Hades ম্যালওয়্যার

সাইবার অপরাধীরা সফটওয়্যার সরবরাহ শৃঙ্খলের বিরুদ্ধে আক্রমণ আরও তীব্র করে চলেছে, এবং সম্প্রতি আবিষ্কৃত হেডিস (Hades) নামক একটি ম্যালওয়্যার অপারেশন এখন পর্যন্ত দেখা সবচেয়ে অত্যাধুনিক হুমকিগুলোর মধ্যে অন্যতম হিসেবে আবির্ভূত হয়েছে।

গবেষকরা হেডিস ক্যাম্পেইন উন্মোচন করেছেন, যা পাইথন ডেভেলপমেন্ট এনভায়রনমেন্টকে লক্ষ্য করে তৈরি একটি অত্যন্ত উন্নত সাপ্লাই-চেইন কম্প্রোমাইজ। কোনো কম্প্রোমাইজড প্যাকেজ ইম্পোর্ট করার সাথে সাথেই ম্যালওয়্যারটি সক্রিয় হয়ে ওঠে এবং জনপ্রিয় বান (Bun) টুলকিট ব্যবহার করে নীরবে বহু-পর্যায়ের পেলোড কার্যকর করে। এই পেলোডগুলো সংবেদনশীল তথ্য চুরি করতে, বিভিন্ন সিস্টেমের মধ্যে পার্শ্বীয়ভাবে চলাচল করতে, বিশ্বস্ত নিরাপত্তা ফ্রেমওয়ার্কগুলোকে কাজে লাগাতে এবং অ্যাডভারসারিয়াল প্রম্পট ইনজেকশন কৌশলের মাধ্যমে এআই-চালিত কোড বিশ্লেষণ টুলগুলোকে ম্যানিপুলেট করতে সক্ষম।

ক্ষতিগ্রস্ত প্রকল্পগুলোর মধ্যে রয়েছে বহুল ব্যবহৃত C++ লাইব্রেরি ensmallen এবং কম্পিউটেশনাল বায়োলজি, বায়োইনফরমেটিক্স ও জিনোটাইপ-ফেনোটাইপ বিশ্লেষণ ইকোসিস্টেমের অন্তর্গত বেশ কিছু প্যাকেজ।

কেন হেডিস স্বতন্ত্র

এই ক্যাম্পেইনের সবচেয়ে উদ্বেগজনক বৈশিষ্ট্য হলো একটি দ্রুত বিস্তার লাভকারী ওয়ার্মের মধ্যে একাধিক উন্নত আক্রমণ কৌশলের সংমিশ্রণ। নিরাপত্তা গবেষকরা এর আগে মেমরি স্ক্র্যাপিং-কেন্দ্রিক ম্যালওয়্যার, লার্জ ল্যাঙ্গুয়েজ মডেল (LLM) নিরাপত্তা বিশ্লেষণকে বিভ্রান্ত করার জন্য পরিকল্পিত আক্রমণ এবং ধ্বংসাত্মক ওয়াইপার ম্যালওয়্যারের সম্মুখীন হয়েছেন। তবে, এই তিনটি সক্ষমতাকে একটি স্ব-বিস্তারকারী সাপ্লাই-চেইন হুমকির মধ্যে একীভূত করা জটিলতার এক উল্লেখযোগ্য বৃদ্ধিকে নির্দেশ করে।

গবেষকরা এই অভিযানটিকে মায়াজমা থ্রেট অ্যাক্টরের সর্বশেষ বিবর্তন বলে মনে করছেন। মায়াজমার পূর্ববর্তী অভিযানগুলোতে স্ব-প্রতিলিপিকারী ওয়ার্ম ব্যবহার করা হতো, যেগুলো একাধিক ক্লাউড থেকে ক্রেডেনশিয়াল সংগ্রহ করত, ইন্টিগ্রেটেড ডেভেলপমেন্ট এনভায়রনমেন্ট (IDE) বা এআই এজেন্টের মাধ্যমে রিপোজিটরি অ্যাক্সেস করা হলে ক্ষতিকারক কোড কার্যকর করত এবং মূল্যবান তথ্যের জন্য লিনাক্স প্রসেস মেমরি স্ক্যান করত।

