ မပြောင်းလဲဘဲ ရှိနေကြောင်း ඉදිරියට කිරියට အရေးကြီးပါသည်။ ဤ package များကို မကောင်းသောရည်ရွယ်ချက်ဖြင့် ဒီဇိုင်းထုတ်ထားပြီး၊ ခွင့်ပြုချက်မရှိသော ပြင်ပအဖွဲ့အစည်းများထံ အရေးကြီးသောဒေတာများကို ခိုးဝှက်စုဆောင်းပြီး ပေးပို့နိုင်သည်။

အထူးသတိပေးချက်- djs13-fetcher Anomaly နှင့် ၎င်း၏ ဆိုက်ဘာလုံခြုံရေးအပေါ် သက်ရောက်မှုများ

အထက်ဖော်ပြပါ package များကို စစ်ဆေးနေစဉ်တွင်၊ ကျွန်ုပ်တို့၏ပလက်ဖောင်းသည် နောက်ထပ် မူမမှန်မှုတစ်ခုကို အလံပြခဲ့သည်- အမည်ရှိ package တစ်ခု djs13-fetcherဤထူးခြားသောတွေ့ရှိချက်သည် ၎င်း၏လည်ပတ်ပုံတွင်သာမက ၎င်းဖြစ်စေသောခြိမ်းခြောက်မှု၏သဘောသဘာဝတွင်ပါ ယခင်ဖြစ်ရပ်များနှင့် ကွဲပြားသည်။ djs13-fetcher Discord မှ ပူးတွဲပါဖိုင်တစ်ခုအတွက် ဒေါင်းလုဒ်လုပ်ခြင်းနှင့် လုပ်ဆောင်ခြင်းအစီအစဉ်ကို စတင်ခဲ့သည်ဟု ဖော်ထုတ်ခဲ့ပြီး အထူးသဖြင့် binary ဖိုင်တစ်ခုဖြစ်သည်ဟု ဆိုသည်။ astroia.exeအလိုအလျောက် ခွဲခြမ်းစိတ်ဖြာမှု ဝန်ဆောင်မှုမှတစ်ဆင့် အနီးကပ် စစ်ဆေးကြည့်သောအခါ၊ ဤ binary သည် ခြိမ်းခြောက်မှုရမှတ် ၈၅/၁၀၀, ၎င်းကို malware အဖြစ် ပြတ်ပြတ်သားသား အမျိုးအစားခွဲခြားသည့် အဆင့်သတ်မှတ်ချက်။

အထူးသတိပေးချက်- djs13-fetcher Anomaly နှင့် ၎င်း၏ ဆိုက်ဘာလုံခြုံရေးအပေါ် သက်ရောက်မှုများ

djs13-fetcher ၏ လုပ်ဆောင်ချက်နှင့် astroia.exe ၏ နောက်ဆက်တွဲ လုပ်ဆောင်မှုသည် ရှုပ်ထွေးပြီး မျက်နှာစုံမှ ခြိမ်းခြောက်မှု vector တစ်ခုကို အလေးပေးဖော်ပြသည်။ အဆိုပါ binary ကို နက်ရှိုင်းစွာ တည်ရှိနေသော မကောင်းသော ရည်ရွယ်ချက်ကို ညွှန်ပြသည့် လုပ်ဆောင်ချက်များစွာကို လုပ်ဆောင်ရန် ဒီဇိုင်းထုတ်ထားသည်-

  • မျိုးပွားစနစ် လုပ်ငန်းစဉ်များmalware သည် execute လုပ်သည်နှင့် system process များစွာကို စတင်လုပ်ဆောင်ပြီး ၎င်းနည်းပညာကို နောက်ထပ် malicious script များကို execute လုပ်ရန် သို့မဟုတ် နောက်ထပ် payload များအတွက် ကူးစက်ခံရသည့် system ပေါ်တွင် ခြေကုပ်တစ်ခု တည်ဆောက်ရန် အသုံးပြုလေ့ရှိသည်။
  • စနစ်အချက်အလက်ကို မေးမြန်းခြင်း၎င်းသည် စနစ်အချက်အလက်များ၏ ကျယ်ကျယ်ပြန့်ပြန့် မေးမြန်းမှုများကို ပြုလုပ်သည်။ ဤလုပ်ဆောင်ချက်သည် ပုံမှန်အားဖြင့် စနစ်ပတ်ဝန်းကျင်ဆိုင်ရာ ထောက်လှမ်းရေးအချက်အလက်များကို စုဆောင်းရန် ရည်ရွယ်ပြီး စနစ်၏ သီးခြားအားနည်းချက်များအတွက် နောက်ဆက်တွဲတိုက်ခိုက်မှုများကို စိတ်ကြိုက်ပြင်ဆင်ရန်အတွက် အသုံးပြုနိုင်သည်။
  • ရှောင်တိမ်းလှုပ်ရှားမှုများ ပြုလုပ်ခြင်းအထင်ရှားဆုံးကတော့ astroia.exe ကို virtual machine (VM) အတွင်းမှာ လည်ပတ်နေသလားဆိုတာ သိရှိနိုင်ဖို့ Windows Management Instrumentation (WMI) query တွေကို execute လုပ်ဖို့ ဒီဇိုင်းထုတ်ထားတာပါ။ ဒီအပြုအမူဟာ ဆိုက်ဘာလုံခြုံရေးပညာရှင်တွေနဲ့ malware analysis အတွက် VM တွေကို အသုံးပြုတဲ့ automated system တွေရဲ့ ထောက်လှမ်းမှုနဲ့ ခွဲခြမ်းစိတ်ဖြာမှုတွေကို ရှောင်ရှားဖို့ ရည်ရွယ်တဲ့ ရှင်းလင်းတဲ့ ရှောင်လွှဲမှုတစ်ခုပါပဲ။

