LofyGang হুমকি গোষ্ঠী ক্রেডিট কার্ডের ডেটা এবং গেমিং এবং স্ট্রিমিং অ্যাকাউন্টগুলি চুরি করার জন্য হাজার হাজার ইনস্টলেশন সহ 200 টিরও বেশি ক্ষতিকারক NPM প্যাকেজ ব্যবহার করছে, চুরি করা শংসাপত্র ছড়িয়ে দেওয়ার আগে এবং ভূগর্ভস্থ হ্যাকিং ফোরামে লুটপাট করে৷
চেকমার্কসের একটি প্রতিবেদন অনুসারে, সাইবারট্যাক গ্রুপটি 2020 সাল থেকে কাজ করছে, যা ওপেন সোর্স সাপ্লাই চেইনকে সংক্রামিত করছে দূষিত প্যাকেজ সফ্টওয়্যার অ্যাপ্লিকেশনগুলিকে অস্ত্রোপচার করার প্রয়াসে৷
গবেষক দল বিশ্বাস করে যে ব্রাজিলিয়ান পর্তুগিজ ভাষার ব্যবহার এবং "brazil.js" নামের একটি ফাইলের কারণে গ্রুপটির ব্রাজিলিয়ান বংশোদ্ভূত হতে পারে। যেটিতে ম্যালওয়্যার পাওয়া গেছে তাদের কয়েকটি দূষিত প্যাকেজে।
প্রতিবেদনে গ্রুপের হাজার হাজার ডিজনি+ এবং মাইনক্রাফ্ট অ্যাকাউন্ট ফাঁস করে একটি ভূগর্ভস্থ হ্যাকিং সম্প্রদায়ের কাছে DyPolarLofy নাম ব্যবহার করে এবং GitHub-এর মাধ্যমে তাদের হ্যাকিং সরঞ্জামগুলিকে প্রচার করার কৌশলের বিবরণও রয়েছে।
“আমরা দূষিত পেলোড, সাধারণ পাসওয়ার্ড চুরিকারী এবং ডিসকর্ড-নির্দিষ্ট ক্রমাগত ম্যালওয়্যারের বেশ কয়েকটি শ্রেণি দেখেছি; কিছু প্যাকেজের ভিতরে এমবেড করা হয়েছিল, এবং কিছু C2 সার্ভার থেকে রানটাইম চলাকালীন দূষিত পেলোড ডাউনলোড করেছিল," শুক্রবার রিপোর্ট লক্ষনীয়।
LofyGang দায়মুক্তির সাথে কাজ করে
গ্রুপটি টাইপোসক্যাটিং সহ কৌশল স্থাপন করেছে, যা ওপেন সোর্স সাপ্লাই চেইনে টাইপিং ভুলগুলিকে লক্ষ্য করে, সেইসাথে “স্টারজ্যাকিং”, যেখানে প্যাকেজের গিটহাব রেপো ইউআরএল একটি অসংলগ্ন বৈধ গিটহাব প্রকল্পের সাথে লিঙ্ক করা হয়েছে।
"প্যাকেজ ম্যানেজাররা এই রেফারেন্সের যথার্থতা যাচাই করে না, এবং আমরা দেখি আক্রমণকারীরা তাদের প্যাকেজের গিট রিপোজিটরি বৈধ এবং জনপ্রিয় বলে এর সুবিধা নেয়, যা শিকারকে এটিকে বৈধ প্যাকেজ ভাবতে প্ররোচিত করতে পারে যে এটি তথাকথিত জনপ্রিয়তা,” রিপোর্টে বলা হয়েছে।
ওপেন সোর্স সফ্টওয়্যারের সর্বব্যাপীতা এবং সাফল্য এটিকে লফিগ্যাং-এর মতো দূষিত অভিনেতাদের জন্য একটি উপযুক্ত লক্ষ্যে পরিণত করেছে, চেকমার্কের সাপ্লাই চেইন সিকিউরিটি ইঞ্জিনিয়ারিং গ্রুপের প্রধান জোসেফ হারুশ ব্যাখ্যা করেছেন।
তিনি LofyGang-এর মূল বৈশিষ্ট্যগুলিকে দেখেন যেমন একটি বৃহৎ হ্যাকার সম্প্রদায় তৈরি করার ক্ষমতা, কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার হিসাবে বৈধ পরিষেবার অপব্যবহার এবং ওপেন সোর্স ইকোসিস্টেমকে বিষিয়ে তোলার প্রচেষ্টা।
তিনটি ভিন্ন প্রতিবেদনের পরও এই কার্যক্রম অব্যাহত রয়েছে — থেকে সোনাটাইপ, নিরাপদ তালিকা, এবং jFrog — LofyGang এর দূষিত প্রচেষ্টা উন্মোচন করেছে।
"তারা সক্রিয় থাকে এবং সফ্টওয়্যার সাপ্লাই চেইন অঙ্গনে দূষিত প্যাকেজ প্রকাশ করতে থাকে," তিনি বলেছেন।
এই প্রতিবেদনটি প্রকাশ করার মাধ্যমে, হারুশ বলেছেন যে তিনি আক্রমণকারীদের বিবর্তন সম্পর্কে সচেতনতা বাড়াতে আশা করেন, যারা এখন ওপেন সোর্স হ্যাক টুলের সাহায্যে সম্প্রদায় তৈরি করছে।
