মাল্টি-লাইসেন্স ডিসকাউন্ট উদ্ধৃতি
কম্পিউটার নিরাপত্তা ক্রাউডস্ট্রাইক, শাই-হুলুদ, এবং CISA 2015 এর ক্রমশ মেয়াদ...

ক্রাউডস্ট্রাইক, শাই-হুলুদ, এবং CISA 2015 এর ক্রমশ মেয়াদ শেষ: কেন সফ্টওয়্যার সাপ্লাই চেইন আক্রমণে মার্কিন যুক্তরাষ্ট্র ঘুমাতে পারে না

কম্পিউটার নিরাপত্তা সালে Sandos দ্বারা
এতে অনুবাদ করুন:

ভঙ্গুর শৃঙ্খল ভঙ্গুর আইনের সাথে মিলিত হয়

২০২৫ সালের নিরাপত্তা শিরোনামগুলিতে র‍্যানসমওয়্যার গ্যাং, এআই-চালিত সাইবার হুমকি এবং ভূ-রাজনৈতিক হ্যাকিং প্রচারণা প্রাধান্য পেয়েছে। তবে ওপেন-সোর্স বিশ্বের সরবরাহ শৃঙ্খলে - বিশেষ করে এনপিএম জাভাস্ক্রিপ্ট ইকোসিস্টেমে - আরও নীরব, আরও প্রতারণামূলক প্রবণতা ঘটছে।

"শাই-হুলুদ" নামে গোষ্ঠীবদ্ধ আক্রমণের সর্বশেষ ঢেউ কয়েক ডজন এনপিএম প্যাকেজের ক্ষতি করেছে, যার মধ্যে ক্রাউডস্ট্রাইক নেমস্পেসের অধীনে প্রকাশিত প্যাকেজগুলিও রয়েছে। এই তথ্যটিই সতর্ক করে দেওয়া উচিত: যখন প্রতিপক্ষরা বিশ্বের সবচেয়ে স্বীকৃত সাইবার নিরাপত্তা বিক্রেতাদের মধ্যে একটির সাথে সম্পর্কিত প্যাকেজগুলিকে বিষিয়ে তুলতে পারে, তখন সফ্টওয়্যার ইকোসিস্টেমের উপর আস্থা ঝুঁকির মুখে পড়ে।

এবং এটি একটি গুরুত্বপূর্ণ নীতিগত পটভূমির বিপরীতে ঘটছে: সেপ্টেম্বরের শেষে ২০১৫ সালের সাইবার নিরাপত্তা তথ্য ভাগাভাগি আইন (CISA 2015) এর মেয়াদ শেষ হওয়ার অপেক্ষায়। CISA 2015 বেসরকারি খাত এবং ফেডারেল সংস্থাগুলির মধ্যে সমঝোতার সূচক (IOCs) এর স্বেচ্ছাসেবী, দায়-সুরক্ষিত ভাগাভাগির বেশিরভাগই সমর্থন করে। যদি এটি বাতিল হয়ে যায়, তাহলে মার্কিন যুক্তরাষ্ট্র এক হাত পিছনে বেঁধে শাই-হুলুদ-ধাঁচের আক্রমণের মোকাবিলা করার চেষ্টা করবে।

শাই-হুলুদ অভিযান: সরবরাহ শৃঙ্খল আক্রমণের শারীরবৃত্তীয় রূপ

১. প্রাথমিক আপস

আক্রমণকারীরা বৈধ প্যাকেজগুলির সাথে সংযুক্ত npm অ্যাকাউন্টগুলিতে অনুপ্রবেশ করেছিল (কিছু ব্যক্তিগত রক্ষণাবেক্ষণকারীদের, অন্যগুলি সাংগঠনিক নেমস্পেসের অধীনে)। package.json পরিবর্তন করে এবং bundle.js নামে একটি ক্ষতিকারক ফাইল এম্বেড করে, তারা অন্যথায় বিশ্বাসযোগ্য প্রকল্পগুলিকে ট্রোজানাইজ করেছিল।

২. পেলোড: বান্ডেল.জেএস ইমপ্লান্ট

এই ইমপ্লান্টটি সূক্ষ্ম "স্ক্রিপ্ট কিডি" ম্যালওয়্যার নয়। এটি সুনির্দিষ্ট, স্বয়ংক্রিয় কাজগুলির একটি সিরিজ সম্পাদন করে:

