កំពុងផ្ទុក...

ថ្ងៃ សុក្រ ទី១០ ខែ កក្កដា ឆ្នាំ ២០២៦

Malicious Braintree NuGet Package កំណត់គោលដៅប្រព័ន្ធទូទាត់ដើម្បីលួចទិន្នន័យកាត


កញ្ចប់ NuGet ព្យាបាទដែលក្លែងបន្លំជាបណ្ណាល័យទូទាត់ Braintree .NET បានធ្វើឱ្យប្រព័ន្ធទូទាត់ផលិតកម្មប្រឈមនឹងហានិភ័យ។

កញ្ចប់នេះអាចប្រមូលព័ត៌មានលម្អិតអំពីកាតផ្ទាល់ក្នុងអំឡុងពេលប្រតិបត្តិការ បន្ទាប់មកផ្ញើទិន្នន័យចេញដោយមិនចាំបាច់ជូនដំណឹងដល់កម្មវិធី ឬអ្នកប្រើប្រាស់របស់វា។ វាក៏ស្វែងរកព័ត៌មានសម្គាល់ដែលអាចផ្តល់ឱ្យឧក្រិដ្ឋជននូវសិទ្ធិចូលប្រើប្រព័ន្ធអាជីវករកាន់តែទូលំទូលាយផងដែរ។

ការវាយអក្សរខុសដំណើរការ ពីព្រោះឈ្មោះកញ្ចប់ស្ទើរតែដូចគ្នាបេះបិទអាចមើលទៅគួរឱ្យទុកចិត្តក្នុងអំឡុងពេលធ្វើបច្ចុប្បន្នភាពការពឹងផ្អែកយ៉ាងប្រញាប់ប្រញាល់។ នៅពេលដែលបន្ថែមទៅក្នុងគម្រោងមួយ កូដដែលបានផ្លាស់ប្តូរនឹងដំណើរការនៅខាងក្នុងលំហូរការងារទូទាត់ ដែលវាអាចសង្កេតឃើញព័ត៌មានរសើប។

ហានិភ័យគឺធ្ងន់ធ្ងរជាពិសេសសម្រាប់អង្គការដែលដំណើរការប្រតិបត្តិការរបស់អតិថិជនពិតប្រាកដជាជាងទិន្នន័យសាកល្បង។

អ្នកស្រាវជ្រាវនៅ Socket.dev បានកំណត់អត្តសញ្ញាណកញ្ចប់ព្យាបាទ ខណៈពេលកំពុងពិនិត្យមើលយុទ្ធនាការមួយដែលមានគោលបំណងទៅលើខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។

Socket.dev បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលចែករំលែកជាមួយ Cyber ​​Security News (CSN) ថា ការផ្សាំនេះត្រូវបានបង្កើតឡើងដើម្បីកំណត់គោលដៅបរិស្ថានផ្ទាល់ និងប្រមូលទាំងទិន្នន័យទូទាត់ និងអាថ៌កំបាំងអាជីវករ។ វត្តមានរបស់វាប្រែក្លាយការពឹងផ្អែកកម្មវិធីធម្មតាទៅជាផ្លូវផ្ទាល់សម្រាប់ការលួច។


មេរោគ​នេះ​ហាក់ដូចជា​ត្រូវ​បាន​រចនា​ឡើង​ដើម្បី​នៅ​ស្ងៀម​រហូត​ដល់​វា​ទៅ​ដល់​គោលដៅ​ដ៏​មាន​តម្លៃ។ វិធីសាស្ត្រ​នោះ​ធ្វើ​ឱ្យ​វា​មាន​គ្រោះថ្នាក់​ជាង​កម្មវិធី​ដំឡើង​មេរោគ​សាមញ្ញ​មួយ ពីព្រោះ​វា​ត្រូវ​បាន​បញ្ចូល​ទៅ​ក្នុង​កម្មវិធី​ដែល​ដោះស្រាយ​ការ​ទូទាត់។

ការសម្របសម្រួលដោយជោគជ័យអាចធ្វើឱ្យអ្នកទិញទំនិញ អាជីវករ និងប្រព័ន្ធដែលប្រើសម្រាប់ដំណើរការប្រតិបត្តិការមានការប៉ះពាល់។

