TL;DR
- মাইক্রোসফট দুটি ক্ষতিগ্রস্ত npm প্যাকেজ শনাক্ত করেছে যেগুলি গোপনে এমন ম্যালওয়্যার বিতরণ করেছে যা ক্রিপ্টোকারেন্সি ওয়ালেটের যোগাযোগ, কীস্ট্রোক, স্ক্রিনশট এবং অন্যান্য সংবেদনশীল তথ্য চুরি করতে সক্ষম।
- আক্রমণকারীদের বলা হয়েছে যে তারা চুরি করা ডেটা বহন করতে হাগিং ফেস রিপোজিটরি ব্যবহার করেছিল, যার ফলে এই কার্যকলাপ শনাক্ত করা কঠিন হয়ে পড়েছে।
- এই আবিষ্কারটি ডেভেলপারদের জন্য সফটওয়্যার সরবরাহ শৃঙ্খলের বৃদ্ধি পাওয়া ঝুঁকি উল্লেখ করে এবং স্ব-নিয়ন্ত্রণ সুরক্ষা প্রথা এবং তৃতীয় পক্ষের নির্ভরশীলতার সতর্কতার সাথে যাচাইয়ের গুরুত্বকে শক্তিশালী করে।
Microsoft নতুন একটি ম্যালওয়্যার অভিযান উদঘাটন করেছে যা ক্ষতিগ্রস্ত npm প্যাকেজের মাধ্যমে ডেভেলপারদের লক্ষ্য করছে, যা সফটওয়্যার সরবরাহ শৃঙ্খলের নিরাপত্তা নিয়ে চিন্তার বিষয় হয়ে উঠেছে। ক্ষতিকর কোডটি সংবেদনশীল তথ্য, বিশেষ করে ক্রিপ্টোকারেন্সি ওয়ালেটের ক্রেডেনশিয়াল চুরি করার জন্য ডিজাইন করা হয়েছিল, যখন এটি বৈধ মনে হওয়া টুলগুলির ভিতরে লুকিয়ে ছিল।
সংক্রমিত npm প্যাকেজগুলি (utils-terminal@3.2.1, logger-active@3.2.1) হাগিং ফেস রিপোগুলিকে ডেটা বহনের জন্য ব্যবহার করছে। এই প্যাকেজগুলি একটি রিমোট অ্যাক্সেস ট্রোজান (RAT) স্থাপন করে যা কীস্ট্রোক, স্ক্রিনশট এবং ক্রিপ্টো ওয়ালেটের যাবতীয় পাসওয়ার্ড ধরে ফেলে।
ক্ষতির নির্দেশক... pic.twitter.com/e3kzcStZUg
— মাইক্রোসফট থ্রেট ইন্টেলিজেন্স (@MsftSecIntel) June 3, 2026
মাইক্রোসফট থ্রেট ইন্টেলিজেন্সের অনুসারে, utils-terminal@3.2.1 এবং logger-active@3.2.1 হিসাবে চিহ্নিত প্যাকেজগুলি একটি রিমোট অ্যাক্সেস ট্রোজান বিতরণ করেছে, যা সংক্রমিত সিস্টেমগুলি থেকে কীস্ট্রোক, স্ক্রিনশট, লগইন যোগাযোগের তথ্য এবং ক্রিপ্টো-সংক্রান্ত ডেটা সংগ্রহ করতে সক্ষম। যেহেতু npm বিশ্বের সবচেয়ে বড় সফটওয়্যার রেজিস্ট্রির মধ্যে একটি, কমপ্রোমাইজড প্যাকেজগুলি অজান্তেই সংক্রমিত ডিপেনডেনসি ইনস্টল করা বহু ডেভেলপারদের কাছে পৌঁছাতে পারে।
মাইক্রোসফট ক্রিপ্টো-কেন্দ্রিক সাপ্লাই চেইন আক্রমণ প্রকাশ করেছে