  • টোকেন সংগ্রহ : হোস্ট পরিবেশে NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID , এবং AWS_SECRET_ACCESS_KEY এর মতো গোপন তথ্য অনুসন্ধান করে।
  • টুল ডিপ্লয়মেন্ট : TruffleHog ডাউনলোড এবং রান করে, এটি একটি ওপেন-সোর্স ইউটিলিটি যা সাধারণত ফাঁস হওয়া গোপন তথ্যের জন্য রিপোজিটরি স্ক্যান করতে ব্যবহৃত হয়। এখানে স্থানীয় সিস্টেমগুলিকে স্যুইপ করার জন্য এটি আক্রমণাত্মকভাবে পুনর্ব্যবহৃত করা হয়েছে।
  • যাচাইকরণ : কোন শংসাপত্রগুলি সক্রিয় রয়েছে তা নিশ্চিত করার জন্য হালকা API অনুরোধগুলি সম্পাদন করে সংগ্রহ করা টোকেনগুলিকে যাচাই করে।
  • CI/CD এর মাধ্যমে স্থায়িত্ব : ক্ষতিকারক GitHub অ্যাকশন ওয়ার্কফ্লো সন্নিবেশ করার জন্য .github/workflows ডিরেক্টরি তৈরি বা পরিবর্তন করে — প্রায়শই shai-hulud.yaml বা shai-hulud-workflow.yml নামে পরিচিত। ভবিষ্যতে CI/CD চালানোর সময় এই ওয়ার্কফ্লোগুলি গোপনীয়তা পুনরায় প্রকাশ করতে পারে।
  • এক্সফিল্ট্রেশন : চুরি করা শংসাপত্র এবং ফলাফল হার্ডকোডেড ওয়েবহুক এন্ডপয়েন্টে পাঠায়, যা প্রায়শই ডিসপোজেবল অবকাঠামোর মাধ্যমে নিয়ন্ত্রিত হয়।

    • ৩. বংশবিস্তার

    যেহেতু npm প্যাকেজগুলি গভীরভাবে আন্তঃসংযুক্ত, এমনকি একটি একক আপসও ক্যাসকেড হতে পারে। ক্ষতিকারক সংস্করণগুলি npm রেজিস্ট্রিতে আপলোড করা হয়েছিল এবং স্বয়ংক্রিয়ভাবে ডেভেলপারদের কাছে বিতরণ করা হয়েছিল যারা নির্ভরতা আপডেট বা ইনস্টল করেছিল। এর অর্থ হল হাজার হাজার ডাউনস্ট্রিম প্রকল্প অসাবধানতাবশত বিষাক্ত কোড টেনে নিয়ে যেতে পারে।

    সেপ্টেম্বরের শুরুতে ঘটে যাওয়া tinycolor-এর ঘটনাটি ঝুঁকির চিত্র তুলে ধরে। সেই লাইব্রেরি ( @ctrl/tinycolor ) সপ্তাহে লক্ষ লক্ষ বার ডাউনলোড করা হয়। যখন এটি Shai-Hulud পেলোডের সাথে আপোস করা হয়, তখন 40 টিরও বেশি ডাউনস্ট্রিম প্যাকেজ বিষাক্ত হয়ে যায়।

    ৪. ক্রাউডস্ট্রাইক নেমস্পেস লঙ্ঘন

    সবচেয়ে উদ্বেগজনক আবিষ্কার ছিল যে @crowdstrike npm নেমস্পেসের অধীনে প্রকাশিত প্যাকেজগুলিও ঝুঁকিপূর্ণ ছিল। Socket.dev কয়েক ডজন বিষাক্ত সংস্করণ সনাক্ত করেছে, যার মধ্যে কিছু ১৪-১৬ সেপ্টেম্বর, ২০২৫ এর মধ্যে দ্রুত বিস্ফোরণে প্রকাশিত হয়েছে।

    যদিও ক্রাউডস্ট্রাইকের নিজস্ব অভ্যন্তরীণ অবকাঠামো লঙ্ঘিত হয়েছে এমন কোনও প্রমাণ নেই, তবে এর সুনাম এবং পদ্ধতিগত প্রভাব গুরুতর:

