সাপ্লাই চেইন আক্রমণে ১৪০ এর বেশি মাস্ট্রা npm প্যাকেজ লক্ষ্যবস্তু হয়েছে

ME সংবাদ, 17 জুন (UTC+8), ম্যান ফিউজ মনিটরিংয়ের অনুসারে, 140 এর বেশি npm প্যাকেজের উপর একটি সমন্বিত সাপ্লাই চেইন আক্রমণ চলছে। প্রভাবিত প্যাকেজগুলি ইনস্টল করার সময় easy-day-js@^1.11.21-এর একটি নির্ভরতা স্বয়ংক্রিয়ভাবে যোগ করে, যা easy-day-js@1.11.22-এর ম্যালিশিয়াস ভার্সনে স্বয়ংক্রিয়ভাবে রিজলভ হয়, এবং ইনস্টলেশনের হুকের মাধ্যমে অ্যাটাকার-নিয়ন্ত্রিত কোডটি ট্রিগার করে। সম্ভাব্য আক্রমণকারীর কার্যকলাপগুলির মধ্যে রয়েছে: ইনস্টলেশনের সময় কোড এক্সিকিউট করা, Windows/macOS/Linux-এ পারসিসটেন্স বজায় রাখা, ব্রাউজারের ইতিহাস সংগ্রহ করা, ক্রিপ্টোকারেন্সি ওয়ালেট এক্সটেনশনগুলির তালিকা তৈরি করা, পরবর্তী অপারেশনের মাধ্যমে ক্রেডেনশিয়াল বা CI/CD সিক্রেটগুলির প্রকাশ, এবং ডেটা লিক। যেকোনো প্রভাবিত ভার্সন ইনস্টল করা সিস্টেমের জন্য, এটিকে সম্ভাব্যভাবে আক্রান্ত হিসাবে বিবেচনা করুন: ম্যালিশিয়াস ভার্সন এবং easy-day-js অপসারণ, node_modules এবং প্যাকেজ ক্যাশে ডিলিট, known clean version (যাচাইকৃত lock file-এর মাধ্যমে) punরপুনঃইনস্টল, affected host-কে isolate, logs preserve, persistence traces remove,এবং npm, GitHub, cloud services, SSH/Git, CI/CD,এবং wallet-related credentials-এর credential rotation (যদি exposure-এর সম্ভাবনা থাকে)। (উৎস: Foresight News)