StoatWaffle ম্যালওয়্যার

উত্তর কোরিয়ার একটি হুমকি ক্লাস্টার, যা ‘কন্টেজিয়াস ইন্টারভিউ’ এবং ‘ওয়াটারপ্লাম’ নামেও পরিচিত, ‘স্টোটওয়াফেল’ নামক একটি অত্যাধুনিক ম্যালওয়্যার পরিবারের সাথে যুক্ত বলে জানা গেছে। এই অভিযানটি ক্ষতিকর মাইক্রোসফট ভিজ্যুয়াল স্টুডিও কোড (ভিএস কোড) প্রজেক্টগুলোকে অস্ত্র হিসেবে ব্যবহার করে বিশেষভাবে ডেভেলপারদের লক্ষ্যবস্তু করে, যা সফটওয়্যার ডেভেলপমেন্ট ইকোসিস্টেমের মধ্যে সাপ্লাই চেইন আক্রমণের একটি বিপজ্জনক বিবর্তনের ইঙ্গিত দেয়।

ভিএস কোডকে অস্ত্র হিসেবে ব্যবহার: tasks.json-এর অপব্যবহার

এই ক্যাম্পেইনের একটি উল্লেখযোগ্য উদ্ভাবন হলো ভিএস কোডের tasks.json কনফিগারেশন ফাইলের অপব্যবহার। ডিসেম্বর ২০২৫ থেকে, আক্রমণকারীরা 'runOn: folderOpen' সেটিংটি কাজে লাগিয়ে প্রজেক্ট ফোল্ডার খোলার সাথে সাথে স্বয়ংক্রিয়ভাবে ক্ষতিকারক টাস্কগুলো সম্পাদন করছে।

এই কৌশলটি ব্যবহারকারীর সুস্পষ্ট হস্তক্ষেপ ছাড়াই ধারাবাহিক কার্যসম্পাদন নিশ্চিত করে। ক্ষতিকারক টাস্কটি ভার্সেল-এ হোস্ট করা একটি রিমোট ওয়েব অ্যাপ্লিকেশন থেকে পেলোড সংগ্রহ করে, যা অন্তর্নিহিত অপারেটিং সিস্টেম থেকে স্বাধীনভাবে কাজ করে। যদিও বিশ্লেষণের পরিবেশগুলো প্রায়শই উইন্ডোজকে কেন্দ্র করে তৈরি হয়, আক্রমণের যুক্তিটি সব প্ল্যাটফর্মেই একই থাকে।

Node.js এর মাধ্যমে বহু-পর্যায়ের পেলোড ডেলিভারি

একবার চালু হলে, ম্যালওয়্যারটি একটি সুসংগঠিত, বহু-পর্যায়ের সংক্রমণ প্রক্রিয়া শুরু করে:

• পেলোডটি যাচাই করে যে হোস্ট সিস্টেমে Node.js ইনস্টল করা আছে কি না।
• অনুপস্থিত থাকলে, Node.js এর অফিসিয়াল উৎস থেকে ডাউনলোড করে নীরবে ইনস্টল করা হয়।
• একটি ডাউনলোডার কম্পোনেন্ট চালু করা হয়, যা পর্যায়ক্রমে একটি রিমোট সার্ভারের সাথে যোগাযোগ করে।
• এই ডাউনলোডারটি অতিরিক্ত পেলোড সংগ্রহ করে, যেগুলো Node.js কোড হিসেবে কার্যকর হয় এবং পরবর্তী পর্যায়গুলোর মাধ্যমে সংক্রমণের ধারা অব্যাহত রাখে।

এই স্তরভিত্তিক পদ্ধতিটি স্থায়িত্ব বাড়ায় এবং নিরাপত্তা সরঞ্জাম দ্বারা শনাক্তকরণকে আরও জটিল করে তোলে।

স্টোটওয়াফলের অভ্যন্তরে: মডিউলার ম্যালওয়্যার সক্ষমতা

StoatWaffle হলো Node.js-এর উপর নির্মিত একটি মডিউলার ফ্রেমওয়ার্ক, যা একাধিক ক্ষতিকারক উপাদানের নমনীয় স্থাপনা সক্ষম করে। এর প্রধান মডিউলগুলো হলো:

