पायथन कोड रिपॉजिटरी में मलिशस पैकेज इंस्टॉल कर रहे हैं हैकर्स, लाखों ऐप पर खतरा, जानिए क्या है यह
चेक प्वाइंट रिसर्च की एक रिपोर्ट से पता चला है कि हैकर्स एक प्रमुख पायथन कोड रिपॉजिटरी, PyPI में मलिशस पैकेज इंस्टॉल कर रहे हैं. इसे Instagram, Reddit और Spotify जैसे लोकप्रिय स्मार्टफोन ऐप बनाने के लिए किया जाता है.
रिपॉजिटरी में मलिशस पैकेज इंस्टॉल कर रहे हैं.
पायथन कोड रिपॉजिटरी का इस्तेमाल मोबाइल ऐप बनाने में किया जाता है.
इस कोड का उपयोग वैश्विक स्तर पर 600,000 से अधिक डेवलपर्स द्वारा किया जाता है.
नई दिल्ली. अमेरिकी सिक्योरिटी फर्म, चेक प्वाइंट रिसर्च ने एक रिपोर्ट जारी की है, जिसमें बताया गया है कि हैकर्स एक प्रमुख पायथन कोड रिपॉजिटरी, PyPI में मलिशस पैकेज इंस्टॉल कर रहे हैं. इस कोड का उपयोग वैश्विक स्तर पर 600,000 से अधिक डेवलपर्स द्वारा किया जाता है और यह लगभग 3.7 मिलियन ऐप का हिस्सा है.
पायथन एक लोकप्रिय प्रोग्रामिंग भाषा है जिसका उपयोग YouTube, Instagram, Reddit और Spotify जैसे लोकप्रिय स्मार्टफोन ऐप बनाने के लिए किया जाता है. कोड रिपॉजिटरी एक प्रोग्रामिंग भाषा का एक बैंक है, जिसे ओपन सोर्स डेवलपर्स द्वारा लगातार अपडेट किया जाता है, इसे विभिन्न ऐप प्रोजेक्ट पर काम करने पर अपडेट किया जाता है.200 मिलियन कोड रिपॉजिटरी
उदाहरण के लिए GitHub का उपयोग डेवलपर्स द्वारा अपने काम को पोस्ट करने, लॉग करने और अपडेट करने और लाइसेंस के लिए साथी डेवलपर्स को वितरित करने के लिए किया जाता है. Microsoft के स्वामित्व वाले प्लेटफॉर्म का दावा है कि वर्तमान में 83 मिलियन से अधिक डेवलपर्स और 200 मिलियन कोड रिपॉजिटरी हैं.PyPI स्क्रिप्ट को टारगेट करते हैं हैकर्स
दुनिया भर के सॉफ्टवेयर डेवलपर अपने काउंटरपार्ट्स द्वारा कन्ट्रिब्यूट किए गए पैकेज और स्क्रिप्ट तक एक्सेस सकते हैं और नए प्रोडक्ट को डेवलप करने के लिए उनका उपयोग कर सकते हैं. चेक प्वाइंट के अनुसार हैकर्स PyPI में एक स्क्रिप्ट को टारगेट करते हैं और निर्देशों की एक सीरीज – रिपॉजिटरी में जो पायथन पर बने ऐप के प्रोसेस में इंस्टॉल कर देते हैं.
ऐप्स में सुरक्षा ग्लिच की संभावना बढ़ रही है
PyPI बस एक केस है. सुरक्षा विशेषज्ञ बताते हैं कि सार्वजनिक प्रोग्रामिंग भाषा रिपॉजिटरी पर अटैक करने वाले हजारों मलिशस कोड स्निपेट सार्वजनिक मोबाइल एप्लिकेशन में अपना रास्ता खोज रहे हैं. इन ऐप्स में सुरक्षा ग्लिच की संभावना बढ़ रही है. मलिशस कोड स्निपेट बैकग्राउंज में चलते हैं, जिसके परिणामस्वरूप इसे डेवलपर्स नहीं देखा पाते हैं. यही कारण है कि बड़ी कंपनियों के पास अपने स्वयं के ऐप हैं, बड़ी टीमें उन्हें सुरक्षित रखने के लिए लगातार काम कर रही हैं, लेकिन स्वतंत्र डेवलपर्स के पास ऐसा कोई साधन नहीं है, जिससे वे हैकर्स का आसान शिकार बन सकें.कोड रिपॉजिटरी में मजबूत सिक्योरिटी चेक नहीं होता
सुरक्षा फर्मों के अनुसार यह रिपॉजिटरी की प्रकृति है, जो उसे सिक्योरिटी ब्रीच के प्रति संवेदनशील बनाती है. यूएस साइबर सिक्योरिटी फर्म पालो ऑल्टो नेटवर्क्स में भारत और सार्क के लिए सिस्टम इंजीनियरिंग के निदेशक हुजेफा मोतीवाला ने कहा कि इस तरह के उदाहरण आम हैं. अधिकांश कोड रिपॉजिटरी में एक मजबूत सिक्योरिटी चेक और वैलिडेशन प्रोसेस नहीं होता है, जो साइबर अटैकर्स को लोकप्रिय रिपॉजिटरी में मिलिशस कोड स्निपेट जोड़ने की अनुमति देती है.