Braintree NuGet Typosquat ប្រើប្រាស់ XOR-Obfuscated C2

កញ្ចប់ក្លែងក្លាយមានលេខកូដដែលស្ទាក់ចាប់សកម្មភាពទូទាត់ និងចាប់យកព័ត៌មានដែលផ្តល់ជូនក្នុងអំឡុងពេលបង្កើតកាត និងប្រតិបត្តិការច្រកផ្លូវផ្សេងទៀត។

ជំនួសឱ្យការបំបែកដំណើរការទូទាត់ វាព្យាយាមលាយបញ្ចូលគ្នាទៅក្នុងវា។ នេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវឱកាសដើម្បីទទួលបានទិន្នន័យ ខណៈពេលដែលកម្មវិធីបន្តដំណើរការធម្មតា។

វាក៏កំណត់គោលដៅលើព័ត៌មានសម្គាល់អាជីវករ អថេរបរិស្ថាន និងថូខឹនចូលប្រើដែលរក្សាទុកដោយកម្មវិធីផងដែរ។

តម្លៃទាំងនេះអាចដោះសោសេវាកម្មទូទាត់ គណនីពពក មូលដ្ឋានទិន្នន័យ ឬធនធានដែលបានភ្ជាប់ផ្សេងទៀត។ ការបាត់បង់ពួកវាអាចពង្រីកការខូចខាតលើសពីកម្មវិធីដែលសម្របសម្រួលតែមួយ និងធ្វើឱ្យការវាយប្រហារបន្តកាន់តែងាយស្រួល។

មេរោគប្រើ XOR obfuscation ដើម្បីលាក់គោលដៅបញ្ជា និងគ្រប់គ្រងរបស់វា ឬ C2។

XOR គឺជាវិធីសាស្ត្រសាមញ្ញមួយនៃការច្របល់អត្ថបទ ដូច្នេះព័ត៌មានលម្អិតម៉ាស៊ីនមេដែលអាចអានបានមិនអាចមើលឃើញយ៉ាងច្បាស់នៅក្នុងកញ្ចប់នោះទេ។

បច្ចេកទេសនេះអាចធ្វើឱ្យការពិនិត្យឡើងវិញជាប្រចាំយឺត និងធ្វើឱ្យការតភ្ជាប់បណ្តាញគួរឱ្យសង្ស័យពិបាកសម្រាប់អ្នកការពារក្នុងការកត់សម្គាល់។

កូដនេះពិនិត្យមើលថាតើវាកំពុងដំណើរការនៅក្នុងការកំណត់ផលិតកម្មដែរឬទេ មុនពេលអនុវត្តសកម្មភាពប្រមូលសោ។

ច្រកទ្វារផលិតកម្មនេះជួយឲ្យអ្នកវាយប្រហារជៀសវាងការលាតត្រដាងយុទ្ធនាការក្នុងអំឡុងពេលអភិវឌ្ឍន៍ និងការធ្វើតេស្ត។ វាក៏បង្ហាញពីមូលហេតុដែលអង្គការនានាមិនគួរសន្មត់ថាកញ្ចប់មួយមានសុវត្ថិភាព ដោយសារតែវាមានឥរិយាបទធម្មតានៅក្នុងប្រអប់ខ្សាច់។

ហេតុការណ៍នេះបង្ហាញពីរបៀបដែលកំហុសនៃការពឹងផ្អែកអាចបង្កើតផ្លូវចូលទៅក្នុងប្រព័ន្ធអាជីវកម្មដ៏រសើប។ អ្នកអភិវឌ្ឍន៍ច្រើនតែទុកចិត្តឈ្មោះកញ្ចប់ដែលធ្លាប់ស្គាល់ ជាពិសេសនៅពេលដែលបណ្ណាល័យហាក់ដូចជាត្រូវគ្នានឹងការរួមបញ្ចូលដែលរំពឹងទុក។

