செயற்கை நுண்ணறிவால் இயக்கப்படும் ப்ராம்ட்மிங்க் தீம்பொருள் பிரச்சாரம்

ஆந்த்ரோபிக்கின் கிளாட் ஓபஸ் பெரிய மொழி மாதிரி (LLM) இணைந்து எழுதிய குறியீட்டின் மூலம் ஒரு திட்டத்தில் தீங்கு விளைவிக்கும் சார்புநிலை அறிமுகப்படுத்தப்பட்டதைத் தொடர்ந்து, ஒரு npm தொகுப்பிற்குள் மறைக்கப்பட்டிருந்த தீங்கிழைக்கும் குறியீட்டை இணையப் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். செயற்கை நுண்ணறிவு உதவியுடனான மேம்பாட்டுப் பணிப்பாய்வுகளின் தவறான பயன்பாட்டின் மூலம் மென்பொருள் விநியோகச் சங்கிலி அச்சுறுத்தல்கள் எவ்வாறு உருவாகி வருகின்றன என்பதை இந்தக் கண்டுபிடிப்பு எடுத்துக்காட்டுகிறது.

இந்த பிரச்சாரத்தின் மையத்தில் இருந்த '@validate-sdk/v2' என்ற தொகுப்பு, ஹாஷிங், சரிபார்ப்பு, குறியாக்கம் மற்றும் குறியீட்டு நீக்கம், மற்றும் பாதுகாப்பான சமவாய்ப்பு உருவாக்கம் ஆகியவற்றுக்கான ஒரு பயன்பாட்டு மென்பொருள் உருவாக்கத் தொகுப்பாக npm-ல் வழங்கப்பட்டது. உண்மையில், இது ஊடுருவப்பட்ட கணினிகளிலிருந்து முக்கியமான இரகசியங்களைத் திருடுவதற்காக வடிவமைக்கப்பட்டது. இந்தத் தொகுப்பு, உருவாக்கும் செயற்கை நுண்ணறிவைப் பயன்படுத்தி 'வைப-கோட்' செய்யப்பட்டிருக்கலாம் என்று சுட்டிக்காட்டும் குறிகாட்டிகளை புலனாய்வாளர்கள் குறிப்பிட்டனர். இது முதன்முதலில் அக்டோபர் 2025-ல் npm-ல் பதிவேற்றப்பட்டது.

பிராம்ப்ட்மிங்க் வட கொரிய அச்சுறுத்தல் நடவடிக்கையுடன் தொடர்புடையது

ஆராய்ச்சியாளர்கள் இந்தச் செயல்பாட்டிற்கு 'ப்ராம்ட்மிங்க்' எனப் பெயரிட்டுள்ளனர். மேலும் இது, 'ஷிஃப்டி கோர்செய்ர்' என்றும் அறியப்படும் வட கொரிய அச்சுறுத்தல் குழுவான ஃபேமஸ் சோலிமாவுடன் தொடர்புடையது என நம்புகின்றனர். இந்தக் குழு இதற்கு முன்னர், நீண்ட காலமாக நடைபெற்று வரும் 'கான்டேஜியஸ் இன்டர்வியூ' நடவடிக்கை மற்றும் மோசடியான தகவல் தொழில்நுட்பப் பணியாளர் ஏமாற்று வேலைகளுடன் தொடர்புடையதாக இருந்துள்ளது.

இந்தப் பிரச்சாரமானது, திறந்த மூலச் சூழலமைப்பின் மீது, குறிப்பாக கிரிப்டோகரன்சி மற்றும் வெப்3 மேம்பாட்டுடன் தொடர்புடைய சூழல்களின் மீது, தொடர்ச்சியான கவனத்தை வெளிப்படுத்துகிறது.

AI-இணைந்து எழுதிய கமிட் ஆபத்தான சார்புநிலையை அறிமுகப்படுத்தியது.

பிப்ரவரி 28 அன்று ஒரு தன்னாட்சி வர்த்தக முகவர் களஞ்சியத்தில் செய்யப்பட்ட ஒரு கமிட் மூலம் அந்தத் தீங்கிழைக்கும் தொகுப்பு செருகப்பட்டது. அந்தக் கமிட், ஆந்த்ரோபிக்கின் கிளாட் ஓபஸ் மாடலால் இணைந்து உருவாக்கப்பட்டதாகக் கூறப்படுகிறது. சேர்க்கப்பட்டவுடன், அந்தத் தொகுப்பு தாக்குதல் நடத்துபவர்களுக்கு கிரிப்டோகரன்சி வாலெட்டுகளை அணுகவும் நிதிகளைத் திருடவும் வழிவகுத்தது.