ক্রেডেনশিয়াল স্টিলার : এটি ক্রোমিয়াম-ভিত্তিক ব্রাউজার এবং মোজিলা ফায়ারফক্স থেকে সংরক্ষিত ক্রেডেনশিয়াল এবং এক্সটেনশন ডেটাসহ সংবেদনশীল তথ্য হাতিয়ে নেয়। ম্যাকওএস সিস্টেমে এটি আইক্লাউড কিচেইন ডেটাবেসকেও লক্ষ্যবস্তু করে। সংগৃহীত সমস্ত ডেটা একটি কমান্ড-অ্যান্ড-কন্ট্রোল (C2) সার্ভারে পাচার করা হয়।
রিমোট অ্যাক্সেস ট্রোজান (RAT) : এটি C2 সার্ভারের সাথে স্থায়ী যোগাযোগ স্থাপন করে, যার ফলে আক্রমণকারীরা দূর থেকে কমান্ড কার্যকর করতে পারে। এর সক্ষমতাগুলোর মধ্যে রয়েছে ফাইল সিস্টেম নেভিগেশন, কমান্ড কার্যকর করা, ফাইল আপলোড, কীওয়ার্ড-ভিত্তিক ফাইল অনুসন্ধান এবং স্বয়ংক্রিয়ভাবে বন্ধ হয়ে যাওয়া।
আক্রমণের ক্ষেত্র সম্প্রসারণ : ওপেন-সোর্স ইকোসিস্টেমের অপব্যবহার

এই অভিযানটি ওপেন-সোর্স প্ল্যাটফর্ম এবং ডেভেলপারদের কর্মপ্রক্রিয়াকে লক্ষ্য করে চালানো আক্রমণের একটি বৃহত্তর ধারার অংশ। উল্লেখযোগ্য কার্যক্রমগুলোর মধ্যে রয়েছে:

• ক্ষতিকর এনপিএম প্যাকেজের মাধ্যমে পাইথন-ভিত্তিক ব্যাকডোর পাইলাংঘোস্ট (PylangGhost)-এর বিতরণ, যা এই চ্যানেলের মাধ্যমে এর প্রথম পর্যবেক্ষণকৃত বিস্তার।
• পোলিনরাইডার ক্যাম্পেইনটি শত শত গিটহাব রিপোজিটরিতে দুর্বোধ্য জাভাস্ক্রিপ্ট প্রবেশ করিয়েছিল, যার ফলে বিভারটেইল ম্যালওয়্যারের একটি হালনাগাদ সংস্করণ ছড়িয়ে পড়ে।
• উচ্চতর বিশেষাধিকার সম্পন্ন একজন কন্ট্রিবিউটর অ্যাকাউন্ট হাইজ্যাক করে Neutralinojs গিটহাব অর্গানাইজেশনের রিপোজিটরিগুলো হ্যাক করা হয়েছে। Tron, Aptos, এবং Binance Smart Chain নেটওয়ার্ক জুড়ে ব্লকচেইন লেনদেনের মধ্যে এমবেড করা এনক্রিপ্টেড পেলোডগুলো পুনরুদ্ধার করার জন্য ক্ষতিকারক কোড ফোর্স-পুশ করা হয়েছিল।

এইসব পরিস্থিতিতে ভুক্তভোগীরা প্রায়শই ত্রুটিপূর্ণ ভিএস কোড এক্সটেনশন বা ক্ষতিকারক এনপিএম প্যাকেজের মাধ্যমে সংক্রমিত হতেন।

সোশ্যাল ইঞ্জিনিয়ারিং কৌশল: ভুয়া সাক্ষাৎকার এবং ডেভেলপারদের লক্ষ্যবস্তু করা

প্রাথমিক প্রবেশাধিকার প্রায়শই অত্যন্ত বিশ্বাসযোগ্য নিয়োগ প্রতারণার মাধ্যমে অর্জন করা হয়। আক্রমণকারীরা বৈধ প্রযুক্তিগত সাক্ষাৎকার প্রক্রিয়ার অনুকরণ করে এবং লক্ষ্যবস্তুদের GitHub, GitLab বা Bitbucket-এর মতো প্ল্যাটফর্মে হোস্ট করা ক্ষতিকারক কোড চালাতে প্ররোচিত করে।

এই টার্গেটিং কৌশলটি ক্রিপ্টোকারেন্সি এবং ওয়েব৩ খাতের প্রতিষ্ঠাতা, সিটিও এবং সিনিয়র ইঞ্জিনিয়ারসহ উচ্চ-মূল্যের ব্যক্তিদের লক্ষ্য করে। এই পদগুলো প্রায়শই গুরুত্বপূর্ণ অবকাঠামো এবং ডিজিটাল সম্পদে প্রবেশের সুযোগ করে দেয়। একটি নথিভুক্ত ঘটনায়, একটি মনগড়া চাকরির সাক্ষাৎকারের দৃশ্য ব্যবহার করে AllSecure.io-এর প্রতিষ্ঠাতাকে লক্ষ্য করে একটি আক্রমণের চেষ্টা করা হয়েছিল।

