CanisterWorm ম্যালওয়্যার

প্রাথমিকভাবে বহুল ব্যবহৃত ট্রিভি স্ক্যানারকে লক্ষ্য করে চালানো একটি অত্যাধুনিক সাপ্লাই চেইন আক্রমণ এখন আরও ব্যাপক আকার ধারণ করেছে, যা অসংখ্য এনপিএম প্যাকেজকে প্রভাবিত করছে। এই অভিযানের পেছনের হুমকিদাতারা ক্যানিস্টারওয়ার্ম নামে পরিচিত, পূর্বে অনুল্লিখিত একটি স্ব-প্রসারিত ওয়ার্ম ব্যবহার করেছে বলে সন্দেহ করা হচ্ছে, যা এই অনুপ্রবেশের মাত্রা ও প্রভাবকে উল্লেখযোগ্যভাবে বাড়িয়ে দিয়েছে।

ম্যালওয়্যারটির নামকরণ করা হয়েছে এর কমান্ড অবকাঠামোর অংশ হিসেবে ইন্টারনেট কম্পিউটার প্রোটোকল (আইসিপি) ক্যানিস্টার ব্যবহারের কারণে। আইসিপি ক্যানিস্টার হলো একটি বিকেন্দ্রীভূত ব্লকচেইনে হোস্ট করা টেম্পার-প্রতিরোধী স্মার্ট কন্ট্রাক্ট। এটিই প্রথমবার প্রকাশ্যে নথিভুক্ত ঘটনা যেখানে কমান্ড-অ্যান্ড-কন্ট্রোল (সি২) এন্ডপয়েন্ট পুনরুদ্ধারের জন্য আইসিপি ক্যানিস্টারকে অস্ত্র হিসেবে ব্যবহার করা হয়েছে। এটি একটি অভিনব ও শক্তিশালী কৌশল উপস্থাপন করেছে যা প্রচলিত প্রতিরোধ প্রচেষ্টাকে আরও জটিল করে তুলেছে।

আপোসকৃত প্যাকেজ এবং প্রাথমিক অ্যাক্সেস ভেক্টর

এই আক্রমণটি বিভিন্ন স্কোপ জুড়ে একাধিক এনপিএম প্যাকেজকে প্রভাবিত করেছে, যা সফটওয়্যার সাপ্লাই চেইনের মধ্যে এর ব্যাপক প্রভাব প্রদর্শন করে:

• @EmilGroup এর আওতাধীন ২৮টি প্যাকেজ
• @opengov এর আওতাধীন ১৬টি প্যাকেজ
• অতিরিক্ত প্যাকেজগুলির মধ্যে রয়েছে @teale.io/eslint-config, @airtm/uuid-base32, এবং @pypestream/floating-ui-dom

এই অভিযানটি এমন একটি ক্রেডেনশিয়াল হ্যাকিংয়ের ঘটনার পরপরই শুরু হয়েছে, যার ফলে আক্রমণকারীরা ট্রিভি-সম্পর্কিত টুলগুলোর—বিশেষত ট্রিভি, ট্রিভি-অ্যাকশন এবং সেটআপ-ট্রিভি—ক্ষতিকর সংস্করণ প্রকাশ করতে সক্ষম হয়েছিল, যেগুলোতে ক্রেডেনশিয়াল চুরির অন্তর্নির্মিত কার্যকারিতা ছিল। ধারণা করা হচ্ছে, এই কার্যক্রমটি টিমপিসিপি (TeamPCP) নামে পরিচিত একটি ক্লাউড-কেন্দ্রিক সাইবার অপরাধী গোষ্ঠীর সাথে যুক্ত।

সংক্রমণ কার্যপ্রবাহ এবং বিকেন্দ্রীভূত কমান্ড পরিকাঠামো

সংক্রমণ শৃঙ্খলটি npm প্যাকেজ ইনস্টলেশন প্রক্রিয়ার সময় শুরু হয়, যেখানে একটি পোস্টইনস্টল স্ক্রিপ্ট একটি লোডার চালায়। এই লোডারটি একটি পাইথন-ভিত্তিক ব্যাকডোর স্থাপন করে, যা ICP ক্যানিস্টারের সাথে যোগাযোগ করার জন্য ডিজাইন করা হয়েছে। ক্যানিস্টারটি একটি ডেড ড্রপ রিজলভার হিসেবে কাজ করে, যা এমন একটি URL ফেরত দেয় যা সংক্রমিত সিস্টেমকে পরবর্তী ধাপের পেলোড ডাউনলোড এবং কার্যকর করতে নির্দেশ দেয়।

