Miasma কৃমি

চলমান মায়াজমা স্ব-প্রতিলিপিকারী সাপ্লাই চেইন আক্রমণ অভিযানটি প্যাকেজ রেজিস্ট্রি ছাড়িয়ে বিস্তৃত হয়েছে এবং এখন সরাসরি গিটহাব রিপোজিটরিগুলোকে প্রভাবিত করছে। ওপেনসোর্স ম্যালওয়্যারের প্রাপ্ত তথ্য অনুযায়ী, এই ঘটনাটি মাইক্রোসফটের চারটি গিটহাব অর্গানাইজেশন—অ্যাজুর, অ্যাজুর-স্যাম্পলস, মাইক্রোসফট এবং মাইক্রোসফটডকস—এর ৭৩টি রিপোজিটরিকে প্রভাবিত করেছে। ফলস্বরূপ, গিটহাব তার পরিষেবার শর্তাবলী লঙ্ঘনের জন্য আক্রান্ত রিপোজিটরিগুলোতে প্রবেশাধিকার সীমিত করেছে।

Azure Functions Host রিপোজিটরি সহ প্রভাবিত প্রজেক্টগুলো অ্যাক্সেস করার চেষ্টা করলে ব্যবহারকারীরা একটি নোটিশ দেখতে পান, যেখানে বলা থাকে যে GitHub কর্তৃপক্ষ অ্যাক্সেস বন্ধ করে দিয়েছে এবং আরও তথ্যের জন্য রিপোজিটরির মালিকদের অবশ্যই GitHub সাপোর্টের সাথে যোগাযোগ করতে হবে।

এই প্রচারণার দ্বারা প্রভাবিত রিপোজিটরিগুলোর মধ্যে রয়েছে:

অ্যাজুর-সার্চ-ওপেনএআই-ডেমো-পারভিউডেটাসিকিউরিটি,
কানেক্টর-নেট-এলএসপি,
কানেক্টরস-নেট-এসডিকে,
টেকসই কাজ,
টেকসই টাস্ক-ডটনেট,
টেকসই কাজ-যাও,
টেকসই টাস্ক-জেএস,
টেকসই টাস্ক-এমএসএসকিউএল
ফাংশন-কন্টেইনার-অ্যাকশন,
হোমব্রু-ফাংশন,
এলএলএম-ফাইন-টিউনিং,
উইন্ডোজ-ড্রাইভার-ডক্স

টেকসই টাস্ক ইকোসিস্টেম দ্বিতীয়বার আপোসের শিকার হয়

সাম্প্রতিক কার্যকলাপের অন্যতম গুরুত্বপূর্ণ দিক হলো 'durabletask' ইকোসিস্টেমের আপাত পুনঃসংঘর্ষ। durabletask PyPI প্যাকেজটি এর আগে ২০২৬ সালের মে মাসে TeamPCP দ্বারা সংক্রমিত হয়েছিল এবং লিনাক্স সিস্টেমকে লক্ষ্য করে তথ্য-চুরি করা ম্যালওয়্যার ছড়ানোর জন্য ব্যবহৃত হয়েছিল।

এক মাস পরে, এর প্রভাব আরও ব্যাপক বলে মনে হচ্ছে। শুধু প্রধান Azure/durabletask রিপোজিটরিটিই অদৃশ্য হয়ে যায়নি, বরং মাইক্রোসফটের ইকোসিস্টেম জুড়ে থাকা সম্পর্কিত রিপোজিটরিগুলোও ক্ষতিগ্রস্ত হয়েছে। ক্ষতিগ্রস্ত প্রজেক্টগুলোর মধ্যে .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf এবং Durable Functions মনিটরিং কম্পোনেন্টের ইমপ্লিমেন্টেশন অন্তর্ভুক্ত রয়েছে।