এই ক্যাম্পেইনটি ক্রিপ্টোকারেন্সি ব্যবহারকারীদের এবং ব্লকচেইন ডেভেলপারদের জন্য বিশেষভাবে প্রাসঙ্গিক। ডেভেলপমেন্ট মেশিনগুলিতে প্রায়শই ব্রাউজার ওয়ালেট, API ক্রেডেনশিয়াল, ক্লাউড অ্যাক্সেস টোকেন এবং ডিজিটাল সম্পদ প্রকল্পগুলির সাথে সংযুক্ত সোর্স কোড রিপোজিটরি থাকে। যদি আক্রমণকারীরা এই সম্পদগুলিতে প্রবেশ করে, তবে তারা ওয়ালেট, ডেভেলপমেন্ট ইনফ্রাস্ট্রাকচার বা অটোমেটেড ট্রেডিং সিস্টেমগুলির নিরাপত্তা ভঙ্গ করতে পারে।
মাইক্রোসফট জানিয়েছে যে ম্যালওয়্যারটি তার ডেটা বহির্বাহী কৌশলের অংশ হিসেবে হাগিং ফেস রিপোজিটরি ব্যবহার করেছিল। চুরি করা তথ্য একটি বিশ্বস্ত কৃত্রিম বুদ্ধিমত্তা প্ল্যাটফর্মের মাধ্যমে পাঠিয়ে, আক্রমণকারীদের তাদের কার্যকলাপের সঙ্গে সুরক্ষা মনিটরিং সিস্টেমগুলির তাৎক্ষণিক মনোযোগ আকর্ষণের সম্ভাবনা কমিয়েছিল।
ঘটনাটি একটি ব্যাপক প্রবণতাকে প্রতিফলিত করে, যেখানে সাইবার অপরাধীরা ব্যক্তিগত ব্যবহারকারীদের পরিবর্তে সফটওয়্যার সরবরাহ শৃঙ্খলকে লক্ষ্য করছে। প্রতিপক্ষরা প্রত্যক্ষভাবে বিষয়গুলিকে আক্রমণ করার পরিবর্তে সাধারণত ব্যবহৃত ডেভেলপমেন্ট টুল এবং নির্ভরশীলতাগুলিকে দুর্বল করার চেষ্টা করে, যা অনেক বড় সম্ভাব্য লক্ষ্যের সংগ্রহে প্রবেশাধিকার প্রদান করতে পারে।
ওপেন সোর্স সিকিউরিটি চ্যালেঞ্জগুলি বাড়তে থাকছে
সর্বশেষ আবিষ্কারটি ক্রিপ্টোকারেন্সি এবং কৃত্রিম বুদ্ধিমত্তা ডেভেলপারদের লক্ষ্য করে কয়েকটি সাম্প্রতিক অভিযানের পর এসেছে। সুরক্ষা গবেষকদের আগে থেকেই npm, PyPI এবং Rust বাস্তুতন্ত্রে ম্যালওয়্যার প্যাকেজগুলি শনাক্ত করা হয়েছিল যেগুলি ওয়ালেট যোগাযোগের তথ্য, SSH কী এবং ক্লাউড অ্যাক্সেস যোগাযোগের তথ্য সংগ্রহের চেষ্টা করছিল।
এই আক্রমণগুলি ব্যবহারকারীদের জন্য ঝুঁকি তৈরি করে, কিন্তু ব্লকচেইন নেটওয়ার্কগুলির নিজস্ব দুর্বলতা প্রকাশ করে না। সাধারণত, আক্রমণকারীরা ডিজিটাল সম্পদকে সুরক্ষিত রাখার জন্য ক্রিপ্টোগ্রাফিক ভিত্তি ভাঙার চেষ্টা না করে এন্ডপয়েন্ট এবং ব্যবহারকারীর ডিভাইসগুলি থেকে ক্রেডেনশিয়াল চুরি করার উপর ফোকাস করে।
Microsoft ইনস্টল করা প্যাকেজগুলি পর্যালোচনা করতে, সন্দেহজনক নির্ভরশীলতা সরিয়ে ফেলতে, সম্ভাব্য প্রকাশিত ক্রেডেনশিয়ালগুলি রোটেট করতে এবং অননুমোদিত লেনদেনের জন্য ওয়ালেট কার্যকলাপ মনিটরিংয়ের পরামর্শ দেয়। সিকিউরিটি বিশেষজ্ঞরা আরও পরামর্শ দেন যে সিড বাক্যাংশগুলি অফলাইনে সংরক্ষণ করুন এবং ইনস্টলেশনের আগে সফটওয়্যারের উৎসগুলি সাবধানে যাচাই করুন।