Key ကို takeaways

djs13-fetcher ၏ အထူးဖြစ်ရပ်နှင့်အတူ ဤအန္တရာယ်ရှိသော NPM package ၁၀ ခုကို ရှာဖွေတွေ့ရှိခြင်းသည် ကျွန်ုပ်တို့၏ software supply chains များကို ကာကွယ်ရာတွင် သတိရှိမှုနှင့် ကြိုတင်ကာကွယ်မှုများ လိုအပ်ကြောင်း ပေါ်လွင်စေသည်။ 

ဤအဖြစ်မှန်သည် Xygeni ၏ အစောပိုင်းသတိပေးဝန်ဆောင်မှု၏ မရှိမဖြစ်အခန်းကဏ္ဍကို ရှေ့တန်းတင်စေသည်။ NPM ပက်ကေ့ဂျ်အသစ်များတွင် အလားအလာရှိသောခြိမ်းခြောက်မှုများကို ထုတ်ဝေပြီးသည်နှင့် ခွဲခြမ်းစိတ်ဖြာပြီး သတိပေးရန် ဒီဇိုင်းထုတ်ထားသော ကျွန်ုပ်တို့၏ဝန်ဆောင်မှုသည် ကြိုတင်ကာကွယ်မှုဆိုင်ရာ ဆိုက်ဘာလုံခြုံရေးကာကွယ်ရေးတွင် သိသာထင်ရှားသော ခုန်ပျံကျော်လွှားမှုကို ကိုယ်စားပြုသည်။ မကောင်းသောအကြံအစည်၏ ညွှန်ပြသောအချက်ပြမှုများကို အစောပိုင်းထောက်လှမ်းခြင်းဖြင့် - ကောင်းစွာရှေ့တွင်ရှိနေသည် standard လုပ်ထုံးလုပ်နည်းများ—ကျွန်ုပ်တို့၏ဖောက်သည်များအား ၎င်းတို့၏ဆော့ဖ်ဝဲဂေဟစနစ်များကို အန္တရာယ်ဖြစ်စေနိုင်ခြင်းမရှိမီ malware ထိုးဖောက်ဝင်ရောက်မှုမှ ကာကွယ်ရန် လုပ်ပိုင်ခွင့်ပေးပါသည်။

ဆိုက်ဘာရန်သူများ အသုံးပြုသော ရှုပ်ထွေးသော နည်းဗျူဟာများမှ ကာကွယ်ရန်အတွက် အဖွဲ့အစည်းများသည် ပုံမှန်ကုဒ်စစ်ဆေးမှုများမှသည် ခေတ်မီသော ထောက်လှမ်းကိရိယာများအထိ ခိုင်မာသော လုံခြုံရေးပရိုတိုကောများ အကောင်အထည်ဖော်မှုကို ဦးစားပေးရမည်။ Xygeni တွင်၊ ကျွန်ုပ်တို့သည် commitဤဆက်လက်ဖြစ်ပွားနေသောတိုက်ပွဲတွင် ဦးဆောင်ရန်၊ ကျွန်ုပ်တို့၏လုပ်ဖော်ကိုင်ဖက်များနှင့် ပိုမိုကျယ်ပြန့်သောအသိုင်းအဝိုင်းအား ဤလျှို့ဝှက်ဆန်းကြယ်သောခြိမ်းခြောက်မှုများကို တွန်းလှန်ရန် လိုအပ်သောဗဟုသုတနှင့်ကိရိယာများကို တပ်ဆင်ပေးရန် ကျွန်ုပ်တို့တာဝန်ယူပါသည်။

လုံခြုံရေးသတိရှိမှုနှင့် ပူးပေါင်းဆောင်ရွက်မှုယဉ်ကျေးမှုကို အတူတကွ မွေးမြူခြင်းဖြင့် ကျွန်ုပ်တို့၏ကာကွယ်ရေးများကို ခိုင်မာစေပြီး နောင်နှစ်ပေါင်းများစွာအတွက် ကျွန်ုပ်တို့၏ ဒစ်ဂျစ်တယ်ဂေဟစနစ်များ၏ တည်တံ့ခိုင်မြဲမှုကို သေချာစေနိုင်ပါသည်။

sca-tools-software-composition-analysis-tools
သင့်ဆော့ဖ်ဝဲလ်အန္တရာယ်များကို ဦးစားပေးသတ်မှတ်ခြင်း၊ ပြုပြင်ခြင်းနှင့် လုံခြုံစေခြင်း
သင့်ရဲ့ အခမဲ့အကောင့်ကို ရယူလိုက်ပါ။
အကြွေးဝယ်ကဒ်မရှိပါ။

သင့်ရဲ့ Software Development နဲ့ Delivery ကို လုံခြုံအောင်ထားပါ

Xygeni ထုတ်ကုန်အစုံနှင့်အတူ