Shai Hulud v2 Malware

npm রেজিস্ট্রিতে ৮৩০টিরও বেশি প্যাকেজের আপস করার পর, Shai-Hulud সাপ্লাই চেইন আক্রমণের দ্বিতীয় তরঙ্গ এখন Maven ইকোসিস্টেমে প্রবেশ করেছে। গবেষকরা একটি Maven Central প্যাকেজ, org.mvnpm:posthog-node:4.18.1, শনাক্ত করেছেন, যাতে পূর্ববর্তী npm আক্রমণের মতো একই ক্ষতিকারক উপাদান রয়েছে: লোডার setup_bun.js এবং payload bun_environment.js। বর্তমানে, এটিই একমাত্র পরিচিত জাভা প্যাকেজ যা প্রভাবিত হয়েছে।

উল্লেখযোগ্যভাবে, Maven প্যাকেজটি PostHog দ্বারা প্রকাশিত হয়নি। পরিবর্তে, এটি একটি স্বয়ংক্রিয় mvnpm প্রক্রিয়ার মাধ্যমে তৈরি করা হয়েছিল যা npm প্যাকেজগুলিকে Maven আর্টিফ্যাক্ট হিসাবে পুনর্নির্মাণ করে। Maven Central নিশ্চিত করেছে যে 25 নভেম্বর, 2025 তারিখে সমস্ত মিরর করা কপি মুছে ফেলা হয়েছে এবং npm উপাদানগুলিকে পুনঃপ্রকাশিত হতে বাধা দেওয়ার জন্য অতিরিক্ত সুরক্ষা প্রয়োগ করা হচ্ছে।

বিশ্বব্যাপী ডেভেলপার প্রভাব এবং আক্রমণ লক্ষ্য

এই সর্বশেষ তরঙ্গ বিশ্বব্যাপী ডেভেলপারদের লক্ষ্য করে, যার লক্ষ্য হল সংবেদনশীল তথ্য চুরি করা যেমন:

• API কী
• ক্লাউড শংসাপত্র
• npm এবং GitHub টোকেন

এটি কৃমির মতো, স্ব-প্রতিলিপি তৈরির পদ্ধতিতে গভীর সরবরাহ শৃঙ্খলের আপসকেও সহজ করে তোলে। শাই-হুলুদের এই পুনরাবৃত্তিটি সেপ্টেম্বরের প্রাথমিক রূপের তুলনায় আরও গোপন, আক্রমণাত্মক এবং ধ্বংসাত্মক। npm রক্ষণাবেক্ষণকারী অ্যাকাউন্টগুলির আপস করে, আক্রমণকারীরা ট্রোজানাইজড প্যাকেজগুলি প্রকাশ করতে পারে যা ব্যাকডোর ডেভেলপার মেশিনগুলিতে প্রবেশ করে এবং স্বয়ংক্রিয়ভাবে গোপনীয়তাগুলি GitHub সংগ্রহস্থলগুলিতে ছড়িয়ে দেওয়ার জন্য স্ক্যান করে।

ম্যালওয়্যার কীভাবে কাজ করে: দ্বৈত কর্মপ্রবাহ এবং গোপন কৌশল

আক্রমণটি দুটি ক্ষতিকারক কর্মপ্রবাহকে কাজে লাগায়:

• স্ব-হোস্টেড রানার নিবন্ধন: যখনই কোনও GitHub আলোচনা খোলা হয় তখনই নির্বিচারে কমান্ড কার্যকর করার অনুমতি দেয়।
• গোপনীয়তা সংগ্রহের কর্মপ্রবাহ: পদ্ধতিগতভাবে শংসাপত্র সংগ্রহ করে এবং সেগুলিকে GitHub-এ ঠেলে দেয়।
• শাই-হুলুদ v2-এর মূল উন্নতিগুলির মধ্যে রয়েছে:
• মূল যুক্তি গোপন করার জন্য বান রানটাইমের ব্যবহার
• সংক্রমণের সীমা ২০ থেকে ১০০ প্যাকেজে সম্প্রসারণ
• সনাক্তকরণ এড়াতে GitHub-এ র‍্যান্ডমাইজড এক্সফিল্ট্রেশন রিপোজিটরি