சார்புச் சங்கிலி பல தொகுப்புகள் வழியாக நகர்ந்தது. '@validate-sdk/v2' என்பது '@solana-launchpad/sdk'-க்குள் பட்டியலிடப்பட்டது, அது பின்னர் openpaw-graveyard என்ற மூன்றாவது தொகுப்பால் பயன்படுத்தப்பட்டது. இந்தத் தொகுப்பு, Tapestry Protocol வழியாக Solana பிளாக்செயினில் ஒரு சமூக ஆன்-செயின் அடையாளத்தை உருவாக்கவும், Bankr வழியாக கிரிப்டோகரன்சியை வர்த்தகம் செய்யவும், Moltbook-இல் உள்ள மற்ற முகவர்களுடன் தொடர்பு கொள்ளவும் திறன் கொண்ட ஒரு தன்னாட்சி AI முகவராக விவரிக்கப்பட்டது.

பிப்ரவரி 2026-ல் செய்யப்பட்ட ஒரு மூலக் குறியீடு மாற்றமானது, அந்தப் பாதிப்புக்குள்ளான சார்புநிலையைச் சேர்த்தது. இதனால் தீங்கிழைக்கும் குறியீடு இயங்கி, வாலட் சொத்துக்களை அம்பலப்படுத்தக்கூடிய சான்றுகளைக் கசியவிட்டது.

கண்டறிதலைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்ட அடுக்குத் தொற்று உத்தி

தாக்குதல் நடத்தியவர்கள் படிப்படியான தொகுப்புக் கட்டமைப்பைப் பயன்படுத்தினர். ஆரம்பத் தொகுப்புகள் தூய்மையானவை போலவும், வெளிப்படையான தீங்கிழைக்கும் குறியீடு எதுவும் இல்லாமலும் காணப்பட்டன. அதற்குப் பதிலாக, உண்மையான தீங்கு விளைவிக்கும் செயல்பாடு சேமிக்கப்பட்டிருந்த இரண்டாம் நிலைத் தொகுப்புகளை அவர்கள் இறக்குமதி செய்தனர். தீங்கிழைக்கும் இரண்டாம் நிலைத் தொகுப்புகளில் ஒன்று கண்டறியப்பட்டாலோ அல்லது அகற்றப்பட்டாலோ, அது உடனடியாக மாற்றப்பட்டது.

இந்த ஆய்வில் அடையாளம் காணப்பட்ட சில முதல் அடுக்குத் தொகுப்புகளில் பின்வருவன அடங்கும்:

@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk

இந்தத் தொகுப்புகள் கிரிப்டோகரன்சி தொடர்பான செயல்பாடுகளை வழங்குவதாகக் கூறி, ஆக்சியோஸ் (axios) மற்றும் பிஎன்.ஜேஎஸ் (bn.js) போன்ற பல நம்பகமான சார்புநிலைகளை உள்ளடக்கியிருந்தன, இது அவை சட்டப்பூர்வமானவை போலத் தோற்றமளிக்க உதவியது. அந்த நம்பகமான நூலகங்களுக்கு மத்தியில், சிறிய எண்ணிக்கையிலான தீங்கிழைக்கும் சார்புநிலைகள் மறைந்திருந்தன.

தாக்குதல் நடத்துபவர்கள் பயன்படுத்தும் மறைமுக உத்திகள்

அச்சுறுத்தல் செய்பவர்கள் சந்தேகத்தைக் குறைக்கவும், விடாமுயற்சியை அதிகரிக்கவும் பல முறைகளைப் பயன்படுத்தினர்:

• முறையான மற்றும் பிரபலமான லைப்ரரிகளில் ஏற்கனவே உள்ள செயல்பாடுகளின் தீங்கிழைக்கும் பதிப்புகளை உருவாக்குதல்
• நம்பகமான கருவிகளை மிகவும் ஒத்திருக்கும் எழுத்துப்பிழை மோசடி தொகுப்புப் பெயர்களையும் விளக்கங்களையும் பயன்படுத்துதல்
• தீம்பொருளை பாதிப்பில்லாதது போல் தோற்றமளிக்கும் லோடர் மற்றும் இரண்டாம் கட்ட பேலோட் எனப் பிரித்தல்
• வேகமாக சுழலும், அகற்றப்பட்ட அல்லது கண்டறியப்பட்ட இரண்டாம் நிலை தொகுப்புகள்

இந்த பிரச்சாரத்துடன் தொடர்புடையதாக அறியப்பட்ட முதல் தொகுப்பான '@hash-validator/v2', செப்டம்பர் 2025-ல் பதிவேற்றப்பட்டது.

