PurpleBravo Attack Campaign

হুমকি গোয়েন্দা বিশ্লেষকরা ৩,১৩৬টি পৃথক আইপি ঠিকানা শনাক্ত করেছেন যা সংক্রামক সাক্ষাৎকার প্রচারণার সম্ভাব্য লক্ষ্যবস্তুর সাথে যুক্ত। এই অভিযানে কৃত্রিম বুদ্ধিমত্তা, ক্রিপ্টোকারেন্সি, আর্থিক পরিষেবা, আইটি পরিষেবা, বিপণন এবং সফ্টওয়্যার উন্নয়নে পরিচালিত ২০টি সম্ভাব্য শিকার সংস্থা জড়িত বলে মনে করা হচ্ছে। প্রভাবিত সংস্থাগুলি ইউরোপ, দক্ষিণ এশিয়া, মধ্যপ্রাচ্য এবং মধ্য আমেরিকা জুড়ে বিস্তৃত, যা এই কার্যকলাপের বিশ্বব্যাপী পরিধিকে তুলে ধরে।

দক্ষিণ এশিয়া এবং উত্তর আমেরিকায় কেন্দ্রীভূত এই আইপি ঠিকানাগুলি ২০২৪ সালের আগস্ট থেকে ২০২৫ সালের সেপ্টেম্বরের মধ্যে লক্ষ্যবস্তু করা হয়েছিল বলে ধারণা করা হচ্ছে। ক্ষতিগ্রস্ত কোম্পানিগুলি বেলজিয়াম, বুলগেরিয়া, কোস্টারিকা, ভারত, ইতালি, নেদারল্যান্ডস, পাকিস্তান, রোমানিয়া, সংযুক্ত আরব আমিরাত এবং ভিয়েতনামে অবস্থিত বলে জানা গেছে।

পার্পলব্রাভো: উত্তর কোরিয়ার এক বিরাট হুমকি গোষ্ঠী

এই কার্যকলাপটি উত্তর কোরিয়ার সাথে সম্পর্কিত একটি ক্লাস্টারের সাথে সম্পর্কিত যা পার্পলব্রাভো নামে ট্র্যাক করা হয়েছিল, যা প্রথম ২০২৩ সালের শেষের দিকে নথিভুক্ত করা হয়েছিল। এই গোষ্ঠীটি নিরাপত্তা সম্প্রদায় জুড়ে একাধিক উপাধিতে পরিচিত, যা বিস্তৃত শিল্প ট্র্যাকিংকে প্রতিফলিত করে:

CL-STA-0240, Deceptive Development, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi, and WaterPlum

পার্পলব্রাভো দীর্ঘমেয়াদী অবকাঠামো, সামাজিক প্রকৌশল বাণিজ্য এবং ম্যালওয়্যার উন্নয়নে টেকসই বিনিয়োগ প্রদর্শন করেছে, যা সাইবার গুপ্তচরবৃত্তি এবং আর্থিক চুরির মিশ্রণের লক্ষ্যগুলির সাথে সামঞ্জস্যপূর্ণ।

নিয়োগ প্রক্রিয়া এবং ডেভেলপার ইকোসিস্টেমকে কাজে লাগানো

সাম্প্রতিক অনুসন্ধানগুলি "কন্টাজিয়াস ইন্টারভিউ" প্রচারণার একটি বড় বিবর্তনের প্রকাশের পরে এসেছে, যেখানে প্রতিপক্ষরা ব্যাকডোর বিতরণের জন্য দূষিত মাইক্রোসফ্ট ভিজ্যুয়াল স্টুডিও কোড প্রকল্পগুলিকে অস্ত্র হিসেবে ব্যবহার করে। এই কৌশলটি বিশ্বস্ত ডেভেলপার টুল এবং কর্মপ্রবাহের অপব্যবহার করে, যা সফল আপসের সম্ভাবনা বৃদ্ধি করে।

গবেষকরা ডেভেলপার এবং নিয়োগকারী হিসেবে নিজেদের পরিচয় দিয়ে প্রতারণামূলক লিঙ্কডইন ব্যক্তিত্বদের শনাক্ত করেছেন, যারা ইউক্রেনের ওডেসা থেকে কাজ করার দাবি করছেন, এবং বিভারটেলের মতো ম্যালওয়্যার বিতরণের জন্য তৈরি ক্ষতিকারক গিটহাব রিপোজিটরির পাশাপাশি। বেশ কয়েকটি ঘটনায়, চাকরিপ্রার্থীরা কর্পোরেট-ইস্যু করা ডিভাইসগুলিতে ক্ষতিকারক কোড কার্যকর করেছেন বলে জানা গেছে, যা ব্যক্তিদের বাইরে এবং সরাসরি এন্টারপ্রাইজ পরিবেশে আপসকে প্রসারিত করেছে।

