নোড প্যাকেজ ম্যানেজার (এনপিএম) সংগ্রহস্থলে এই সপ্তাহে অত্যন্ত অস্পষ্ট দূষিত পাইথন এবং জাভাস্ক্রিপ্ট কোড সহ চারটি প্যাকেজ আবিষ্কৃত হয়েছে।
একটি মতে রিপোর্ট
ক্যাসপারস্কি থেকে, দূষিত প্যাকেজগুলি "ভোল্ট স্টিলার" এবং "লফি স্টিলার" ম্যালওয়্যার ছড়িয়ে দেয়, ডিসকর্ড টোকেন এবং ক্রেডিট কার্ডের তথ্য সহ তাদের শিকারদের কাছ থেকে তথ্য সংগ্রহ করে এবং সময়ের সাথে সাথে তাদের উপর গুপ্তচরবৃত্তি করে।
চুরি করতে ভোল্ট স্টিলার ব্যবহার করা হয় ডিসকর্ড টোকেন এবং সংক্রামিত কম্পিউটারগুলি থেকে লোকেদের আইপি ঠিকানা সংগ্রহ করে, যা পরে HTTP এর মাধ্যমে দূষিত অভিনেতাদের কাছে আপলোড করা হয়।
Lofy Stealer, একটি নতুন উদ্ভাবিত হুমকি, ডিসকর্ড ক্লায়েন্ট ফাইলগুলিকে সংক্রামিত করতে পারে এবং শিকারের ক্রিয়াকলাপ নিরীক্ষণ করতে পারে। উদাহরণস্বরূপ, ম্যালওয়্যার সনাক্ত করে যখন একজন ব্যবহারকারী লগ ইন করে, ইমেল বা পাসওয়ার্ডের বিশদ পরিবর্তন করে, বা মাল্টিফ্যাক্টর প্রমাণীকরণ (MFA) সক্ষম বা নিষ্ক্রিয় করে। এটিও নজরদারি করে যখন একজন ব্যবহারকারী নতুন অর্থপ্রদানের পদ্ধতি যোগ করে এবং ক্রেডিট কার্ডের সম্পূর্ণ বিবরণ সংগ্রহ করবে। সংগৃহীত তথ্য তারপর একটি দূরবর্তী শেষ পয়েন্ট আপলোড করা হয়.
প্যাকেজের নামগুলো হল “small-sm,” “pern-valids,” “lifeculer,” এবং “proc-title”। যদিও npm এগুলিকে সংগ্রহস্থল থেকে সরিয়ে দিয়েছে, যে কোনও বিকাশকারীর অ্যাপ্লিকেশনগুলি যারা ইতিমধ্যেই তাদের ডাউনলোড করেছে তাদের জন্য হুমকি রয়ে গেছে।
হ্যাকিং ডিসকর্ড টোকেন
টার্গেটিং ডিসকর্ড অনেক বেশি পৌঁছায় কারণ চুরি হওয়া ডিসকর্ড টোকেনগুলি শিকারের বন্ধুদের বর্শা-ফিশিং প্রচেষ্টার জন্য ব্যবহার করা যেতে পারে। কিন্তু ডেরেক মানকি, প্রধান নিরাপত্তা কৌশলবিদ এবং ফোর্টিনেটের ফোর্টিগার্ড ল্যাবসের গ্লোবাল থ্রেট ইন্টেলিজেন্সের ভাইস প্রেসিডেন্ট, উল্লেখ করেছেন যে মাল্টিমিডিয়া কমিউনিকেশন প্ল্যাটফর্মের ব্যবহারের উপর নির্ভর করে সংগঠনগুলির মধ্যে আক্রমণের পৃষ্ঠ অবশ্যই পরিবর্তিত হবে।
"হুমকির মাত্রা টায়ার 1 প্রাদুর্ভাবের মতো উচ্চ হবে না যেমনটি আমরা অতীতে দেখেছি - উদাহরণস্বরূপ, Log4j - এই ভেক্টরগুলির সাথে যুক্ত আক্রমণের পৃষ্ঠের চারপাশে এই ধারণাগুলির কারণে," তিনি ব্যাখ্যা করেন।
ডিসকর্ডের ব্যবহারকারীদের এই ধরনের আক্রমণ থেকে নিজেদের রক্ষা করার বিকল্প রয়েছে: "অবশ্যই, লক্ষ্যবস্তু করা যেকোনো অ্যাপ্লিকেশনের মতো, কিল চেইন কভার করা ঝুঁকি এবং হুমকির মাত্রা কমাতে একটি কার্যকরী ব্যবস্থা," মানকি বলেছেন।
