সক্রিয় npm সাপ্লাই চেইন আক্রমণ রেড হ্যাট ক্লাউড সার্ভিসেস প্যাকেজগুলিকে লক্ষ্য করছে, যার ফলে ৩০০টিরও বেশি GitHub রিপোজিটরি প্রভাবিত হয়েছে

মার্স ক্যাপিটাল সংবাদ, 2 জুন, স্লোমিস্ট একটি সুরক্ষা সতর্কবার্তা প্রকাশ করেছে যে একটি সক্রিয় npm সাপ্লাই চেইন আক্রমণ শনাক্ত করা হয়েছে, যার লক্ষ্য @redhat-cloud-services-সংশ্লিষ্ট প্যাকেজগুলি। এখন পর্যন্ত 31+ টি প্যাকেজের প্রভাবিত হওয়ার নিশ্চিতকরণ করা হয়েছে, যার সপ্তাহিক ডাউনলোড প্রায় 1.16 লক্ষ, এবং 300-এরও বেশি GitHub রিপোজিটরিতে চুরি করা যাচাইকরণ তথ্য রয়েছে। এই আক্রমণের পদ্ধতি আগের 'Shai-Hulud' npm আক্রমণের সাথে অত্যন্ত মিলে যায়, যা যাচাইকরণ তথ্য চুরি, ক্ষতিকর রিপোজিটরি তৈরি এবং স্বয়ংক্রিয়ভাবে গোপনীয়তা প্রকাশের অন্তর্ভুক্ত। এখনও নতুন সন্দেহজনক রিপোজিটরি ধারাবাহিকভাবে প্রকাশিত হচ্ছে, যা আক্রমণটি এখনও চলছে এবং ডেভেলপারদের ধারাবাহিকভাবে আক্রান্ত হচ্ছে। সম্ভাব্য ক্ষতির মধ্যে রয়েছে: GitHub/npm token-এর চুরি, AWS/GCP/Azure-এর ক্লাউড যাচাইকরণ তথ্যের泄露, SSH key এবং Kubernetes secret-এর সংগ্রহ, স্থানীয় পরিবেশ এবং ওয়ালেটের ডেটা泄露, ক্ষতিকর রিপোজিটরির তৈরি এবং টিকে থাকা,এবং token-এর revocation-এরপরও destructive actions-এরসম্ভাবনা। @redhat-cloud-services-এরপ্রভাবিতভারসনগুলিৎসমূহঅবিলম্বেঅপসারণবাডাউনগ্রেডকরা, CI/CD workflowএবংডিপেনডেনসিinstall-এরপূর্ণাঙ্গঅডিট, GitHub, npm, cloud services, SSHএবংওয়ালেট-সংশ্লিষ্টসমস্তkey-এরrotation, log-এরসংগ্রহ,এবংপ্রভাবিতডেভেলপারমেশিনবাRunner-কেপরিষ্কারইমেজদিয়েপুনরায়তৈরি,এবংঅত্যন্তসতর্কথাকা।