হেডিস অপারেশনটি এর অনেকগুলো মূল বৈশিষ্ট্য ধরে রেখেছে, যার মধ্যে রয়েছে ক্রেডেনশিয়াল চুরি, ওয়ার্মের মতো বিস্তার এবং গিটহাব-ভিত্তিক ডেটা পাচার। তদন্তকালে শনাক্ত হওয়া অতিরিক্ত ক্ষতিগ্রস্ত প্যাকেজগুলোর মধ্যে রয়েছে mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea, এবং pyphetools।

প্যাকেজ আমদানি থেকে সম্পূর্ণ সিস্টেমের আপস পর্যন্ত

আক্রমণটি শুরু হয় একটি প্যাকেজের init.py ফাইলের মধ্যে এমবেড করা একটি দুর্বোধ্য স্ক্রিপ্টের মাধ্যমে, যা পাইথন প্যাকেজ ইম্পোর্ট সক্ষম করার একটি গুরুত্বপূর্ণ উপাদান। একবার এক্সিকিউট হলে, ম্যালওয়্যারটি একটি প্রি-কম্পাইলড Bun রানটাইম স্থাপন করে এবং একটি ক্ষতিকারক জাভাস্ক্রিপ্ট পেলোড চালু করে।

Bun-এর উপর নির্ভর করে আক্রমণকারীরা Node.js ইনস্টল করা নেই এমন সিস্টেমেও জটিল জাভাস্ক্রিপ্ট অপারেশন চালাতে পারে। এই পদ্ধতিটি প্রচলিত প্যাকেজ ম্যানেজমেন্ট নিয়ন্ত্রণকে বাইপাস করতে সাহায্য করে এবং প্রক্সি লগে দৃশ্যমানতা কমিয়ে দেয়।

এই ম্যালওয়্যারটি লিনাক্স সিস্টেমের জন্য মেমরি-স্ক্র্যাপিং ক্ষমতাসম্পন্ন এবং এতে ম্যাকওএস ও উইন্ডোজের জন্য বিশেষায়িত মেমরি এক্সট্র্যাকশন মডিউল অন্তর্ভুক্ত রয়েছে। এই উপাদানগুলো আক্রমণকারীদের মেমরিতে থাকা এনক্রিপ্টেড ডেটাসহ অত্যন্ত সংবেদনশীল তথ্য পুনরুদ্ধার করতে সক্ষম করে।

এআই নিরাপত্তা সরঞ্জামকে ছাড়িয়ে যাওয়া

এই ক্যাম্পেইনের সবচেয়ে উদ্ভাবনী বৈশিষ্ট্যগুলোর মধ্যে একটি হলো স্বয়ংক্রিয় এলএলএম-ভিত্তিক নিরাপত্তা স্ক্যানারগুলোকে প্রভাবিত করার ক্ষমতা। আক্রমণকারীরা ক্ষতিকারক ফাইলগুলোর শুরুতে অত্যন্ত সতর্কতার সাথে তৈরি করা একটি টেক্সট ব্লক স্থাপন করে, যা এআই বিশ্লেষণ সিস্টেমগুলোকে লুকানো কোড উপেক্ষা করতে, প্যাকেজটিকে বিশ্বাসযোগ্য হিসেবে শ্রেণীবদ্ধ করতে এবং এটিকে নিরাপদ ঘোষণা করে রিপোর্ট তৈরি করতে নির্দেশ দেয়।

গবেষকরা এটিকে সাইবার হুমকির ক্ষেত্রে একটি বড় ধারণাগত পরিবর্তন হিসেবে বর্ণনা করেছেন। আক্রমণকারীরা শুধু সফটওয়্যারের দুর্বলতাকে লক্ষ্য না করে, সরাসরি এআই সিস্টেমের যুক্তি প্রক্রিয়াকে লক্ষ্যবস্তু বানায়। যেসব সিকিউরিটি স্ক্যানার কঠোর পৃথকীকরণ ব্যবস্থা ছাড়া সরাসরি কোড ও টেক্সট এলএলএম-এ পাঠায়, সেগুলোকে প্রভাবিত করে ভুল-নেতিবাচক মূল্যায়ন তৈরি করানো যায়, যা ক্ষতিকারক প্যাকেজগুলোকে শনাক্তকরণ এড়াতে সাহায্য করে।