ম্যালওয়্যার আর্সেনাল এবং কমান্ড অবকাঠামো

পার্পলব্রাভো একাধিক ম্যালওয়্যার পরিবারকে সমর্থন করার জন্য পৃথক কমান্ড-এন্ড-কন্ট্রোল অবকাঠামো পরিচালনা করে। এর মধ্যে রয়েছে জাভাস্ক্রিপ্ট-ভিত্তিক ইনফোস্টিলার এবং লোডার বিভারটেইল এবং ওপেন-সোর্স হ্যাকব্রাউজারডেটা প্রকল্প থেকে প্রাপ্ত গো-ভিত্তিক ব্যাকডোর গোল্যাংঘস্ট (ফ্লেক্সিবলফেরেট বা উইজেলস্টোর নামেও ট্র্যাক করা)।

গ্রুপের C2 সার্ভারগুলি ১৭টি হোস্টিং প্রদানকারীর মধ্যে বিতরণ করা হয় এবং Astrill VPN এর মাধ্যমে পরিচালিত হয়, যার ব্যবস্থাপনা কার্যকলাপ চীনের IP রেঞ্জে সনাক্ত করা হয়। পূর্ববর্তী উত্তর কোরিয়ার সাইবার অপারেশনগুলিতে Astrill VPN এর ব্যবহার বারবার নথিভুক্ত করা হয়েছে, যা অ্যাট্রিবিউশনের আত্মবিশ্বাসকে আরও শক্তিশালী করে।

'ওয়েজমোল' আইটি কর্মী হুমকির সাথে মিলিত হওয়া

সংক্রামক সাক্ষাৎকারটি ওয়াজেমোল (পার্পলডেল্টা) নামে পরিচিত একটি পৃথক কিন্তু সম্পর্কিত প্রচারণার পরিপূরক হিসেবে মূল্যায়ন করা হয়। এই অভিযানে উত্তর কোরিয়ার আইটি কর্মীরা চুরি করা বা জাল পরিচয়ের মাধ্যমে অননুমোদিত কর্মসংস্থান নিশ্চিত করে, মূলত রাজস্ব আয় এবং গুপ্তচরবৃত্তি পরিচালনার জন্য। যদিও ওয়াজেমোল ২০১৭ সাল থেকে সক্রিয় এবং একটি স্বতন্ত্র ক্লাস্টার হিসাবে ট্র্যাক করা হয়, তদন্তকারীরা উল্লেখযোগ্য কৌশলগত এবং অবকাঠামোগত ওভারল্যাপ আবিষ্কার করেছেন।

পর্যবেক্ষণ করা লিঙ্কগুলির মধ্যে রয়েছে উত্তর কোরিয়ার আইটি কর্মীদের সাথে সামঞ্জস্যপূর্ণ আচরণ প্রদর্শনকারী পার্পলব্রাভো অপারেটররা, পার্পলব্রাভো অবকাঠামোর সাথে যোগাযোগকারী পরিচিত আইটি কর্মীদের কার্যকলাপের সাথে সংযুক্ত রাশিয়ান আইপি ঠিকানা এবং উভয় ক্লাস্টারের সাথে যুক্ত শেয়ার করা অ্যাস্ট্রিল ভিপিএন নোড।

ক্রমবর্ধমান সরবরাহ-শৃঙ্খল এবং এন্টারপ্রাইজ ঝুঁকি

বিশেষ করে উদ্বেগজনক একটি প্রবণতা হল নিয়োগকর্তা-মালিকানাধীন সিস্টেমে কোডিং মূল্যায়ন সম্পন্ন করার জন্য প্রার্থীদের প্রলুব্ধ করার জন্য কাল্পনিক চাকরির প্রস্তাবের ব্যবহার, যা কার্যকরভাবে একটি নিয়োগ কেলেঙ্কারীকে একটি এন্টারপ্রাইজ অনুপ্রবেশের ভেক্টরে রূপান্তরিত করে। এটি প্রমাণ করে যে সফ্টওয়্যার এবং আইটি সরবরাহ শৃঙ্খল অনুপ্রবেশের জন্য অত্যন্ত সংবেদনশীল, এমনকি সুপরিচিত আইটি কর্মী কর্মসংস্থান প্রকল্পের বাইরেও।

অনেক লক্ষ্যবস্তু প্রতিষ্ঠান বৃহৎ গ্রাহক বেসের বিজ্ঞাপন দেয়, যা ডাউনস্ট্রিম সাপ্লাই-চেইন আপসের সম্ভাবনাকে বাড়িয়ে তোলে। নিরাপত্তা গবেষকরা সতর্ক করে দিয়েছেন যে, উত্তর কোরিয়ার আইটি কর্মীদের হুমকি ব্যাপকভাবে মনোযোগ আকর্ষণ করলেও, সরবরাহ-চেইন অনুপ্রবেশের পার্পলব্রাভো মডেলকে সমান অগ্রাধিকার দেওয়া উচিত। উত্তর কোরিয়ার হুমকিদাতাদের কাছে সংবেদনশীল ডেটা এক্সপোজার সনাক্ত, ব্যাহত এবং প্রতিরোধ করার জন্য নিয়োগ প্রক্রিয়া, বিকাশকারী পরিবেশ নিয়ন্ত্রণ এবং তৃতীয় পক্ষের ঝুঁকি ব্যবস্থাপনা জোরদার করার জন্য সংস্থাগুলিকে আহ্বান জানানো হচ্ছে।