npm બેવડા જોખમોનો સામનો કરી રહ્યું છે: સ્પામમાં ભારે વધારો અને ક્લોક્ડ રીડાયરેક્ટ્સ

મુખ્ય પૃષ્ઠ » પાયથોન » npm બેવડા જોખમોનો સામનો કરી રહ્યું છે: સ્પામમાં ભારે વધારો અને ક્લોક્ડ રીડાયરેક્ટ્સ

ઓપન-સોર્સ સપ્લાય ચેઇન્સની વધતી જતી ચકાસણી વચ્ચે, npm રજિસ્ટ્રી બે અલગ-અલગ જોખમોથી ત્રસ્ત છે: TEA ટોકન રિવોર્ડ્સ સાથે જોડાયેલ એક વિશાળ, પ્રોત્સાહન-સંચાલિત પેકેજ પૂર અને એક નાનો સમૂહ ક્લોક્ડ રીડાયરેક્ટર પેકેજો જે પસંદગીપૂર્વક પીડિતોને લક્ષ્ય બનાવે છે. બંને ઝુંબેશ ઓટોમેશન અને સૂક્ષ્મતા પર આધાર રાખે છે, જે દર્શાવે છે કે તકવાદીઓ વિશ્વના સૌથી વધુ ઉપયોગમાં લેવાતા JavaScript ઇકોસિસ્ટમનો કેટલી ઝડપથી ઉપયોગ કરી શકે છે.

જ્યારે પૂરનો પ્રયાસ વધીને ૧૫૦,૦૦૦ ફ્લેગ કરેલા પેકેજો બહુવિધ ખાતાઓમાં, છુપાયેલા રીડાયરેક્ટર્સ સ્પષ્ટ દૃષ્ટિથી છુપાવવા માટે સંશોધન વિરોધી યુક્તિઓ પર આધાર રાખતા હતા. સાથે મળીને, તેઓ સતત અંતરને પ્રકાશિત કરે છે રજિસ્ટ્રી ગવર્નન્સ, ડિપેન્ડન્સી હાઇજીન, અને શોધ વ્યૂહરચનાઓ જે પરંપરાગત ઇન્સ્ટોલ-ટાઇમ માલવેર વર્તણૂકો પર ખૂબ જ સંકુચિત રીતે ધ્યાન કેન્દ્રિત કરે છે.

ઇન્ડોનેશિયન ફૂડ્સ પેકેજના પૂરની અંદર

"ઇન્ડોનેશિયન ફૂડ્સ" નામની આ ઝુંબેશમાં અનૌપચારિક નામકરણ યોજનાનો ઉપયોગ કરવામાં આવ્યો હતો - સામાન્ય ઇન્ડોનેશિયન નામોને ખાદ્ય શબ્દો અને આંકડાકીય ચલો સાથે જોડીને - હજારો સંભવિત દેખાતા પેકેજો બનાવવા માટે. અગાઉના માપદંડો દ્વારા ઓળખવામાં આવી હતી કે 43,000 એન્ટ્રીઝ પ્રયાસ સાથે જોડાયેલ; પછીના અહેવાલોમાં 100,000 થી વધુનો ઉલ્લેખ કરવામાં આવ્યો, અને ત્યારબાદ થયેલા ગેરરીતિઓનો પર્દાફાશ થયો લગભગ 150,000 રજિસ્ટ્રીમાં.

જોકે ઘણા બંડલ કાયદેસર દેખાતા હતા - કેટલાક તો કાર્યરત પણ હતા Next.js ટેમ્પ્લેટ્સ—તેઓએ નિષ્ક્રિય કોડ (દા.ત., auto.js અથવા publishScript.js) દૂર કર્યો. જ્યારે મેન્યુઅલી લોન્ચ કરવામાં આવે છે, ત્યારે તે સ્ક્રિપ્ટ રેન્ડમાઇઝ્ડ વર્ઝન, નવા નામો જનરેટ કરે છે, અને લૂપ પર નવા પેકેજો પ્રકાશિત કરે છે, જેમાં દર થોડી સેકંડમાં બર્સ્ટ જોવા મળે છે અને દાવો કરે છે કે એક જ રન દબાણ કરી શકે છે દરરોજ ૧૭,૦૦૦+ પેકેજો.

આ મોટા પાયે ઉત્પાદન ભાગ્યે જ અલગ કરવામાં આવ્યું હતું; વ્યક્તિગત એન્ટ્રીઓ ઘણીવાર આઠ થી દસ નિર્ભરતાઓ જાહેર કરતી હતી જે અન્ય સ્પામ પેકેજો તરફ નિર્દેશ કરતી હતી, જે સ્વ-સંદર્ભિત જાળી બનાવે છે. ચોખ્ખી અસર લાક્ષણિક પર આધાર રાખ્યા વિના કૃમિ જેવી ફેલાવો હતી. પોસ્ટઇન્સ્ટોલ હુક્સ અથવા ખુલ્લેઆમ દૂષિત વર્તણૂકો, જેના કારણે ઘણા સ્કેનર શાંત રહ્યા.