npm மற்றும் தீம்பொருள் பரிணாம வளர்ச்சிக்கு அப்பாற்பட்ட விரிவாக்கம்

பல மாதங்களுக்குப் பிறகு ஆராய்ச்சியாளர்கள் இந்தச் செயல்பாட்டின் அறிகுறிகளைக் கண்டறிந்தனர். டெவலப்பர் கணினிகளில் தீங்கிழைக்கும் குறியீட்டை இயக்கவும், மதிப்புமிக்க தரவைத் திருடவும் கடந்துசெல்லும் சார்புகள் பயன்படுத்தப்பட்டதை இது உறுதி செய்தது. பின்னர், இதே போன்ற செயல்பாடுகளுடன் பிப்ரவரி 2026-ல் பதிவேற்றப்பட்ட 'ஸ்க்ரேப்பர்-என்.பி.எம்' (scraper-npm) என்ற தீங்கிழைக்கும் தொகுப்பின் மூலம், இந்தத் தாக்குதல் பைதான் தொகுப்பு அட்டவணைக்கும் (Python Package Index) விரிவடைந்தது.

இந்தச் செயல்பாட்டின் சமீபத்திய பதிப்புகள், SSH வழியாகத் தொடர்ச்சியான தொலைநிலை அணுகலை ஏற்படுத்தி, பாதிக்கப்பட்ட கணினிகளிலிருந்து முழு மூலக் குறியீடு திட்டங்களையும் அறிவுசார் சொத்துக்களையும் திருடுவதற்கு ரஸ்ட் மொழியில் தொகுக்கப்பட்ட தரவுகளைப் பயன்படுத்தியதாகக் கூறப்படுகிறது.

அடிப்படை திருடன் முதல் பல தள அச்சுறுத்தல் வரை

அந்த மால்வேரின் ஆரம்பகாலப் பதிப்புகள், ஃபேமஸ் சோலிமாவின் செயல்பாடுகளுடன் முன்னர் தொடர்புபடுத்தப்பட்டிருந்த வெர்செல் வழங்கும் டொமைனுக்குக் கோப்புகளைக் கசியவிடுவதற்காக, இயங்கும் கோப்பகங்களில் உள்ள .env மற்றும் .json கோப்புகளை மீண்டும் மீண்டும் தேடும், தெளிவற்ற ஜாவாஸ்கிரிப்ட் திருடர்களாக இருந்தன.

பிற்காலப் பதிப்புகள் ப்ராம்ட்மிங்கை ஒரு Node.js ஒற்றை இயங்கு செயலியாக உட்பொதித்தன. இருப்பினும், இது பேலோட் அளவைச் சுமார் 5.1KB-இலிருந்து கிட்டத்தட்ட 85MB ஆக அதிகரித்ததால், விநியோகத்தின் செயல்திறன் குறைந்தது. அந்தக் கட்டுப்பாட்டைச் சமாளிக்க, தாக்குதல் நடத்துபவர்கள் NAPI-RS-க்கு மாறியதாகக் கூறப்படுகிறது; இது ரஸ்டில் எழுதப்பட்ட, முன் தொகுக்கப்பட்ட Node.js துணை நிரல்களை அனுமதித்தது.

திறந்த மூல விநியோகச் சங்கிலிக்கு அதிகரித்து வரும் ஆபத்து

ஒரு சாதாரண தகவல் திருடனிலிருந்து, விண்டோஸ், லினக்ஸ் மற்றும் மேக்ஓஎஸ் ஆகியவற்றை இலக்காகக் கொண்ட ஒரு சிறப்பு வாய்ந்த பல்பயன்பாட்டு தீம்பொருள் குடும்பமாக இந்தத் தாக்குதல் நிரல் முன்னேறியிருப்பது, அதன் திறனில் ஒரு குறிப்பிடத்தக்க அதிகரிப்பைக் காட்டுகிறது. இதன் செயல்பாடுகளில் இப்போது நற்சான்றிதழ் திருட்டு, SSH பின்கதவு நிறுவுதல் மற்றும் முழுமையான மேம்பாட்டுத் திட்டங்களைத் திருடுதல் ஆகியவை அடங்கும்.

ஃபேமஸ் சோலிமா, கண்டறிதலில் இருந்து தப்பிப்பதற்கும், மனித டெவலப்பர்களை விடத் தானியங்கு குறியீட்டு உதவியாளர்களை மிகவும் திறம்படக் கையாளுவதற்கும், செயற்கை நுண்ணறிவால் உருவாக்கப்பட்ட குறியீட்டை அடுக்குத் தொகுப்பு விநியோக முறைகளுடன் இணைத்துச் செயல்படுவதாக ஆராய்ச்சியாளர்கள் முடிவு செய்துள்ளனர்.