এই কৌশলটি এমন সংস্থাগুলির সম্মুখীন হওয়া একটি ক্রমবর্ধমান ঝুঁকিকে তুলে ধরে, যারা ক্রমবর্ধমানভাবে এআই-চালিত নিরাপত্তা সরঞ্জামগুলির উপর নির্ভরশীল। যেহেতু এলএলএমগুলি সোশ্যাল-ইঞ্জিনিয়ারিং ধরনের কারসাজির জন্য অত্যন্ত ঝুঁকিপূর্ণ, তাই ধারণা করা হচ্ছে যে আক্রমণকারীরা ক্রমবর্ধমান অত্যাধুনিক প্রম্পট-ভিত্তিক প্রতারণার মাধ্যমে এআই-চালিত নিরাপত্তা এজেন্ট এবং মানব ব্যবহারকারী উভয়কেই লক্ষ্যবস্তু করা অব্যাহত রাখবে।

গিটহাব পরিকাঠামো একটি গোপন কমান্ড সেন্টারে পরিণত হয়েছে

হেডিস কমান্ড-অ্যান্ড-কন্ট্রোল আর্কিটেকচারটি পাবলিক গিটহাব পরিকাঠামোতে হোস্ট করা তিনটি পৃথক যোগাযোগ চ্যানেলের উপর নির্ভর করে, যা ক্ষতিকারক ট্র্যাফিককে বৈধ ডেভেলপার কার্যকলাপের সাথে নির্বিঘ্নে মিশে যেতে সক্ষম করে।

চুরি করা ক্রেডেনশিয়ালগুলো আক্রমণকারী-নিয়ন্ত্রিত পাবলিক গিটহাব রিপোজিটরিতে আপলোড করার আগে, সিরিয়ালাইজেশন এবং কম্প্রেশন সহ একটি বহু-পর্যায়ের প্রক্রিয়ার মাধ্যমে স্থানীয়ভাবে এনক্রিপ্ট করা হয়। এই রিপোজিটরিগুলোতে সাধারণত 'Hades — The End for the Damned' এই বিবরণটি লেবেল করা থাকে।

ম্যালওয়্যারটির তথ্য পাচারের কৌশলটি পূর্বে মায়াজমা (Miasma)-র সাথে যুক্ত কৌশলগুলোরই অনুরূপ, যা ক্ষতিকর কার্যকলাপ গোপন করার জন্য গিটহাবকে (GitHub) একটি স্বাভাবিক গন্তব্য হিসেবে দেখায়।

নেটওয়ার্ক জুড়ে বিস্তারের জন্য বিশ্বাসকে কাজে লাগানো

এই প্রচারণার একটি প্রধান বৈশিষ্ট্য হলো নিরাপত্তা ও সফটওয়্যারের অখণ্ডতা বাড়ানোর জন্য সাধারণত ব্যবহৃত প্রযুক্তিগুলোর অপব্যবহারের মাধ্যমে বিভিন্ন পরিবেশে ছড়িয়ে পড়ার ক্ষমতা, যার মধ্যে অন্তর্ভুক্ত রয়েছে:

• সিকিউর শেল (SSH) এবং সিকিউর কপি প্রোটোকল (SCP)
• ওপেনআইডি কানেক্ট (ওআইডিসি)
• সফটওয়্যার আর্টিফ্যাক্টের জন্য সরবরাহ-শৃঙ্খল স্তর (SLSA)

যখন একটি গিটহাব অ্যাকশনস রানারের ভিতরে চালানো হয়, তখন ম্যালওয়্যারটি উপলব্ধ OIDC ভেরিয়েবলগুলি অনুসন্ধান করে, রেজিস্ট্রি-সিগনেচার প্রয়োগ ব্যবস্থাগুলিকে বাইপাস করে এবং সিগস্টোর ব্যবহার করে ক্রিপ্টোগ্রাফিকভাবে স্বাক্ষরিত SLSA প্রোভেনেন্স রেকর্ড তৈরি করে। এরপর এটি টার্গেট লাইব্রেরিগুলি ডাউনলোড করে, ক্ষতিকারক পেলোড প্রবেশ করায় এবং চুরি করা ক্রেডেনশিয়াল ও জাল প্রোভেনেন্স ডেটা ব্যবহার করে পাইথন প্যাকেজ ইনডেক্স (PyPI) এবং npm উভয় স্থানেই আপোসকৃত সংস্করণগুলি পুনরায় প্রকাশ করে।