નાણાકીય પ્રોત્સાહનોએ આ પ્રયાસને વેગ આપ્યો હોય તેવું લાગે છે. સંશોધકોએ શોધી કાઢ્યું ચા.યામલ હુમલાખોર-નિયંત્રિત પેકેજોમાં ફાઇલો જે ચોક્કસ એકાઉન્ટ્સ અને ક્રિપ્ટો વોલેટ્સનો ઉલ્લેખ કરે છે, દેખીતી રીતે TEA ઇમ્પેક્ટ સ્કોર્સનો ઉપયોગ કરવાનો અને ટોકન રિવોર્ડ્સનો દાવો કરવાનો હેતુ ધરાવે છે. વિશ્લેષણો તબક્કાવાર ઉત્ક્રાંતિ સૂચવે છે: 2023 માં મોટો સ્પામ બેઝ, 2024 માં TEA મુદ્રીકરણ સંકેતો, અને 2025 માં અત્યંત સ્વચાલિત પ્રતિકૃતિ વર્કફ્લો.

એ નોંધવું યોગ્ય છે કે કેટલાક સંશોધનોએ પાછળથી સ્પષ્ટ કર્યું કે પ્રતિકૃતિ સંપૂર્ણપણે સ્વાયત્ત નથી; પેલોડને ટ્રિગર કરવાની જરૂર છે. તેમ છતાં, એકવાર શરૂ થયા પછી, પ્રકાશન લૂપ અને પેટર્ન-આધારિત નામકરણ મોટા પ્રમાણમાં વોલ્યુમ અને રજિસ્ટ્રી અવાજને વિસ્તૃત કરે છે.

રજિસ્ટ્રી પ્રદૂષણની શોધ, પ્રતિભાવ અને સ્કેલ

એમેઝોન ઇન્સ્પેક્ટરના સંશોધકોએ ઓક્ટોબરના અંતમાં AI સાથે જોડાયેલા નવા નિયમો રજૂ કર્યા અને ઝડપથી શંકાસ્પદ tea.xyz-લિંક્ડ પ્રવૃત્તિને ફ્લેગ કરી. થોડા દિવસોમાં, ટીમે હજારો એન્ટ્રીઓ ઓળખી કાઢી હતી; નવેમ્બરના મધ્ય સુધીમાં, ઓપન સોર્સ સિક્યુરિટી ફાઉન્ડેશન MAL-IDs ને ગતિએ સોંપવામાં આવ્યા - ઘણીવાર લગભગ 30 મિનિટની અંદર - અંતે મેપિંગ કરવામાં આવ્યું ૧૫૦,૦૦૦+ પેકેજો ઝુંબેશ સાથે જોડાયેલા.

અન્ય સુરક્ષા ટીમોએ મોટા પાયે આડઅસરોનું અવલોકન કર્યું. જનરેટ થતી સલાહકારોની સંખ્યાને કારણે ડેટા સિસ્ટમ્સ પર દબાણ આવ્યું, અને નબળાઈ પર આધાર રાખતા પ્લેટફોર્મ્સે તરંગોની જાણ કરી નવી એન્ટ્રીઓ સ્પામ સાથે સંબંધિત. સંશોધકોએ આ ઘટનાને કદમાં અભૂતપૂર્વ ગણાવી, ચેતવણી આપી કે ઉચ્ચ સ્તરનું ઓટોમેશન અને ક્રોસ-એકાઉન્ટ સંકલન પ્રતિભાવ અને સફાઈને સામાન્ય એક વખતના સમાધાન કરતાં વધુ જટિલ બનાવે છે.

ઓળખપત્રની ચોરી કે પાછળના દરવાજા વિના પણ, જોખમો સ્પષ્ટ છે: સતત રજિસ્ટ્રી પ્રદૂષણ જે કાયદેસર પેકેજોને ડૂબાડી દે છે, ઇન્ફ્રાસ્ટ્રક્ચર અને બેન્ડવિડ્થનો બગાડ કરે છે, અને એક ખતરનાક ઉદાહરણ જે મૂલ્ય કરતાં વોલ્યુમને વધારે છે. આ યુક્તિ ધમકી આપનારાઓ માટે અવાજ વચ્ચે હાનિકારક અપડેટ્સ મેળવવા માટે જગ્યા પણ બનાવે છે.

