মিনি শাই-হুলুদ সাপ্লাই চেইন আক্রমণ গিটহাব এবং গ্রাফানা সিকিউরিটি ঘটনার সাথে যুক্ত

ChainCatcher এর সংবাদ, ম্যান ওয়াগ দ্বারা প্রকাশিত হুমকির তথ্য অনুযায়ী, সাম্প্রতিককালে অনেকগুলি প্রচলিত npm প্যাকেজ, যেমন AntV এবং Echarts-for-react, এবং Python SDK durabletask-এ Mini Shai-Hulud ("মিনি শাই-হুলুদ") সাপ্লাই চেইন আক্রমণের শিকার হয়েছে। atool npm অ্যাকাউন্টটি হ্যাক করা হয়েছে, আক্রমণকারীরা 22 মিনিটের মধ্যে 637টি ম্যালওয়্যার ভার্সন স্বয়ংক্রিয়ভাবে প্রকাশ করেছে, যা 317টি প্যাকেজকে প্রভাবিত করেছে। আক্রমণকারীরা 35 মিনিটের মধ্যে durabletask 1.4.1, 1.4.2 এবং 1.4.3 ভার্সনগুলি ক্রমাগতভাবে আপলোড করেছে, যা স্বাভাবিক প্রকাশ নিয়ন্ত্রণকে বাইপাস করে মাইক্রোসফটের অফিসিয়াল প্রকাশকে ছলনা করেছে। GitHub token-এর বৃহৎ-স্কেল প্রকাশ এবং Grafana Labs-এর র্যানসমওয়্যার আক্রমণটি সম্ভবত এই সাপ্লাই চেইন আক্রমণের সঙ্গে সম্পর্কিত। প্রভাবিত উপাদানগুলির মধ্যে npm ইকোসিস্টেমের AntV, Echarts-for-react ইত্যাদি প্রচলিত উপাদানগুলি, এবং Python প্যাকেজ durabletask 1.4.1, 1.4.2 এবং 1.4.3 অন্তর্ভুক্ত। আক্রমণকারীরা ক্লাউড এবং লোকাল ক্রেডেনশিয়ালগুলি চুরি, অননুমোদিতভাবে অভ্যন্তরীণ রিপোজিটরি এবং সংবেদনশীল ক্লাউড ইনফ্রাস্ট্রাকচারের অ্যাক্সেস, ডেভেলপারদের মেশিনগুলি এবং CI/CD পাইপলাইনগুলিতে ল্যাটারাল মুভমেন্ট,泄露 GitHub token-এর বিক্রয় এবং ব্যবহার, এবং র্যানসমওয়্যার এবং ডেটা-লিকেজের威胁-এর বাস্তবায়নকরতে পারে।慢雾 (Màn Wù) AntV, Echarts-for-react, durabletask 1.4.1, 1.4.2, 1.4.3-এরপরিবর্তে,সমস্তপ্রকাশিতক্রেডেনশিয়ালগুলিকেপরিবর্তনকরতে,প্রভাবিতপ্যাকেজগুলিকেপ্রতিস্থাপনকরতে,সম্ভাব্যসংক্রমিতসিস্টেমগুলিকেআইসোলেটকরতেএবংকঠোনির্ভরতা-পরীক্ষা-নীতিরঅনুসরণকরতেসুপারিশকরছে।আগেরসংবাদঅনুযায়ী,"মিনি-শাই-হুলুদ"ওয়ারমটি"সম্প্রতি"ওপেনসোর্সকোডবিভিন্নসমৃদ্ধসংগঠনগুলিতেবড়পরিসরেসংক্রমিতহয়েছে,ডেভেলপারদেরঅবশ্যইএটি"পরীক্ষা"করা"উচিত।