អ្នកវាយប្រហារទាញយកអត្ថប្រយោជន៍ពីការជឿទុកចិត្តនោះដោយចុះឈ្មោះឈ្មោះបោកបញ្ឆោតដែលអាចច្រឡំថាជាការពឹងផ្អែកពិតប្រាកដ។

ក្រុមដែលបានដំឡើងកញ្ចប់ដែលរងផលប៉ះពាល់គួរតែលុបវាចេញ ពិនិត្យមើលកំណត់ត្រានៃការពឹងផ្អែករបស់ពួកគេ និងពិនិត្យមើលកំណត់ហេតុកម្មវិធីសម្រាប់ការតភ្ជាប់ចេញដែលមិននឹកស្មានដល់។

ពួកគេក៏គួរតែចាត់ទុកព័ត៌មានបញ្ជាក់អត្តសញ្ញាណទូទាត់ ថូខឹន និងអាថ៌កំបាំងដែលមានសម្រាប់កម្មវិធីដែលរងផលប៉ះពាល់ថាជាការបង្ហាញដែលអាចកើតមាន។ ការបង្វិលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណភ្លាមៗអាចកំណត់សមត្ថភាពរបស់អ្នកវាយប្រហារក្នុងការប្រើប្រាស់ការចូលប្រើដែលត្រូវបានលួចឡើងវិញ។

អង្គការនានាគួរតែផ្ទៀងផ្ទាត់អ្នកបោះពុម្ពផ្សាយកញ្ចប់ ប្រៀបធៀបឈ្មោះកញ្ចប់ដោយប្រុងប្រយ័ត្ន និងពិនិត្យមើលការផ្លាស់ប្តូរដែលមិននឹកស្មានដល់មុនពេលអនុម័តការពឹងផ្អែកថ្មី។

ឯកសារចាក់សោ ឃ្លាំងខាងក្នុងដែលបានគ្រប់គ្រង និងការត្រួតពិនិត្យដោយស្វ័យប្រវត្តិអាចកាត់បន្ថយឱកាសនៃកញ្ចប់ដែលមិនទាន់បានពិនិត្យឈានដល់ការផលិត។ ការត្រួតពិនិត្យចរាចរណ៍ចេញពីកម្មវិធីទូទាត់ក៏អាចបង្ហាញពីឥរិយាបថគួរឱ្យសង្ស័យតាំងពីដំបូងផងដែរ។

ក្រុមសន្តិសុខគួរតែត្រួតពិនិត្យកម្មវិធីដែលកំពុងដំណើរការជាជាងកំណត់ការពិនិត្យរបស់ពួកគេចំពោះពេលវេលាដំឡើង។

ការពឹងផ្អែកដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់នៅពេលដំបូងអាចធ្វើឱ្យសកម្មលុះត្រាតែវារកឃើញលក្ខខណ្ឌផលិតកម្ម។ ការស្វែងរកសំណើមិនធម្មតា ការចូលប្រើសម្ងាត់ និងការផ្លាស់ប្តូរលំហូរទូទាត់អាចជួយស្វែងរកសកម្មភាពមុនពេលការរំលោភកាន់តែទូលំទូលាយកើតឡើង។

យុទ្ធនាការនេះគឺជាការរំលឹកថា កម្មវិធីទូទាត់ត្រូវការការគ្រប់គ្រងយ៉ាងរឹងមាំជុំវិញទាំងលេខកូដ និងព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ។ កញ្ចប់បោកប្រាស់តែមួយអាចលាតត្រដាងព័ត៌មានកាត និងអាថ៌កំបាំងអាជីវករក្នុងពេលតែមួយ។

ការផ្ទៀងផ្ទាត់ការពឹងផ្អែកដោយប្រុងប្រយ័ត្ន និងការឆ្លើយតបទៅនឹងឧប្បត្តិហេតុយ៉ាងឆាប់រហ័សនៅតែមានសារៈសំខាន់នៅពេលដែលការគំរាមកំហែងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីផ្តោតលើប្រតិបត្តិការហិរញ្ញវត្ថុ។

Super Admin

Admin

សូម ចូលគណនី ដើម្បីបញ្ចេញមតិយោបល់លើអត្ថបទនេះ!

អ្នកក៏អាចចូលចិត្តផងដែរ