"আক্রমণকারীরা বিশদ বিবরণে যথেষ্ট মনোযোগ না দেওয়ার জন্য শিকারদের উপর নির্ভর করে," তিনি যোগ করেন। "এবং সত্যই, এমনকি আমিও, বছরের অভিজ্ঞতার সাথে, সম্ভবত এই কৌশলগুলির কিছুর জন্য পড়ে যাব কারণ সেগুলি খালি চোখে বৈধ প্যাকেজ বলে মনে হয়।"
ওপেন সোর্স নিরাপত্তার জন্য তৈরি নয়
হারুশ উল্লেখ করেছেন যে দুর্ভাগ্যবশত ওপেন সোর্স ইকোসিস্টেম নিরাপত্তার জন্য তৈরি করা হয়নি।
"যদিও যে কেউ সাইন আপ করতে এবং একটি ওপেন সোর্স প্যাকেজ প্রকাশ করতে পারে, প্যাকেজে দূষিত কোড রয়েছে কিনা তা পরীক্ষা করার জন্য কোনও যাচাইকরণ প্রক্রিয়া নেই," তিনি বলেছেন।
সাম্প্রতিক রিপোর্ট সফ্টওয়্যার-নিরাপত্তা সংস্থা Snyk এবং লিনাক্স ফাউন্ডেশন থেকে প্রকাশ করা হয়েছে যে প্রায় অর্ধেক সংস্থার উপাদান এবং কাঠামোর ব্যবহারে বিকাশকারীদের গাইড করার জন্য একটি ওপেন সোর্স সফ্টওয়্যার সুরক্ষা নীতি রয়েছে৷
যাইহোক, প্রতিবেদনে আরও দেখা গেছে যে যাদের এই ধরনের নীতি রয়েছে তারা সাধারণত ভাল নিরাপত্তা প্রদর্শন করে - গুগল উপলব্ধ করা হ্যাকারদের ঘনিষ্ঠ উপায়ে সহায়তা করার জন্য নিরাপত্তা সংক্রান্ত সমস্যাগুলির জন্য সফ্টওয়্যার যাচাইকরণ এবং প্যাচ করার প্রক্রিয়া।
"আমরা দেখি আক্রমণকারীরা এর সুবিধা নেয় কারণ দূষিত প্যাকেজ প্রকাশ করা খুবই সহজ," তিনি ব্যাখ্যা করেন। "প্যাকেজগুলিকে চুরি করা ছবি, অনুরূপ নাম সহ বৈধ দেখানোর জন্য বা এমনকি অন্যান্য বৈধ গিট প্রকল্পের ওয়েবসাইটগুলিকে রেফারেন্স করার জন্য যাচাই করার ক্ষমতার অভাব যে তারা তাদের দূষিত প্যাকেজ পৃষ্ঠাগুলিতে অন্যান্য প্রকল্পের তারার পরিমাণ পেয়েছে।"
সাপ্লাই চেইন আক্রমণের দিকে যাচ্ছেন?
হারুশের দৃষ্টিকোণ থেকে, আমরা এমন জায়গায় পৌঁছেছি যেখানে আক্রমণকারীরা ওপেন সোর্স সাপ্লাই চেইন আক্রমণের পৃষ্ঠের সম্পূর্ণ সম্ভাবনা উপলব্ধি করে।
“আমি আশা করি যে ওপেন সোর্স সাপ্লাই চেইন আক্রমণগুলি আক্রমণকারীদের মধ্যে আরও বিকশিত হবে যা কেবল ভিকটিমদের ক্রেডিট কার্ডই নয়, বরং ভিকটিমদের কর্মক্ষেত্রের শংসাপত্র যেমন একটি গিটহাব অ্যাকাউন্ট চুরি করতে এবং সেখান থেকে সফ্টওয়্যার সাপ্লাই চেইন আক্রমণের বড় জ্যাকপটের লক্ষ্যে। ," তিনি বলেন.
এর মধ্যে একটি কর্মক্ষেত্রের ব্যক্তিগত কোড ভান্ডার অ্যাক্সেস করার ক্ষমতা, শিকারের ছদ্মবেশ ধারণ করার সময় কোডে অবদান রাখার ক্ষমতা, এন্টারপ্রাইজ গ্রেড সফ্টওয়্যারে ব্যাকডোর লাগানো এবং আরও অনেক কিছু অন্তর্ভুক্ত থাকবে।
হারুশ যোগ করেছেন, "সংস্থাগুলি তাদের বিকাশকারীদেরকে দ্বি-ফ্যাক্টর প্রমাণীকরণের মাধ্যমে সঠিকভাবে প্রয়োগ করে নিজেদের রক্ষা করতে পারে, তাদের সফ্টওয়্যার বিকাশকারীদের জনপ্রিয় ওপেন সোর্স প্যাকেজগুলিকে নিরাপদ মনে না করার জন্য শিক্ষিত করতে পারে যদি তাদের অনেকগুলি ডাউনলোড বা স্টার আছে বলে মনে হয়," হারুশ যোগ করেন, "এবং সন্দেহজনক বিষয়ে সতর্ক থাকতে সফটওয়্যার প্যাকেজে কার্যক্রম।