    • ডেভেলপাররা আশা করেন @crowdstrike মতো বিক্রেতার নেমস্পেসগুলি আয়রনক্ল্যাড হবে।
    • একটি বিষাক্ত নেমস্পেস কেবল বিক্রেতার উপরই নয়, বরং npm-এর উপরও আস্থা নষ্ট করে।
    • প্রতিপক্ষরা স্পষ্টভাবে বুঝতে পেরেছিল যে এই ধরনের আপসের প্রতীকী এবং ব্যবহারিক শক্তি কী।

    প্রযুক্তিগত সূচক এবং পর্যবেক্ষণযোগ্য

    এটিকে আরও ভিত্তি করে তোলার জন্য, শাই-হুলুদ প্যাকেজগুলির বিশ্লেষণ থেকে নিম্নলিখিত প্রযুক্তিগত লক্ষণগুলি উঠে এসেছে:

    • ক্ষতিকারক ফাইল : bundle.js , index.js (বান্ডেল কল করার জন্য পরিবর্তিত), .github/workflows/ এ ওয়ার্কফ্লো ফাইল ঢোকানো হয়েছে।
    • ওয়ার্কফ্লো পেলোড : সাধারণত গোপন তথ্য কার্ল করার এবং আক্রমণকারী ওয়েবহুকে পোস্ট করার ধাপগুলি অন্তর্ভুক্ত থাকে।
    • হ্যাশ পুনঃব্যবহার : একাধিক প্যাকেজ জুড়ে bundle.js ফাইলের একই রকম SHA-256 হ্যাশ, যা প্রচারাভিযানের সমন্বয় নিশ্চিত করে।
    • এক্সফিল্ট্রেশন এন্ডপয়েন্ট : কমোডিটি প্ল্যাটফর্মে হোস্ট করা ওয়েবহুক (যেমন, ডিসকর্ড, স্ল্যাক ইনকামিং ওয়েবহুক, অথবা অস্থায়ী ক্লাউড পরিষেবা)।
    • প্রকাশনার ধরণ : কয়েক মিনিটের মধ্যে প্রকাশিত কয়েক ডজন প্যাকেজ সংস্করণের বিস্ফোরণ, ম্যানুয়াল প্রকাশনার পরিবর্তে স্বয়ংক্রিয় সরঞ্জামের সাথে সামঞ্জস্যপূর্ণ।

      • এই সূচকগুলি কেবল ফরেনসিক ট্রিভিয়া নয়। এগুলি প্রতিপক্ষের স্বয়ংক্রিয়তা এবং শৃঙ্খলা তুলে ধরে - এটি একটি প্রচারণা ছিল যা পরীক্ষা-নিরীক্ষার জন্য নয়, স্কেলের জন্য তৈরি করা হয়েছিল।

      সাপ্লাই চেইন আক্রমণ কেন এত বিপজ্জনক

      সাপ্লাই চেইন আক্রমণগুলি বাইরের পরিধি বাইপাস করে। ফায়ারওয়াল ভেঙে ফেলার পরিবর্তে, তারা বিশ্বস্ত সফ্টওয়্যার আপডেট এবং লাইব্রেরির ভিতরে প্রবেশ করে যার উপর সংস্থাগুলি প্রতিদিন নির্ভর করে।

      • নাগালের মাত্রা : tinycolor মতো একটি একক npm প্যাকেজ বা @crowdstrike এর মতো একটি সাংগঠনিক নেমস্পেসের সাথে আপস করলে হাজার হাজার ডাউনস্ট্রিম সিস্টেম সম্ভাব্যভাবে ক্ষতিগ্রস্ত হতে পারে।
      • ট্রাস্ট হাইজ্যাক : ডেভেলপাররা সহজাতভাবে প্যাকেজ ম্যানেজারদের বিশ্বাস করে; বিষাক্ত আপডেটগুলি স্বয়ংক্রিয়ভাবে ইনস্টল হয়।
      • গোপনতা এবং অধ্যবসায় : দূষিত GitHub অ্যাকশন ওয়ার্কফ্লো এম্বেড করে, আক্রমণকারী মূল দূষিত সংস্করণটি অপসারণের পরেও পুনরাবৃত্তিমূলক এক্সফিল্ট্রেশন নিশ্চিত করে।