এর ফলে, ক্ষতিকারক প্যাকেজগুলো বৈধ প্রাতিষ্ঠানিক বিল্ড এনভায়রনমেন্ট থেকে উদ্ভূত বলে মনে হয় এবং সেগুলোতে আপাতদৃষ্টিতে বৈধ ক্রিপ্টোগ্রাফিক যাচাইকরণও থাকে।

গোপন চুরি, এআই এজেন্ট দ্বারা কারসাজি, এবং ধ্বংসাত্মক অধ্যবসায়

প্যাকেজ বিষাক্তকরণ এবং পরিচয়পত্র চুরির পাশাপাশি, হেডিস দীর্ঘমেয়াদী প্রভাবকে সর্বোচ্চ করার জন্য ডিজাইন করা বেশ কিছু অতিরিক্ত ক্ষমতা চালু করেছে:

• ডিস্কে ডেটা না লিখে বা সন্দেহজনক নেটওয়ার্ক ট্র্যাফিক তৈরি না করে সরাসরি গিটহাব অ্যাকশনস রানার মেমরি থেকে গোপনীয় তথ্য আহরণ।
• ১৪টি ভিন্ন এআই এজেন্ট ও প্ল্যাটফর্মের সাথে যুক্ত কনফিগারেশন ফাইল এবং রুল সেটগুলোকে টার্গেট করা।
• কাস্টম প্রম্পট এবং এক্সিকিউশন হুক স্থাপন করা, যা এআই অ্যাসিস্ট্যান্টরা সংক্রমিত ওয়ার্কস্পেসের সাথে ইন্টারঅ্যাক্ট করার সময় স্বয়ংক্রিয়ভাবে ক্ষতিকারক বান কমান্ড চালু করে।
• হ্যাক হওয়া সিস্টেমে স্থায়ী প্রবেশাধিকার প্রতিষ্ঠা।
• চুরি হওয়া প্রমাণীকরণ টোকেনগুলোর নিরবচ্ছিন্ন পর্যবেক্ষণ।
• চুরি হওয়া টোকেন বাতিল করা হলে একটি ধ্বংসাত্মক ওয়াইপার কম্পোনেন্ট স্বয়ংক্রিয়ভাবে সক্রিয় হয়, যার ফলে ব্যবহারকারীর ফাইলগুলো মুছে যায়।

সাইবার হুমকির ভবিষ্যতের এক ঝলক

হেডিস ক্যাম্পেইন দেখায় যে কীভাবে আধুনিক ম্যালওয়্যার প্রচলিত এক্সপ্লয়টেশন কৌশলকে ছাড়িয়ে বিকশিত হচ্ছে। সাপ্লাই-চেইন কম্প্রোমাইজ, মেমরি স্ক্র্যাপিং, এআই ম্যানিপুলেশন, ক্রেডেনশিয়াল চুরি, ক্রিপ্টোগ্রাফিক ট্রাস্ট অ্যাবিউজ, ল্যাটারাল মুভমেন্ট এবং ধ্বংসাত্মক ক্ষমতাকে একটি স্ব-প্রসারিত ওয়ার্মের মধ্যে একত্রিত করার মাধ্যমে, এই অপারেশনটি সাইবার হুমকির একটি নতুন প্রজন্মকে তুলে ধরে।

সম্ভবত সবচেয়ে উদ্বেগজনক বিষয়টি হলো এআই-চালিত নিরাপত্তা ব্যবস্থাগুলোকে সরাসরি লক্ষ্যবস্তু বানানো। প্রতিষ্ঠানগুলো তাদের উন্নয়ন এবং নিরাপত্তা কার্যপ্রবাহে এলএলএম-চালিত টুলগুলোকে ক্রমবর্ধমানভাবে অন্তর্ভুক্ত করার ফলে, আক্রমণকারীরা সেই সিস্টেমগুলোকে স্বতন্ত্র আক্রমণের ক্ষেত্র হিসেবে গণ্য করতে শুরু করেছে। হেডিস একটি জোরালো অনুস্মারক হিসেবে কাজ করে যে, সাইবার নিরাপত্তার ভবিষ্যতে কেবল সফটওয়্যার ও অবকাঠামোকেই নয়, বরং কৃত্রিম বুদ্ধিমত্তার সিদ্ধান্ত গ্রহণকারী প্রক্রিয়াগুলোকেও রক্ষা করতে হবে।