PhantomRaven ম্যালওয়্যার

সাইবার নিরাপত্তা গবেষকরা npm ইকোসিস্টেমকে লক্ষ্য করে একটি অত্যন্ত সক্রিয় সফ্টওয়্যার সাপ্লাই চেইন আক্রমণ আবিষ্কার করেছেন। ১০০ টিরও বেশি ক্ষতিকারক প্যাকেজ চিহ্নিত করা হয়েছে, যা সরাসরি ক্ষতিগ্রস্ত মেশিন থেকে সংবেদনশীল ডেভেলপার শংসাপত্র, যার মধ্যে প্রমাণীকরণ টোকেন, CI/CD গোপনীয়তা এবং GitHub শংসাপত্র রয়েছে, চুরি করতে সক্ষম।

ফ্যান্টমর্যাভেন নামে পরিচিত এই প্রচারণাটি প্রথম ২০২৫ সালের আগস্টে আবির্ভূত হয়। তারপর থেকে, এটি ১২৬টি এনপিএম লাইব্রেরিতে প্রসারিত হয়েছে এবং ৮৬,০০০ এরও বেশি ইনস্টল অর্জন করেছে, যা এই ক্ষতিকারক প্যাকেজগুলির দ্রুত বিস্তার এবং গ্রহণের প্রমাণ দেয়।

গোপনে উড়ছে ক্ষতিকারক প্যাকেজ

চিহ্নিত প্যাকেজগুলির মধ্যে বেশ কয়েকটি হল:

• op-cli-installer – 486 ডাউনলোড
• অব্যবহৃত-আমদানি - ১,৩৫০টি ডাউনলোড
• ব্যাজকিট-এপিআই-ক্লায়েন্ট – ৪৮৩টি ডাউনলোড
• পলিফিল-কোরজেএস৩ – ৪৭৫টি ডাউনলোড
• এসলিন্ট-মন্তব্য – ৯৩৬টি ডাউনলোড

PhantomRaven-কে বিশেষভাবে প্রতারণামূলক করে তোলে এর রিমোট ডাইনামিক ডিপেন্ডেন্সি (RDDs) ব্যবহার। অফিসিয়াল npm রেজিস্ট্রি থেকে কোড আনার পরিবর্তে, ক্ষতিকারক প্যাকেজগুলি একটি কাস্টম HTTP URL (packages.storeartifact.com) নির্দেশ করে। এটি npm-কে একটি অবিশ্বস্ত বহিরাগত উৎস থেকে নির্ভরতা পুনরুদ্ধার করতে দেয়, কার্যকরভাবে npmjs.com সুরক্ষাগুলিকে বাইপাস করে।

ঐতিহ্যবাহী নিরাপত্তা স্ক্যানার এবং নির্ভরতা বিশ্লেষণ সরঞ্জামগুলি এই RDD গুলি সনাক্ত করতে ব্যর্থ হয়, কারণ স্বয়ংক্রিয় সিস্টেমগুলি প্যাকেজগুলিকে '0 নির্ভরতা' হিসাবে দেখে।

আক্রমণ কিভাবে কাজ করে

একজন ডেভেলপার যখনই আপাতদৃষ্টিতে সুবিধাজনক প্যাকেজগুলির একটি ইনস্টল করে তখনই আক্রমণের শৃঙ্খলা শুরু হয়। মূল উপাদানগুলির মধ্যে রয়েছে:

প্রি-ইনস্টল হুক এক্সিকিউশন : প্যাকেজটিতে একটি প্রি-ইনস্টল লাইফসাইকেল স্ক্রিপ্ট রয়েছে যা স্বয়ংক্রিয়ভাবে প্রধান পেলোড এক্সিকিউট করে।

রিমোট পেলোড পুনরুদ্ধার : স্ক্রিপ্টটি আক্রমণকারী-নিয়ন্ত্রিত সার্ভার থেকে ক্ষতিকারক নির্ভরতা আনে।

ডেটা এক্সফিল্ট্রেশন : একবার কার্যকর করা হলে, ম্যালওয়্যারটি ডেভেলপারের পরিবেশে ইমেল ঠিকানা স্ক্যান করে, CI/CD পরিবেশের বিবরণ সংগ্রহ করে, সিস্টেমের আঙুলের ছাপ (পাবলিক আইপি সহ) নেয় এবং ডেটা একটি দূরবর্তী সার্ভারে পাঠায়।

আক্রমণকারী ইচ্ছামত পেলোড পরিবর্তন করতে পারে, প্রাথমিকভাবে সনাক্তকরণ এড়াতে ক্ষতিকারক কোড পরিবেশন করে এবং প্যাকেজটি গ্রহণের পরে ক্ষতিকারক আপডেটগুলি পুশ করে।

মানব এবং কৃত্রিম বুদ্ধিমত্তার অন্ধ দাগগুলিকে কাজে লাগানো

প্যাকেজের নাম নির্বাচন করা হয়েছে ইচ্ছাকৃতভাবে। হুমকিদাতারা স্লপস্কোয়াটিং নামে পরিচিত একটি কৌশল ব্যবহার করে, যেখানে বৃহৎ ভাষা মডেল (LLM) অস্তিত্বহীন কিন্তু বিশ্বাসযোগ্য-শব্দযুক্ত প্যাকেজ নামগুলিকে বিভ্রান্ত করে। ডেভেলপাররা এই প্যাকেজগুলিকে তাদের বাস্তবসম্মত নামকরণের কারণে বিশ্বাস করতে পারে, লুকানো হুমকি সম্পর্কে অজ্ঞ।

গবেষকরা যেমন উল্লেখ করেছেন, ফ্যান্টমর্যাভেন আক্রমণকারীদের ক্রমবর্ধমান পরিশীলিততার উপর আলোকপাত করেছেন:

• দূরবর্তী গতিশীল নির্ভরতা স্ট্যাটিক বিশ্লেষণ এড়িয়ে যায়।
• এআই-জেনারেটেড প্যাকেজ নামগুলি ডেভেলপারদের আস্থাকে কাজে লাগায়।
• জীবনচক্র স্ক্রিপ্টগুলি ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই স্বয়ংক্রিয়ভাবে কার্যকর হয়।

এই প্রচারণাটি তুলে ধরে যে, কীভাবে দূষিত ব্যক্তিরা ওপেন-সোর্স ইকোসিস্টেমে কোড লুকানোর জন্য অভিনব উপায় খুঁজে বের করছে, ঐতিহ্যবাহী নিরাপত্তা সরঞ্জামের ফাঁকগুলিকে কাজে লাগাচ্ছে।

কেন npm একটি প্রধান লক্ষ্য?

npm ইকোসিস্টেমের প্যাকেজ প্রকাশের ক্ষেত্রে কম ঘর্ষণ, প্রি-ইনস্টল, ইনস্টল এবং পোস্ট-ইনস্টল স্ক্রিপ্টগুলির স্বয়ংক্রিয় সম্পাদনের সাথে মিলিত হয়ে এটিকে একটি প্রধান লক্ষ্য করে তোলে। আক্রমণকারীরা জীবনচক্র স্ক্রিপ্টের মধ্যে দূষিত আচরণ লুকিয়ে রাখতে পারে, প্রায়শই ডেভেলপারের অজান্তেই, যা আধুনিক উন্নয়ন পরিবেশে বর্ধিত সতর্কতা এবং শক্তিশালী সুরক্ষা অনুশীলনের প্রয়োজনীয়তার চিত্র তুলে ধরে।