      এই কারণেই শাই-হুলুদের মতো আক্রমণ কৌশলগতভাবে গুরুত্বপূর্ণ: তারা আধুনিক সফ্টওয়্যার ডেভেলপমেন্টের প্রক্রিয়াগুলিকে - প্যাকেজ ম্যানেজার, সিআই/সিডি পাইপলাইন, ওপেন-সোর্স নির্ভরতা - আক্রমণের পৃষ্ঠে পরিণত করে।

      CISA 2015 এর মেয়াদ শেষ হওয়ার ফলে ঝুঁকি কেন বাড়বে?

      CISA 2015 এর ভূমিকা

      ২০১৫ সালের সাইবার নিরাপত্তা তথ্য ভাগাভাগি আইন বেসরকারি প্রতিষ্ঠানগুলির জন্য দায়বদ্ধতা ছাড়াই DHS (এবং পরবর্তীতে CISA)-এর সাথে হুমকি সূচকগুলি ভাগ করে নেওয়ার জন্য কাঠামো প্রতিষ্ঠা করে। এর লক্ষ্য:

      • বিভিন্ন ক্ষেত্রে আইওসি-র দ্রুত ভাগাভাগি উৎসাহিত করুন
      • সরল বিশ্বাসে সূচক প্রকাশকারী কোম্পানিগুলির জন্য দায় সুরক্ষা প্রদান করুন
      • মেশিন-পঠনযোগ্য বিনিময়ের জন্য প্রযুক্তিগত বিন্যাস (STIX/TAXII) মানসম্মত করুন

      মেয়াদ শেষ হওয়ার ঝুঁকি

      যদি সেপ্টেম্বরের শেষে আইনটি বাতিল হয়ে যায়:

      1. শেয়ারিং হ্রাস : শাই-হুলুদের দ্বারা ক্ষতিগ্রস্ত রক্ষণাবেক্ষণকারী, রেজিস্ট্রি এবং বিক্রেতারা মামলা বা নিয়ন্ত্রকদের বাধার ভয়ে তথ্য শেয়ার করতে দ্বিধা করতে পারেন।
      2. খণ্ডিত প্রতিক্রিয়া : ফেডারেল সমন্বয় ছাড়া, চলমান আক্রমণের গোয়েন্দা তথ্য পৃথক বিক্রেতা বা গবেষকদের মধ্যে গোপন থাকবে।
      3. ধীর প্রশমন : সরবরাহ শৃঙ্খলের আক্রমণের ক্ষেত্রে সময় অত্যন্ত গুরুত্বপূর্ণ। CISA-এর কাঠামো ছাড়া, আবিষ্কার এবং সম্প্রদায় প্রতিরক্ষার মধ্যে ব্যবধান বিপজ্জনকভাবে প্রসারিত হতে পারে।
      4. আস্থার ক্ষয় : ক্রাউডস্ট্রাইক নেমস্পেস আপোষের কারণে ইতিমধ্যেই হতবাক, ওপেন-সোর্স সম্প্রদায় শক্তিশালী, সমন্বিত ফেডারেল-বেসরকারি প্রতিক্রিয়ার অনুপস্থিতিতে কেন্দ্রীয় রেজিস্ট্রিগুলিতে বিশ্বাস করতে আরও অনিচ্ছুক হয়ে উঠতে পারে।

      নীতি এবং শিল্প সুপারিশ

      ১. তাৎক্ষণিক আইনগত পদক্ষেপ

      কংগ্রেসের উচিত সেপ্টেম্বর শেষ হওয়ার আগেই CISA 2015 নবায়ন বা সম্প্রসারণ করা । তা না করলে প্রতিপক্ষদের কাছে এই ইঙ্গিত দেওয়া হবে যে ক্রমবর্ধমান সাইবার ঝুঁকির মুখে মার্কিন যুক্তরাষ্ট্র নিজেকে ঝুঁকির মুখে ফেলছে।

      2. রেজিস্ট্রি হার্ডেনিং

      npm, PyPI, RubyGems, এবং অন্যান্য রেজিস্ট্রিগুলির জন্য আরও শক্তিশালী সুরক্ষা ব্যবস্থা প্রয়োজন:

      • প্রকাশকদের জন্য বাধ্যতামূলক মাল্টি-ফ্যাক্টর প্রমাণীকরণ
      • অস্বাভাবিক প্রকাশনা বিস্ফোরণের জন্য স্বয়ংক্রিয় অসঙ্গতি সনাক্তকরণ
      • প্রকাশিত প্যাকেজগুলির জন্য কোড স্বাক্ষর
      • CI/CD সিস্টেমে এমবেড করা প্যাকেজ উৎপত্তি পরীক্ষা

      ৩. বিক্রেতার নামস্থান সুরক্ষা

      ক্রাউডস্ট্রাইকের মতো বিক্রেতাদের বিবেচনা করা উচিত:

      • বিকৃত সংস্করণ থেকে ব্যবসাগুলিকে রক্ষা করার জন্য পাবলিক প্যাকেজের ব্যক্তিগত আয়না
      • নেমস্পেস হাইজ্যাকিংয়ের জন্য ক্রমাগত পর্যবেক্ষণ।
      • প্রতিটি রিলিজের জন্য সর্বজনীনভাবে প্রকাশিত "জ্ঞাত-ভালো" হ্যাশ।

      ৪. বেসরকারি খাতের নিরীক্ষা

      প্রতিষ্ঠানগুলির উচিত:

      • স্থির সংস্করণগুলিতে নির্ভরতা পিন করুন।
      • অননুমোদিত পরিবর্তনের জন্য CI/CD কর্মপ্রবাহ নিরীক্ষা করুন।
      • শংসাপত্রগুলি (npm টোকেন, GitHub টোকেন, ক্লাউড কী) উন্মুক্ত হলে অবিলম্বে ঘোরান।

      ৫. ফেডারেল-বেসরকারি সহযোগিতা

      এমনকি যদি CISA সাময়িকভাবে বন্ধ হয়ে যায়, তবুও অ্যাড-হক কাঠামো অবশ্যই শূন্যস্থান পূরণ করবে:

      • CISA, Socket.dev, GitHub, এবং npm-এর মধ্যে যৌথ পরামর্শ।
      • ক্ষতিকারক হ্যাশ এবং এন্ডপয়েন্টের রিয়েল-টাইম ফিড।
      • ওপেন-সোর্স রক্ষণাবেক্ষণকারীদের (প্রায়শই অবৈতনিক স্বেচ্ছাসেবকদের) আর্থিক ও প্রযুক্তিগত সহায়তা।

      উপসংহার: দুর্বলতার সংঘর্ষ

      শাই-হুলুদ প্রচারণা প্রমাণ করে যে সরবরাহ শৃঙ্খলের আক্রমণ আর "এজ কেস" নয় - তারা একটি আদর্শ প্রতিপক্ষ কৌশল হয়ে উঠছে। ক্রাউডস্ট্রাইক নেমস্পেসের অধীনে প্যাকেজগুলির আপস বাস্তুতন্ত্রের উপর আস্থা কতটা ভঙ্গুর হয়ে উঠেছে তা তুলে ধরে।

      এবং ঠিক যখন এই হুমকি আরও তীব্র হচ্ছে, তখন মার্কিন যুক্তরাষ্ট্র CISA 2015-এর মেয়াদ শেষ হওয়ার অনুমতি দিতে পারে - তথ্য ভাগাভাগি এবং দ্রুত প্রতিক্রিয়া সক্ষম করে এমন আইনি ভারা ভেঙে ফেলা।

      শিক্ষাটি স্পষ্ট: আইন পুনর্নবীকরণ এবং শিল্প সংস্কার ছাড়া, মার্কিন যুক্তরাষ্ট্র সফ্টওয়্যার সরবরাহ শৃঙ্খলের আপসের সবচেয়ে বিপজ্জনক যুগে প্রবেশের ঝুঁকিতে পড়বে - যেখানে প্রতিপক্ষরা প্রযুক্তিগত দুর্বলতা এবং নীতিগত শূন্যতা উভয়কেই কাজে লাগায়।

      সংক্ষেপে: ভঙ্গুর কোড + ভঙ্গুর আইন = জাতীয় ঝুঁকি।

      লোড হচ্ছে...