নিরাপত্তা গবেষকরা মনে করেন, মূল নিরাপত্তা লঙ্ঘন এবং বর্তমান নিষ্ক্রিয়করণের মধ্যে সংযোগটি আকস্মিক হওয়ার সম্ভাবনা কম। এই পুনরাবৃত্তি থেকে বোঝা যায় যে, পূর্ববর্তী ঘটনার সময় ফাঁস হওয়া ক্রেডেনশিয়ালগুলো হয়তো কখনোই পুরোপুরি সুরক্ষিত ছিল না, যার ফলে আক্রমণকারীরা পুনরায় অ্যাক্সেস ফিরে পেতে বা বজায় রাখতে সক্ষম হয়েছে।

মিনি শাই-হুলুদ কীট থেকে মায়াজমা বিকশিত হয়

গবেষকরা মায়াজমাকে মিনি শাই-হুলুদ ওয়ার্মের একটি ভ্যারিয়েন্ট হিসেবে চিহ্নিত করেছেন, যা টিমপিসিপি ২০২৬ সালের মে মাসের মাঝামাঝি সময়ে সর্বসমক্ষে প্রকাশ করেছিল। তারপর থেকে, এই ম্যালওয়্যারটি ক্রমাগত বিকশিত হয়েছে, এর বিস্তারের কৌশলকে আরও উন্নত করেছে এবং একই সাথে অতিরিক্ত প্যাকেজ ও রিপোজিটরিকে সংক্রমিত করেছে।

চুরি করা গোপনীয় তথ্য ফাঁসকারী পাবলিক রিপোজিটরিগুলো তৈরি করার সময় এই ক্যাম্পেইনটি বেশ কয়েকটি রিপোজিটরি বিবরণ ব্যবহার করেছে, যার মধ্যে রয়েছে 'Miasma: The Spreading Blight,' 'Miasma : The Spreading Blight,' 'Miasma - The Spreading Blight,' এবং 'Hades - The End for the Damned।' বর্তমান পর্যবেক্ষণ অনুযায়ী, ১৩টি রিপোজিটরিতে 'Hades' বিবরণটি এবং ৮২টি রিপোজিটরিতে Miasma-সম্পর্কিত নামকরণের বিভিন্ন রূপগুলোর মধ্যে একটি ব্যবহৃত হচ্ছে।

সরাসরি রিপোজিটরি সংক্রমণ একটি নতুন আক্রমণ কৌশলের ইঙ্গিত দেয়

কৌশলে একটি উল্লেখযোগ্য পরিবর্তন এনে, মায়াজমাকে সম্পূর্ণভাবে এনপিএম রেজিস্ট্রিকে বাইপাস করতে দেখা গেছে। প্রচলিত ডিস্ট্রিবিউশন চ্যানেলের মাধ্যমে প্যাকেজ বিষাক্ত করার পরিবর্তে, থ্রেট অ্যাক্টররা সরাসরি 'icflorescu/mantine-datatable' গিটহাব রিপোজিটরি এবং এর সাথে সম্পর্কিত চারটি প্রজেক্ট—mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6, এবং mantine-contextmenu-v6—পরিবর্তন করেছে।

ক্ষতিকারক কমিটটি কোনো অতিরিক্ত ডিপেন্ডেন্সি যোগ করেনি, ফলে এটি শনাক্ত করা আরও কঠিন হয়ে পড়ে। এর পরিবর্তে, আক্রমণকারীরা একটি ৪.৩ মেগাবাইটের পেলোড রানার এমবেড করে, যা পাঁচটি বহুল ব্যবহৃত ডেভেলপার টুলের মাধ্যমে স্বয়ংক্রিয়ভাবে এক্সিকিউট হওয়ার জন্য কনফিগার করা ছিল: ক্লড কোড, জেমিনি সিএলআই, কার্সর, ভিজ্যুয়াল স্টুডিও কোড এবং এনপিএম টেস্ট স্ক্রিপ্ট। যখন ডেভেলপাররা একটি প্রভাবিত রিপোজিটরি ক্লোন করে এবং একটি এআই-সহায়তাযুক্ত কোডিং পরিবেশে সেটি খোলে, তখন এই সংক্রমণটি সক্রিয় হয়। গবেষকরা পেলোডটিকে সেই একই স্টেজড বান লোডার হিসেবে শনাক্ত করেছেন, যা পূর্বে রেজিস্ট্রি-কেন্দ্রিক আক্রমণে ব্যবহৃত হয়েছিল, কিন্তু এটিকে সোর্স রিপোজিটরির মধ্যে দীর্ঘমেয়াদী স্থায়িত্বের জন্য অভিযোজিত করা হয়েছে।

