LinkedIn नौकरी के प्रस्ताव में बैकडोर की खोज
मूल शीर्षक: A backdoor in a LinkedIn job offer
यह क्यों महत्वपूर्ण है
यह घटना दिखाती है कि किसी भी डेवलपर को लक्षित करने वाले परिष्कृत सामाजिक इंजीनियरिंग और सप्लाई चेन हमले कितने प्रभावी हो सकते हैं।
एक सॉफ्टवेयर डेवलपर को LinkedIn पर नकली भर्तीकर्ता से संपर्क किया गया जो एक GitHub रिपॉजिटरी की समीक्षा करने के लिए कहा। रिपॉजिटरी में छिपा बैकडोर npm install के दौरान सक्रिय होता था और सर्वर से कोई भी कमांड चला सकता था।
एक सॉफ्टवेयर डेवलपर Roman Imankulov को LinkedIn पर एक क्रिप्टो स्टार्टअप के भर्तीकर्ता से संदेश मिला जिसने एक नेतृत्व इंजीनियर की भूमिका के लिए समीक्षा के लिए एक सार्वजनिक GitHub रिपॉजिटरी भेजी। रिपॉजिटरी में 250 लाइनों की परीक्षण फाइल (app/test/index.js) थी जिसमें एक बैकडोर छिपा था। यह बैकडोर URL के टुकड़ों को एकत्रित करके https://rest-icon-handler.store/icons/77 बनाता था और सर्वर से भेजे गए कमांड को निष्पादित करता था। महत्वपूर्ण बात यह है कि npm install चलाने के तुरंत बाद package.json में 'prepare' स्क्रिप्ट स्वचालित रूप से यह बैकडोर सक्रिय कर देता था। Imankulov ने एक throwaway VPS पर सावधानीपूर्वक रिपॉजिटरी की जांच की और संदिग्ध कोड का पता लगाया। जांच से पता चला कि रिपॉजिटरी के 39 commits एक वास्तविक डेवलपर के नाम से किए गए थे, जिसने इसके साथ कभी काम नहीं किया और पहले भी GitHub पर व्यक्तित्व चोरी का शिकार हो चुका था। भर्तीकर्ता की प्रोफाइल एक प्रसिद्ध आर्ट पत्रकार से संबंधित थी जिसका तकनीकी पृष्ठभूमि नहीं था, लेकिन जब Imankulov ने npm समस्या के बारे में कहा तो वह अचानक npm विशेषज्ञ बन गई।