এর অর্থ ব্যবহারকারীর প্রোফাইল, নেটওয়ার্ক বিভাজন এবং আরও অনেক কিছু অনুসারে ডিসকর্ডের যথাযথ ব্যবহারের জন্য নীতিগুলি সেট আপ করা।
কেন npm সফ্টওয়্যার সাপ্লাই চেইন আক্রমণের জন্য টার্গেট করা হয়
npm সফ্টওয়্যার প্যাকেজ সংগ্রহস্থলের 11 মিলিয়নেরও বেশি ব্যবহারকারী এবং এটি হোস্ট করা প্যাকেজগুলির কয়েক বিলিয়ন ডাউনলোড রয়েছে৷ এটি অভিজ্ঞ Node.js ডেভেলপার এবং অন্যান্য ক্রিয়াকলাপের অংশ হিসাবে সাধারণভাবে এটি ব্যবহার করা লোকেরা উভয়ই ব্যবহার করে।
ওপেন সোর্স npm মডিউলগুলি Node.js প্রোডাকশন অ্যাপ্লিকেশন এবং ডেভেলপার টুলিং উভয় ক্ষেত্রেই ব্যবহৃত হয় যেগুলি অন্যথায় নোড ব্যবহার করবে না। যদি কোনো ডেভেলপার অসাবধানতাবশত কোনো অ্যাপলিকেশন তৈরি করার জন্য একটি দূষিত প্যাকেজ টেনে নেয়, তাহলে সেই ম্যালওয়্যারটি সেই অ্যাপ্লিকেশনের শেষ ব্যবহারকারীদের লক্ষ্য করতে যেতে পারে। এইভাবে, এই ধরনের সফ্টওয়্যার সরবরাহ চেইন আক্রমণগুলি একটি পৃথক কোম্পানিকে লক্ষ্য করার চেয়ে কম প্রচেষ্টার জন্য আরও বেশি পৌঁছানোর সুযোগ দেয়।
"ডেভেলপারদের মধ্যে সেই সর্বব্যাপী ব্যবহার এটিকে একটি বড় লক্ষ্য করে তোলে," ক্যাসি বিসন বলেছেন, প্রোডাক্ট এবং ডেভেলপার সক্ষমতার প্রধান, BluBracket, একটি প্রদানকারী কোড নিরাপত্তা সমাধান৷
এনপিএম কেবলমাত্র বিপুল সংখ্যক লক্ষ্যকে আক্রমণের ভেক্টর সরবরাহ করে না, তবে লক্ষ্যগুলি নিজেরাই শেষ ব্যবহারকারীদের বাইরে প্রসারিত করে, বিসন বলেছেন।
"এন্টারপ্রাইজ এবং স্বতন্ত্র বিকাশকারী উভয়েরই প্রায়শই গড় জনসংখ্যার চেয়ে বেশি সম্পদ থাকে এবং একটি বিকাশকারীর মেশিন বা এন্টারপ্রাইজ সিস্টেমে একটি বিচহেড লাভ করার পরে পার্শ্বীয় আক্রমণগুলি সাধারণত ফলদায়ক হয়," তিনি যোগ করেন।
গারউড পাং, টাইগারার সিনিয়র নিরাপত্তা গবেষক, কনটেইনারগুলির জন্য নিরাপত্তা এবং পর্যবেক্ষণের প্রদানকারী, উল্লেখ করেছেন যে এনপিএম জাভাস্ক্রিপ্টের জন্য সবচেয়ে জনপ্রিয় প্যাকেজ ম্যানেজারগুলির মধ্যে একটি প্রদান করে, সবাই কীভাবে এটি ব্যবহার করতে হয় সে সম্পর্কে সচেতন নয়।
"এটি ডেভেলপারদের তাদের কোড উন্নত করতে ওপেন সোর্স প্যাকেজগুলির একটি বিশাল লাইব্রেরিতে অ্যাক্সেসের অনুমতি দেয়," তিনি বলেছেন। "তবে, ব্যবহারের সহজতা এবং তালিকার পরিমাণের কারণে, একজন অনভিজ্ঞ বিকাশকারী তাদের অজান্তেই সহজেই দূষিত প্যাকেজগুলি আমদানি করতে পারে।"