আইসিপি পরিকাঠামোর বিকেন্দ্রীভূত প্রকৃতি আক্রমণকারীদের একটি উল্লেখযোগ্য সুবিধা প্রদান করে। যেহেতু ক্যানিস্টারটি গতিশীলভাবে পেলোড ইউআরএল আপডেট করতে পারে, তাই হুমকিদাতারা স্থাপন করা ম্যালওয়্যারটিকে নিজে পরিবর্তন না করেই সমস্ত সংক্রমিত সিস্টেমে নতুন ক্ষতিকারক বাইনারি ছড়িয়ে দিতে পারে। এই স্থাপত্যটি এটিকে নিষ্ক্রিয় করার প্রচেষ্টাকেও যথেষ্ট বেশি কঠিন করে তোলে।

অধ্যবসায় প্রক্রিয়া এবং গোপনীয়তা কৌশল

ক্ষতিকারক প্রসেসটিকে স্বয়ংক্রিয়ভাবে পুনরায় চালু করার জন্য কনফিগার করা একটি systemd ইউজার সার্ভিস তৈরির মাধ্যমে এর স্থায়িত্ব নিশ্চিত করা হয়। এর প্রধান বৈশিষ্ট্যগুলো হলো:

• Restart=always নির্দেশনার মাধ্যমে স্বয়ংক্রিয় পুনঃসূচনা কার্যকর করা হয়।
• বন্ধ করে দেওয়া হলে ব্যাকডোরটি পুনরায় চালু করার আগে ৫ সেকেন্ডের বিলম্ব।
• 'pgmon' নামে পরিষেবাটিকে বৈধ PostgreSQL মনিটরিং সফ্টওয়্যার হিসেবে ছদ্মবেশ ধারণ করানো

এই পদ্ধতিটি বৈধ সিস্টেম পরিষেবাগুলির সাথে মিশে গিয়ে শনাক্ত হওয়ার সম্ভাবনা হ্রাস করার মাধ্যমে নিরবচ্ছিন্ন কার্যক্রম নিশ্চিত করে।

অভিযোজিত পেলোড ডেলিভারি এবং কিল সুইচ আচরণ

সন্দেহ এড়ানোর জন্য ব্যাকডোরটি একটি নকল ব্রাউজার ইউজার-এজেন্ট ব্যবহার করে প্রতি ৫০ মিনিট পর পর আইসিপি ক্যানিস্টারের সাথে যোগাযোগ করে। ফেরত আসা ইউআরএলটি পরবর্তী পদক্ষেপ নির্ধারণ করে:

• যদি ইউআরএলটি একটি বৈধ পেলোড নির্দেশ করে, তাহলে ম্যালওয়্যারটি সেটি ডাউনলোড করে এবং কার্যকর করে।
• যদি URL-টিতে 'youtube.com' থাকে, তাহলে ম্যালওয়্যারটি একটি নিষ্ক্রিয় অবস্থায় চলে যায়।

এই কৌশলটি কার্যকরভাবে একটি রিমোট কিল সুইচ হিসেবে কাজ করে। ক্যানিস্টারের ইউআরএল-কে একটি নিরীহ ইউটিউব লিঙ্ক এবং একটি ক্ষতিকারক পেলোডের মধ্যে পরিবর্তন করার মাধ্যমে, আক্রমণকারী সমস্ত সংক্রমিত সিস্টেমে ম্যালওয়্যারটি সক্রিয় বা নিষ্ক্রিয় করতে পারে। লক্ষণীয় যে, পূর্বে চালানো পেলোডগুলো ব্যাকগ্রাউন্ডে চলতে থাকে, কারণ ম্যালওয়্যারটি আগের প্রসেসগুলো বন্ধ করে না।

একটি ট্রোজানযুক্ত ট্রিভি বাইনারিতেও (সংস্করণ ০.৬৯.৪) অনুরূপ একটি ইউটিউব-ভিত্তিক কিল সুইচ দেখা গেছে, যেটি একটি পৃথক পাইথন ড্রপারের মাধ্যমে একই আইসিপি পরিকাঠামোর সাথে যোগাযোগ করে।

