একটি সুরক্ষা গবেষক দল আবিষ্কার করেছেন যে, TrapDoor নামক একটি ম্যালওয়্যার অভিযান বিভিন্ন ওপেন-সোর্স সফটওয়্যার রিপোজিটরিতে ছড়িয়ে পড়ছে, যার প্রভাব পড়েছে ক্রিপ্টো এবং ব্লকচেইন ডেভেলপারদের প্রচলিত ডিপেন্ডেন্সি ইকোসিস্টেমে। আক্রমণকারীদের লক্ষ্য শুধুমাত্র স্থানীয় ফাইল নয়, বরং ওয়ালেট কী, ক্লাউড সার্ভিস যাচাইকরণ তথ্য, কোড রিপোজিটরি অ্যাক্সেস টোকেনসহ উচ্চমূল্যের ডেটা।
তিনটি ওপেন সোর্স রিপোজিটরিতে একসাথে ম্যালিশিয়াস প্যাকেজ দেখা গেছে
এই অভিযানটি npm, PyPI এবং Crates.io এর তিনটি প্রধান সফটওয়্যার প্যাকেজ ইকোসিস্টেমকে কভার করে। গবেষকদের মতে, 30 এর বেশি ম্যালওয়্যার প্যাকেজ শনাক্ত করা হয়েছে, যার সংশ্লিষ্ট প্রভাবিত সংস্করণ 300 এরও বেশি, এবং এগুলি খুব সংক্ষিপ্ত সময়ের মধ্যে কেন্দ্রীভূতভাবে প্রকাশিত হয়েছে।
প্রতিবেদনটি উল্লেখ করে যে, এই অভিযানটি প্রায় ২২ মে তারিখের দিকে তীব্রতর হয়ে উঠেছিল। একই সময়ে, ২০ মে তারিখে GitHub একটি অননুমোদিত অ্যাক্সেসের ঘটনার কথা জানিয়েছিল। বর্তমান তথ্যগুলি দেখায় যে, এই ক্ষতিকারক প্যাকেজগুলি এককভাবে আপলোড করা হয়নি, বরং এগুলি প্রাথমিকভাবে আবিষ্কারের সম্ভাবনা কমানোর জন্য বিভিন্ন অ্যাকাউন্ট দ্বারা ধাপে ধাপে স্থাপন করা হয়েছিল।
শুধু ইনস্টল এবং কম্পাইল পর্যায়েই ট্রিগার হবে
TrapDoor-এর প্রসারণ পদ্ধতি ডেভেলপারদের দৈনিক ব্যবহৃত ইনস্টল এবং বিল্ড প্রক্রিয়ার উপর নির্ভর করে। JavaScript প্যাকেজগুলি ডিপেন্ডেন্সি ইনস্টলের পরে post-install স্ক্রিপ্টের মাধ্যমে স্বয়ংক্রিয়ভাবে চালু হতে পারে; Python প্যাকেজগুলি ইমপোর্ট পর্যায়ে ট্রিগার হতে পারে; Rust প্যাকেজগুলি বিল্ড স্ক্রিপ্টের মাধ্যমে কম্পাইল সময়ে কার্যকর হতে পারে।
দুষ্টু কোড চালু হওয়ার পর, এটি স্থানীয় সিস্টেমের সংবেদনশীল তথ্য, যেমন SSH কী, API টোকেন, পরিবেশ চলক এবং সাধারণ কনফিগারেশন ফাইলগুলি স্ক্যান করে। কিছু নমুনা ব্রাউজারে সংরক্ষিত প্রমাণীকরণ তথ্যও পড়ে এবং চুরি করা ডেটা আক্রমণকারীর নিয়ন্ত্রিত বাহ্যিক সার্ভারে পাঠায়।
গবেষকদের মতে, কিছু নমুনা বুট প্রক্রিয়া পরিবর্তন বা ডেভেলপমেন্ট টুলসে ম্যালিশিয়াস হুক যোগ করার চেষ্টা করে পরবর্তী অ্যাক্সেসের জন্য টিকে থাকে।
ওয়ালেট, এমডব্লিউএস এবং গিটহাব কেন্দ্রীয় লক্ষ্য হয়ে উঠেছে
লক্ষ্য নির্বাচন থেকে বোঝা যায় যে এই আক্রমণটি স্পষ্টভাবে ক্রিপ্টো ডেভেলপমেন্ট পরিস্থিতিকে লক্ষ্য করেছে। ম্যালওয়্যারটি ক্রিপ্টো ওয়ালেট সংক্রান্ত ডেটা সংগ্রহ করে এবং AWS পাসওয়ার্ড এবং GitHub অ্যাক্সেস টোকেন অর্জনের চেষ্টা করে। এই তথ্যগুলি যদি প্রকাশিত হয়, তবে আক্রমণকারীরা প্রাইভেট কোড রিপোজিটরি, ডিপ্লয়মেন্ট প্রক্রিয়া এবং ব্যাকএন্ড সিস্টেমের সাথে আরও বেশি পরিচয় করতে পারে।
ক্লাউড এবং কোড অ্যাক্সেসের পাশাপাশি, SSH কীও একটি গুরুত্বপূর্ণ লক্ষ্য। যদি সংশ্লিষ্ট কী চুরি হয়, তাহলে আক্রমণকারীরা ডেভেলপারের ডিভাইসে প্রবেশ করতে পারে এবং এমনকি প্রডাকশন সার্ভারের সাথেও সংযোগ করতে পারে। ক্রিপ্টোপ্রজেক্টের জন্য, এর অর্থ হল ঝুঁকি শুধুমাত্র ব্যক্তিগত টার্মিনালেই সীমাবদ্ধ থাকবে না, বরং এটি অবকাঠামো এবং রিলিজ চেইনের দিকেও ছড়িয়ে পড়তে পারে।
এআই কোডিং টুলগুলিও আক্রমণ চেইনে অন্তর্ভুক্ত করা হয়েছে
এই অভিযানের অন্যতম বৈশিষ্ট্য হল এআই-সহায়িত ডেভেলপমেন্ট পরিবেশ ব্যবহার শুরু করা। কিছু ম্যালওয়্যার প্যাকেজে .cursorrules, CLAUDE.md ইত্যাদি কনফিগারেশন ফাইল অন্তর্ভুক্ত রয়েছে, যা এআই কোডিং সহায়কের প্রকল্প নির্দেশগুলির বোঝার এবং বাস্তবায়নের উপর প্রভাব ফেলার উদ্দেশ্যে।
রিপোর্ট অনুসারে, আক্রমণকারীরা শুধুমাত্র প্রাচীন ম্যালওয়্যার কোড এক্সিকিউশনের উপর নির্ভর করেননি, বরং এআই টুলগুলির ওয়ার্কফ্লো ব্যবহার করে সংবেদনশীল তথ্য প্রকাশ বা অনুপযুক্ত কাজ সম্পাদনের চেষ্টা করেছে। এটি দেখায় যে সাপ্লাই চেইন আক্রমণগুলি এখন কোড লেভেল থেকে ডেভেলপারদের ব্যবহৃত অটোমেশন টুলচেইনের দিকে বিস্তৃত হচ্ছে।