একটি দূষিত প্যাকেজ সনাক্ত করা, যদিও এটি কোন সহজ কৃতিত্ব নয়। সিনোপসিস সাইবারসিকিউরিটি রিসার্চ সেন্টারের প্রধান নিরাপত্তা কৌশলবিদ টিম ম্যাকি, একটি সাধারণ নোডজেএস প্যাকেজ তৈরির উপাদানগুলির নিছক পরিমাণের উল্লেখ করেছেন।
"যেকোন কার্যকারিতার সঠিক বাস্তবায়ন সনাক্ত করতে সক্ষম হওয়াকে চ্যালেঞ্জ করা হয় যখন একই সমস্যার বিভিন্ন বৈধ সমাধান থাকে," তিনি বলেছেন। "একটি দূষিত বাস্তবায়ন যোগ করুন যা তারপরে অন্যান্য উপাদানগুলির দ্বারা উল্লেখ করা যেতে পারে, এবং আপনি এমন একটি রেসিপি পেয়েছেন যেখানে তারা যে উপাদানটি নির্বাচন করছে তা বাক্সে যা বলে তা করে কিনা তা নির্ধারণ করা কারও পক্ষে কঠিন এবং এটি অন্তর্ভুক্ত করে না বা অবাঞ্ছিত উল্লেখ করে না৷ কার্যকারিতা।"
npm-এর চেয়েও বেশি: সফ্টওয়্যার সাপ্লাই চেইন আক্রমণ বাড়ছে৷
প্রধান সরবরাহ শৃঙ্খল আক্রমণ হয়েছে একটি উল্লেখযোগ্য প্রভাব সফ্টওয়্যার নিরাপত্তা সচেতনতা এবং সিদ্ধান্ত গ্রহণের উপর, আক্রমণের পৃষ্ঠগুলি নিরীক্ষণের জন্য আরও বিনিয়োগের পরিকল্পনা করা হয়েছে।
ম্যাকি উল্লেখ করেছেন যে সফ্টওয়্যার সরবরাহ চেইনগুলি সর্বদা লক্ষ্যবস্তু ছিল, বিশেষ করে যখন কেউ শপিং কার্ট বা ডেভেলপমেন্ট টুলিংয়ের মতো কাঠামোকে লক্ষ্য করে আক্রমণের দিকে তাকায়।
"আমরা সম্প্রতি যা দেখছি তা হল একটি স্বীকৃতি যে আক্রমণগুলিকে আমরা ম্যালওয়্যার হিসাবে শ্রেণীবদ্ধ করতে বা ডেটা লঙ্ঘন হিসাবে ব্যবহার করি তা বাস্তবে সফ্টওয়্যারটিতে বিশ্বস্ত সংস্থাগুলির স্থানগুলির সাথে আপস করে যা তারা তৈরি এবং ব্যবহার করছে," তিনি বলেছেন৷
ম্যাকি আরও বলেছেন যে অনেক লোক ধরে নিয়েছিল যে কোনও বিক্রেতার দ্বারা তৈরি সফ্টওয়্যারটি সম্পূর্ণরূপে সেই বিক্রেতার দ্বারা রচিত, কিন্তু বাস্তবে, এমন শত শত তৃতীয় পক্ষের লাইব্রেরিও থাকতে পারে যা এমনকি সবচেয়ে সহজ সফ্টওয়্যারও তৈরি করতে পারে - যেমনটি প্রকাশিত হয়েছিল Log4j ব্যর্থতা.
"এই লাইব্রেরিগুলি কার্যকরভাবে অ্যাপ্লিকেশনের জন্য সফ্টওয়্যার সাপ্লাই চেইনের মধ্যে সরবরাহকারী, কিন্তু কোনো প্রদত্ত সরবরাহকারীকে ব্যবহার করার সিদ্ধান্তটি একটি বৈশিষ্ট্য সমস্যা সমাধানকারী একটি বিকাশকারী দ্বারা নেওয়া হয়েছিল এবং ব্যবসায়িক ঝুঁকির উপর দৃষ্টি নিবদ্ধ করা একজন ব্যবসায়ীর দ্বারা নয়," তিনি বলেছেন।
যেটি বাস্তবায়নের জন্য আহ্বান জানানো হয়েছে উপকরণের সফ্টওয়্যার বিল (SBOMs). এবং, মে মাসে, MITER চালু
তথ্য ও যোগাযোগ প্রযুক্তি (ICT) এর জন্য একটি প্রোটোটাইপ কাঠামো যা সফ্টওয়্যার সহ সরবরাহ শৃঙ্খলে ঝুঁকি এবং নিরাপত্তা উদ্বেগকে সংজ্ঞায়িত করে এবং পরিমাপ করে।