কৃমির ক্ষমতা এবং স্বয়ংক্রিয় বংশবিস্তার

প্রাথমিকভাবে, এই আক্রমণ ছড়ানোর জন্য deploy.js নামের একটি ম্যানুয়ালি চালিত স্ক্রিপ্ট ব্যবহার করা হতো, যা চুরি করা npm অথেনটিকেশন টোকেন কাজে লাগিয়ে সহজলভ্য প্যাকেজগুলোতে ক্ষতিকারক কোড প্রবেশ করাতো। এই স্ক্রিপ্টটি ইনস্টলেশনের সময় সক্রিয় হতো না, বরং আক্রমণের পরিধি বাড়ানোর জন্য একটি স্বতন্ত্র টুল হিসেবে কাজ করত।

ক্যানিস্টারওয়ার্মের পরবর্তী সংস্করণগুলো উল্লেখযোগ্যভাবে বিকশিত হয়েছে। নতুন সংস্করণগুলোতে, যেমন @teale.io/eslint-config-এ পাওয়া সংস্করণগুলো (১.৮.১১ এবং ১.৮.১২), এই ওয়ার্মটি প্যাকেজের ইনস্টলেশন প্রক্রিয়ার মধ্যেই সরাসরি স্ব-প্রসারণকে অন্তর্ভুক্ত করে। এই হালনাগাদকৃত পদ্ধতির মধ্যে রয়েছে:

• সংক্রমিত পরিবেশ থেকে npm প্রমাণীকরণ টোকেন নিষ্কাশন
• একটি বিচ্ছিন্ন ব্যাকগ্রাউন্ড প্রসেস হিসাবে প্রোপাগেশন রুটিনের তাৎক্ষণিক নির্বাহ।
• সংগৃহীত ক্রেডেনশিয়াল ব্যবহার করে আপোসকৃত প্যাকেজগুলির স্বয়ংক্রিয় প্রকাশনা।

এই পরিবর্তন আক্রমণটিকে ম্যানুয়ালি পরিচালিত অভিযান থেকে একটি সম্পূর্ণ স্বায়ত্তশাসিত বিস্তার ব্যবস্থায় রূপান্তরিত করে।

স্বনির্ভর সরবরাহ শৃঙ্খল হুমকিতে পরিণত হওয়া

স্বয়ংক্রিয় টোকেন সংগ্রহ এবং স্ব-প্রচারের প্রবর্তন পরিস্থিতিকে গুরুতর পর্যায়ে নিয়ে গেছে। যেকোনো ডেভেলপার ওয়ার্কস্টেশন বা CI/CD পাইপলাইন, যা একটি আপোসকৃত প্যাকেজ ইনস্টল করে এবং যাতে সহজলভ্য npm ক্রেডেনশিয়াল থাকে, তা একটি সক্রিয় প্রচার নোডে পরিণত হয়। এটি একটি ক্রমিক প্রভাব তৈরি করে, যার ফলে সংক্রমিত প্যাকেজগুলো পরবর্তী পর্যায়ের নির্ভরতাগুলোতে আরও সংক্রমণ ঘটায়।

এই পর্যায়ে, হুমকিটি বিচ্ছিন্ন অ্যাকাউন্ট হ্যাকিংয়ের গণ্ডি পেরিয়ে ম্যালওয়্যার বিতরণের একটি স্বয়ংসম্পূর্ণ বাস্তুতন্ত্রে পরিণত হয়। প্রতিটি নতুন সংক্রমিত পরিবেশ এর বিস্তারে অবদান রাখে, যা সূচকীয় বৃদ্ধিকে সম্ভব করে তোলে এবং নিয়ন্ত্রণকে উল্লেখযোগ্যভাবে আরও কঠিন করে তোলে।

উদ্বেগ আরও বাড়িয়ে, 'hello123' এর মতো প্লেসহোল্ডার পেলোডের মতো পরীক্ষার নিদর্শনগুলো ইঙ্গিত দেয় যে আক্রমণকারীরা সম্পূর্ণরূপে কার্যকর ক্ষতিকারক বাইনারিগুলো স্থাপন করার আগে সক্রিয়ভাবে আক্রমণ শৃঙ্খলকে পরিমার্জন ও যাচাই করছে।