अमेरिकी सिक्योरिटी फर्म चेक प्वाइंट रिसर्च ने एक रिपोर्ट जारी की है जिसमें बताया गया है कि हैकर्स एक प्रमुख पायथन कोड रिपॉजिटरी PyPI में मलिशस पैकेज इंस्टॉल कर रहे हैं. इस कोड का उपयोग वैश्विक स्तर पर 600000 से अधिक डेवलपर्स द्वारा किया जाता है और यह लगभग 3.7 मिलियन ऐप का हिस्सा है
पायथन एक लोकप्रिय प्रोग्रामिंग भाषा है जिसका उपयोग YouTube Instagram Reddit और Spotify जैसे लोकप्रिय स्मार्टफोन ऐप बनाने के लिए किया जाता है. कोड रिपॉजिटरी एक प्रोग्रामिंग भाषा का एक बैंक है जिसे ओपन सोर्स डेवलपर्स द्वारा लगातार अपडेट किया जाता है इसे विभिन्न ऐप प्रोजेक्ट पर काम करने पर अपडेट किया जाता है.
200 मिलियन कोड रिपॉजिटरी
उदाहरण के लिए GitHub का उपयोग डेवलपर्स द्वारा अपने काम को पोस्ट करने लॉग करने और अपडेट करने और लाइसेंस के लिए साथी डेवलपर्स को वितरित करने के लिए किया जाता है Microsoft के स्वामित्व वाले प्लेटफॉर्म का दावा है कि वर्तमान में 83 मिलियन से अधिक डेवलपर्स और 200 मिलियन कोड रिपॉजिटरी हैं
PyPI स्क्रिप्ट को टारगेट करते हैं हैकर्स
दुनिया भर के सॉफ्टवेयर डेवलपर अपने काउंटरपार्ट्स द्वारा कन्ट्रिब्यूट किए गए पैकेज और स्क्रिप्ट तक एक्सेस सकते हैं और नए प्रोडक्ट को डेवलप करने के लिए उनका उपयोग कर सकते हैं. चेक प्वाइंट के अनुसार हैकर्स PyPI में एक स्क्रिप्ट को टारगेट करते हैं और निर्देशों की एक सीरीज – रिपॉजिटरी में जो पायथन पर बने ऐप के प्रोसेस में इंस्टॉल कर देते हैं.
ऐप्स में सुरक्षा ग्लिच की संभावना बढ़ रही है
PyPI बस एक केस है. सुरक्षा विशेषज्ञ बताते हैं कि सार्वजनिक प्रोग्रामिंग भाषा रिपॉजिटरी पर अटैक करने वाले हजारों मलिशस कोड स्निपेट सार्वजनिक मोबाइल एप्लिकेशन में अपना रास्ता खोज रहे हैं. इन ऐप्स में सुरक्षा ग्लिच की संभावना बढ़ रही है. मलिशस कोड स्निपेट बैकग्राउंज में चलते हैं जिसके परिणामस्वरूप इसे डेवलपर्स नहीं देखा पाते हैं. यही कारण है कि बड़ी कंपनियों के पास अपने स्वयं के ऐप हैं बड़ी टीमें उन्हें सुरक्षित रखने के लिए लगातार काम कर रही हैं लेकिन स्वतंत्र डेवलपर्स के पास ऐसा कोई साधन नहीं है जिससे वे हैकर्स का आसान शिकार बन सकें.
कोड रिपॉजिटरी में मजबूत सिक्योरिटी चेक नहीं होता
सुरक्षा फर्मों के अनुसार यह रिपॉजिटरी की प्रकृति है जो उसे सिक्योरिटी ब्रीच के प्रति संवेदनशील बनाती है. यूएस साइबर सिक्योरिटी फर्म पालो ऑल्टो नेटवर्क्स में भारत और सार्क के लिए सिस्टम इंजीनियरिंग के निदेशक हुजेफा मोतीवाला ने कहा कि इस तरह के उदाहरण आम हैं. अधिकांश कोड रिपॉजिटरी में एक मजबूत सिक्योरिटी चेक और वैलिडेशन प्रोसेस नहीं होता है जो साइबर अटैकर्स को लोकप्रिय रिपॉजिटरी में मिलिशस कोड स्निपेट जोड़ने की अनुमति देती है.