સ્કેનર્સ કેમ ચૂકી ગયા - અને શું બદલાઈ રહ્યું છે

મોટાભાગના સુરક્ષા સાધનો ઇન્સ્ટોલ-ટાઇમ રેડ ફ્લેગ્સ પર ભાર મૂકે છે જેમ કે પોસ્ટ-ઇન્સ્ટોલ સ્ક્રિપ્ટ્સ, નેટવર્ક બીકન્સ, અથવા શંકાસ્પદ ફાઇલ ઓપરેશન્સ. અહીં, નિષ્ક્રિય ફાઇલોનો સંદર્ભ કોઈપણ કોડ પાથ દ્વારા આપવામાં આવતો ન હતો, તેથી સ્કેનર્સ વારંવાર તેમને નિષ્ક્રિય તરીકે ગણતા હતા. દર મર્યાદિત, નબળી મેટાડેટા ચકાસણી અને બલ્ક-પ્રકાશિત કલાકૃતિઓ માટે મર્યાદિત પેટર્ન શોધને કારણે બે બાબતો શક્ય બની: ઉચ્ચ-થ્રુપુટ અપલોડ્સ અનચેક થયા, અને સંકલિત ક્લસ્ટરો રડાર નીચે રહ્યા.

સંશોધકો કહે છે કે આ એપિસોડ ઇકોસિસ્ટમ-સ્તરના મેનીપ્યુલેશન તરફના પરિવર્તનને ચિહ્નિત કરે છે જેના દ્વારા સંચાલિત નાણાકીય પ્રોત્સાહનો. એક જ લોકપ્રિય પેકેજ સાથે સમાધાન કરવાને બદલે, હુમલાખોરોને ઘણી નાની એન્ટ્રીઓમાં પ્રભાવ વધારવા માટે પ્રોત્સાહિત કરવામાં આવે છે, સંકેતોને અસ્પષ્ટ કરે છે અને વિશ્વાસને ખતમ કરે છે. આનાથી કડક રજિસ્ટ્રી નીતિઓ, સમૃદ્ધ વર્તણૂકીય વિશ્લેષણ અને વધુ સારા સમુદાય સંકલનની માંગણીઓ થઈ રહી છે.

• પ્રકાશન બંધ કરો: npm પ્રકાશનને CI/CD અને અધિકૃત જાળવણીકારો સુધી મર્યાદિત કરો; મોટા પાયે પ્રવૃત્તિ માટે મજબૂત ઓળખ તપાસની જરૂર છે.
• SCA કવરેજમાં સુધારો: નિષ્ક્રિય ફાઇલો, પુનરાવર્તિત પેટર્ન અને ગોળાકાર નિર્ભરતા વેબને ચિહ્નિત કરો; એવા સાધનો પસંદ કરો જે ઇન્સ્ટોલ-સમયના જોખમોને સપાટી પર લાવે છે.
• બ્લાસ્ટ ત્રિજ્યા મર્યાદિત કરો: પિન વર્ઝન, SBOM જાળવો, અને CI/CD ને અલગ કરો; રજિસ્ટ્રી લેયર પર માસ સબમિશન માટે રેટ મર્યાદા અને કેપ્ચા ઉમેરો.
• સતત ઑડિટ કરો: ઓછી ગુણવત્તાવાળા અને બિન-કાર્યકારી પેકેજો દૂર કરો; અસામાન્ય નામકરણ, સંસ્કરણ ચર્ન અને એકાઉન્ટ ક્લસ્ટરિંગ માટે મોનિટર કરો.

એડસ્પેક્ટ-ક્લોક્ડ રીડાયરેક્ટર પેકેજ સપાટી

એક અલગ npm ઘટનામાં સાત પેકેજો સામેલ હતા જે એક વપરાશકર્તા દ્વારા પ્રકાશિત કરવામાં આવ્યા હતા જેને ડાયનો_રિબોર્ન સપ્ટેમ્બર અને નવેમ્બર 2025 વચ્ચે. છ એન્ટ્રીઓમાં એક કોમ્પેક્ટ, આશરે 39kB પેલોડ હતો જે મુલાકાતીઓની ફિંગરપ્રિન્ટિંગ કરતો હતો અને સંશોધકોને ફિલ્ટર કરવા માટે એડસ્પેક્ટ નામની ટ્રાફિક-ક્લોકિંગ સેવાનો ઉપયોગ કરતો હતો, જ્યારે "સિગ્નલ્સ-એમ્બેડ" એક છેતરપિંડી તરીકે કામ કરતો હતો.