এখন পর্যন্ত, ২৮,০০০ এরও বেশি সংগ্রহস্থল প্রভাবিত হয়েছে, যা প্রচারণার বিশালতা এবং গোপনীয়তা প্রদর্শন করে।

শোষিত দুর্বলতা এবং সরবরাহ শৃঙ্খল মেকানিক্স

হুমকিদাতারা GitHub Actions ওয়ার্কফ্লোতে CI ভুল কনফিগারেশনের সুবিধা গ্রহণ করেছে, বিশেষ করে pull_request_target এবং workflow_run ট্রিগার। একটি ভুল কনফিগার করা ওয়ার্কফ্লো একটি রিপোজিটরিকে 'পেশেন্ট জিরো'-তে পরিণত করতে পারে, যা ক্ষতিকারক কোডের দ্রুত বিস্তারকে সক্ষম করে।

এই আক্রমণটি AsyncAPI, PostHog এবং Postman-এর সাথে সম্পর্কিত প্রকল্পগুলিকে লক্ষ্য করে করা হয়েছে, যা ২০২৫ সালের আগস্টে S1ngularity আক্রমণের মাধ্যমে শুরু হওয়া একটি বৃহত্তর প্রচারণা অব্যাহত রেখেছে, যা npm-এ বেশ কয়েকটি Nx প্যাকেজকে প্রভাবিত করেছিল।

ফলআউট: গোপন তথ্য ফাঁস এবং পদ্ধতিগত ঝুঁকি

প্রচারণার বিশ্লেষণে দেখা যায়:

• AWS, Google Cloud, এবং Microsoft Azure থেকে শত শত GitHub অ্যাক্সেস টোকেন এবং ক্লাউড শংসাপত্রগুলি এক্সফিল্টার করা হয়েছিল।
• গিটহাবে ৫,০০০ এরও বেশি গোপন তথ্য সম্বলিত ফাইল আপলোড করা হয়েছে।
• ৪,৬৪৫টি সংগ্রহস্থলে চিহ্নিত ১১,৮৫৮টি অনন্য গোপনীয়তার মধ্যে, ২৪ নভেম্বর, ২০২৫ পর্যন্ত ২,২৯৮টি বৈধ এবং জনসমক্ষে প্রকাশিত রয়ে গেছে।

এটি দেখায় যে কীভাবে একটি একক আপোস করা রক্ষণাবেক্ষণকারী একটি ক্যাসকেড প্রভাব ট্রিগার করতে পারে, হাজার হাজার ডাউনস্ট্রিম অ্যাপ্লিকেশনকে সংক্রামিত করতে পারে।

ডেভেলপারদের জন্য সুপারিশ

এক্সপোজার কমাতে, ডেভেলপারদের উচিত:

• সমস্ত API কী, টোকেন এবং শংসাপত্র ঘোরান
• আপোস করা নির্ভরতাগুলি নিরীক্ষণ করুন এবং অপসারণ করুন
• পরিষ্কার প্যাকেজ সংস্করণগুলি পুনরায় ইনস্টল করুন
• ন্যূনতম-সুবিধাপ্রাপ্ত অ্যাক্সেস, গোপন স্ক্যানিং এবং স্বয়ংক্রিয় নীতি প্রয়োগের মাধ্যমে CI/CD পরিবেশকে আরও শক্ত করুন।

শাই-হুলুদ জোর দিয়ে বলেন যে আধুনিক সফটওয়্যার সরবরাহ শৃঙ্খল এখনও অত্যন্ত ঝুঁকিপূর্ণ। আক্রমণকারীরা ওপেন-সোর্স সফটওয়্যার কীভাবে প্রকাশ, প্যাকেজ করা এবং স্থাপন করা হয় তার ফাঁকগুলিকে কাজে লাগাতে থাকে, প্রায়শই জিরো-ডে দুর্বলতার উপর নির্ভর না করে। সবচেয়ে কার্যকর প্রতিরক্ষার জন্য সফ্টওয়্যার কীভাবে তৈরি, ভাগ করা এবং ব্যবহার করা হয় তা পুনর্বিবেচনা করা প্রয়োজন।