বিশ্বাসযোগ্যতা বাড়াতে, আক্রমণকারীরা লিঙ্কডইনে ভুয়া কোম্পানির প্রোফাইল তৈরি করে এবং আপাতদৃষ্টিতে বৈধ মনে হওয়া গিটহাব অ্যাকাউন্ট পরিচালনা করে। অতিরিক্ত কৌশলগুলোর মধ্যে রয়েছে ক্লিকফিক্স-এর ব্যবহার, যা একটি সোশ্যাল ইঞ্জিনিয়ারিং পদ্ধতি এবং এটি দক্ষতা মূল্যায়ন কাজের ছদ্মবেশে ম্যালওয়্যার সরবরাহ করে।

কৌশলগত উদ্দেশ্য: ক্রিপ্টোকারেন্সি চুরির ঊর্ধ্বে

যদিও ক্রিপ্টোকারেন্সি চুরিকে মূল উদ্দেশ্য বলে মনে হচ্ছে, এর বৃহত্তর অভিপ্রায় সাপ্লাই চেইন লঙ্ঘন এবং কর্পোরেট গুপ্তচরবৃত্তি পর্যন্ত বিস্তৃত। ডেভেলপারদের পরিবেশে অনুপ্রবেশের মাধ্যমে আক্রমণকারীরা পরবর্তী সফটওয়্যার প্রজেক্টগুলোতে ক্ষতিকারক কোড ছড়িয়ে দেওয়ার বা প্রতিষ্ঠানের সংবেদনশীল তথ্য হাতিয়ে নেওয়ার সুযোগ পায়।

ভিএস কোডের নিরাপত্তা জোরদার করা

ভিএস কোড টাস্কের অপব্যবহারের প্রতিক্রিয়ায় মাইক্রোসফট গুরুত্বপূর্ণ নিরাপত্তা উন্নয়নমূলক পদক্ষেপ গ্রহণ করেছে:

• জানুয়ারি ২০২৬ আপডেটে (সংস্করণ ১.১০৯) task.allowAutomaticTasks সেটিংটি চালু করা হয়েছে, যা tasks.json-এ সংজ্ঞায়িত টাস্কগুলোর স্বয়ংক্রিয় সম্পাদন রোধ করার জন্য ডিফল্টরূপে নিষ্ক্রিয় থাকে।
• এই সেটিংটি ওয়ার্কস্পেস স্তরে পরিবর্তন করা যায় না, ফলে ক্ষতিকারক রিপোজিটরিগুলো ব্যবহারকারী-নির্ধারিত নিরাপত্তা পছন্দগুলো এড়িয়ে যেতে পারে না।
• পরবর্তী আপডেটগুলিতে, যার মধ্যে ২০২৬ সালের ফেব্রুয়ারিতে প্রকাশিত সংস্করণ ১.১১০ অন্তর্ভুক্ত, নতুন খোলা ওয়ার্কস্পেসগুলিতে স্বয়ংক্রিয়ভাবে চালু হওয়া টাস্ক শনাক্ত হলে একটি দ্বিতীয় সতর্কীকরণ প্রম্পট যুক্ত করা হয়েছে, যা ওয়ার্কস্পেস ট্রাস্ট মঞ্জুর করার পরেও ব্যবহারকারীর সচেতনতা জোরদার করে।

উপসংহার: ডেভেলপার নিরাপত্তার জন্য একটি ক্রমবর্ধমান হুমকি

স্টোটওয়াফেল ক্যাম্পেইনটি আক্রমণকারীদের কৌশলে একটি উল্লেখযোগ্য পরিবর্তন তুলে ধরে, যা মূলত ডেভেলপমেন্ট এনভায়রনমেন্ট এবং বিশ্বস্ত ওয়ার্কফ্লো-কে কেন্দ্র করে গড়ে উঠেছে। টেকনিক্যাল এক্সপ্লয়টেশন এবং অ্যাডভান্সড সোশ্যাল ইঞ্জিনিয়ারিংয়ের সমন্বয়ে, থ্রেট অ্যাক্টররা বৈধ ও ক্ষতিকর কার্যকলাপের মধ্যকার সীমারেখা ক্রমাগত ঝাপসা করে দিচ্ছে, যা সফটওয়্যার ডেভেলপমেন্ট লাইফসাইকেল জুড়ে উচ্চতর সতর্কতার প্রয়োজনীয়তার ওপর জোর দেয়।