• સિગ્નલ-એમ્બેડ (૩૪૨ ડાઉનલોડ્સ)
• dsidospsodlks (૧૮૪ ડાઉનલોડ્સ)
• applicationooks21 (340 ડાઉનલોડ્સ)
• એપ્લિકેશન-phskck (૧૯૯ ડાઉનલોડ્સ)
• ઇન્ટિગ્રેટર-ફાઇલ્સક્રિપ્ટ2025 (199 ડાઉનલોડ્સ)
• ઇન્ટિગ્રેટર-2829 (276 ડાઉનલોડ્સ)
• ઇન્ટિગ્રેટર-2830 (૩૪૨ ડાઉનલોડ્સ)

બ્રાઉઝર વાતાવરણમાં લોડ થવા પર દૂષિત કોડ તરત જ એક્ઝિક્યુટ થાય છે તાત્કાલિક ઇન્વોક્ડ ફંક્શન એક્સપ્રેશન (IIFE). તેણે સિસ્ટમ ફિંગરપ્રિન્ટ મેળવી, વિશ્લેષણને નિષ્ફળ બનાવવા માટે ડેવલપર ટૂલ્સને અવરોધિત કરવાનો પ્રયાસ કર્યો, અને પ્રોક્સી એન્ડપોઇન્ટનો સંપર્ક કરીને નક્કી કર્યું કે શું બતાવવું કે નહીં. નકલી કેપ્ચા જેણે આખરે પીડિતોને સ્ટેન્ડએક્સ જેવી સેવાઓનો ઢોંગ કરીને ક્રિપ્ટો-થીમ આધારિત સ્થળો પર રીડાયરેક્ટ કર્યા. જો મુલાકાતી સંશોધક હોય તેવું લાગતું હતું, તો તેના બદલે એક સાદો સફેદ પૃષ્ઠ - ઑફલિડો નામની નકલી એન્ટિટીના સંદર્ભો સાથે પૂર્ણ - પ્રદર્શિત કરવામાં આવતું હતું.

એડસ્પેક્ટ પોતાને ક્લાઉડ-આધારિત એન્ટી-ફ્રોડ પ્લેટફોર્મ તરીકે માર્કેટિંગ કરે છે જેમાં "બુલેટપ્રૂફ ક્લોકિંગ" છે, જે ટાયર્ડ સબ્સ્ક્રિપ્શન પ્લાન દ્વારા ઓફર કરવામાં આવે છે. સપ્લાય-ચેઇન પેકેજોમાં તેની હાજરી અસામાન્ય છે, અને સંશોધકો દલીલ કરે છે કે npm મોડ્યુલ્સ સાથે એડસ્પેક્ટ લોજિકને બંડલ કરવાથી એક સ્વયં-નિર્ભર ટ્રાફિક-ગેટિંગ ટૂલકીટ: ડેવલપર ચેનલ દ્વારા વિતરણ, બ્રાઉઝરમાં અમલીકરણ, અને વાસ્તવિક પેલોડનું પસંદગીયુક્ત એક્સપોઝર ફક્ત સંભવિત પીડિતોને જ.

ટીમો અને રજિસ્ટ્રી માટે વ્યવહારુ પગલાં

વિકાસ ટીમો માટે, સૌથી સલામત તાત્કાલિક પગલાં પ્રકાશન નિયંત્રણોને કડક બનાવવા છે, પ્રાધાન્ય આપો નિષ્ક્રિય કલાકૃતિઓને પકડતા ડિટેક્ટર, અને ડિપેન્ડન્સી ટ્રીમાંથી શંકાસ્પદ પેકેજો કાઢી નાખો. રજિસ્ટ્રી સ્ટુઅર્ડ્સ માટે, સબમિશન થ્રોટલ ઉમેરવા, મેટાડેટા વિશ્લેષણમાં સુધારો કરવો, અને નામકરણ પેટર્ન માટે વિસંગતતા શોધમાં બેકિંગ કરવું અને ક્રોસ-એકાઉન્ટ ક્લસ્ટરિંગ સ્પામર્સ માટે મર્યાદા વધારવી જોઈએ.

બદલાતા પ્રોત્સાહનો અને વધુને વધુ ઔદ્યોગિક યુક્તિઓ વચ્ચે, npm ના ડિફેન્ડર્સ એક અલગ પ્રકારના પડકારનો સામનો કરે છે: જ્યારે હુમલાખોરો કમાણી કરી શકે છે ચેપ લગાડવા કરતાં પૂર, ઉપદ્રવ અને જોખમ વચ્ચેની રેખા સાંકડી થાય છે - અને તકેદારી, સહયોગ અને સ્માર્ટ નિયંત્રણો એકમાત્ર ટકાઉ પ્રતિભાવ બની જાય છે.