দুর্বলতার পরিবর্তে বিশ্বাসের অপব্যবহার

মায়াজমা অভিযানটি আধুনিক ওপেন-সোর্স সফটওয়্যার বিতরণের ভিত্তি হিসেবে থাকা আস্থার মডেলের মৌলিক দুর্বলতাগুলোকে তুলে ধরে। সফটওয়্যারের ত্রুটি কাজে লাগানোর ওপর নির্ভরশীল অনেক সাপ্লাই চেইন আক্রমণের বিপরীতে, এই অভিযানটি বৈধ উন্নয়ন এবং প্রকাশনা পদ্ধতির অপব্যবহারের মাধ্যমে সফল হয়।

পরবর্তী ব্যবহারকারীদের মধ্যে পুনরাবৃত্তিমূলকভাবে ছড়িয়ে পড়ার এবং বারবার নতুন লক্ষ্যবস্তুকে ক্ষতিগ্রস্ত করার ক্ষমতা এটিকে এখন পর্যন্ত পরিলক্ষিত সবচেয়ে উল্লেখযোগ্য এবং দীর্ঘস্থায়ী সফটওয়্যার সরবরাহ শৃঙ্খল হুমকিগুলোর মধ্যে একটিতে পরিণত করেছে। এই প্রচারণার কার্যকারিতা এর ইকোসিস্টেম জুড়ে দ্রুতগতিতে ছড়িয়ে পড়ার ক্ষমতা থেকে উদ্ভূত হয়, যা আক্রান্ত ব্যবহারকারীদেরকে ক্ষতির নতুন বাহকে পরিণত করে।

শাই-হুলুদ পদ্ধতির মূল ভিত্তি npm বা GitHub-এর মতো প্ল্যাটফর্মের দুর্বলতাগুলোকে লক্ষ্য করে না। বরং, এটি এই মূল ধারণাকেই দুর্বল করে দেয় যে, প্রমাণীকৃত রক্ষণাবেক্ষণকারীদের দ্বারা প্রকাশিত এবং বৈধ ক্রেডেনশিয়াল দিয়ে স্বাক্ষরিত সফটওয়্যার বিশ্বাসযোগ্য। রক্ষণাবেক্ষণকারীর অ্যাকাউন্ট এবং তার সাথে যুক্ত সাইনিং কী উভয়কেই হ্যাক করার মাধ্যমে, আক্রমণকারীরা এমন ক্ষতিকর প্রকাশনা কার্যক্রম চালাতে পারে যা দেখতে সম্পূর্ণ বৈধ বলে মনে হয়।

প্যাকেজ রেজিস্ট্রি এবং রিপোজিটরি প্ল্যাটফর্মগুলোর দৃষ্টিকোণ থেকে, এই ক্ষতিকারক রিলিজগুলো সাধারণ সফটওয়্যার আপডেট থেকে কার্যত আলাদা করা যায় না। সম্পূর্ণভাবে বিশ্বস্ত ওয়ার্কফ্লোর মধ্যে কাজ করার এই ক্ষমতাই ব্যাখ্যা করে কেন অনেক প্রচলিত নিরাপত্তা ব্যবস্থা এই ক্যাম্পেইনটি শনাক্ত করতে এবং থামাতে হিমশিম খেয়েছে।