একটি নতুন ক্রিপ্টো চুরি অভিযান সবচেয়ে বেশি সম্ভাবনা রাখে এমন ডেভেলপারদের লক্ষ্য করছে, যাদের মেশিনে ওয়ালেট কী, ক্লাউড ক্রেডেনশিয়াল এবং প্রোডাকশন অ্যাক্সেস রয়েছে।
সিকিউরিটি ফার্ম সকেটের গবেষকরা এই সপ্তাহের শুরুতে বলেছেন যে তারা তিনটি প্রধান ওপেন-সোর্স প্রোগ্রামিং রেজিস্ট্রির মধ্যে ছড়িয়ে পড়া TrapDoor নামক একটি সাপ্লাই-চেইন আক্রমণ শনাক্ত করেছেন, যার মধ্যে ৩৪টিরও বেশি ক্ষতিকারক প্যাকেজ এবং শতাধিক সম্পর্কিত ভার্সন এবং আর্টিফ্যাক্টস রয়েছে।
একটি প্রধান বিষয় হল যে আক্রমণকারীরা আরও কেন্দ্রীয় হয়ে উঠছে। ব্যক্তিদের যাদের কাছে গুরুত্বপূর্ণ তথ্য রয়েছে, সেই বিষয়ে কাজ করা সামাজিক প্রযুক্তির পাশাপাশি, সাপ্লাই-চেইন আক্রমণগুলি যাদের উদ্দেশ্যে তৈরি করা হয়নি—সাধারণ খুচরা ব্যবহারকারীদের, বরং ডেভেলপারদের। এই ডেভেলপারদেরই সম্ভবত একই মেশিনে ওয়ালেট ফাইল, SSH কী, GitHub টোকেন, ক্লাউড ক্রেডেনশিয়াল এবং ক্রিপ্টো এবং AI টুল তৈরির জন্য ব্যবহৃত প্রোডাকশন অ্যাক্সেস রয়েছে।
সকেট কোনো পীড়িত বা চুরি করা অর্থের পরিচয় দেয়নি, তবে বলেছে যে প্যাকেজগুলি npm, PyPI এবং Crates.io-এ সক্রিয় ছিল এবং এগুলিতে ওয়ালেট ডেটা চুরি, ক্রেডেনশিয়াল বহির্বাহিত, AWS এবং GitHub টোকেন পরীক্ষা এবং অ্যাক্সেস সক্রিয় রাখার জন্য ফাইল রেখে যাওয়ার পেলোড ছিল।
জাভাস্ক্রিপ্ট, পাইথন এবং রাস্টে প্রোগ্রাম করা প্যাকেজগুলি ডেভেলপার হেল্পার, সিকিউরিটি স্ক্যানার, ওয়ালেট টুল, সলিডিটি ইউটিলিটি, এআই প্রম্পট প্যাকেজ এবং Sui বা Move বিল্ড হেল্পার হিসেবে আচ্ছাদিত ছিল।
নামগুলি প্রয়োজনীয়ভাবে একঘেয়ে ছিল। প্যাকেজগুলির নাম ছিল "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools" এবং "llm-context-compressor," যা এমন ছোট ছোট ইউটিলিটির মতো দেখাচ্ছিল যেগুলি একজন ক্রিপ্টো বা এআই ডেভেলপার বিনা ভাবেই ইনস্টল করতে পারেন।
তবে ইনস্টল করার পরে, পেলোডগুলি প্যাকেজ ডেটার চেয়ে অনেক বেশি টানার চেষ্টা করেছিল।
npm প্যাকেজগুলিতে, ম্যালওয়্যারটি একজন ডেভেলপারের মেশিনে প্রাইভেট কী, পাসওয়ার্ড, গিটহাব টোকেন এবং ক্লাউড লগইন খুঁজে বের করেছিল। এটি কিছু চুরি করা যাচাইকরণ তথ্য পরীক্ষা করেছিল, SSH কী এর মাধ্যমে অন্যান্য সিস্টেমে প্রবেশের চেষ্টা করেছিল এবং সংক্রমণটি সক্রিয় রাখতে পারে এমন ফাইলগুলি রেখে গিয়েছিল।
SSH কীগুলি হল ডেভেলপারদের দ্বারা সার্ভার, কোড রিপোজিটরি এবং অন্যান্য মেশিনে প্রবেশ করার জন্য ব্যবহৃত লগইন ফাইল। যদি এগুলি চুরি হয়ে যায়, তবে একজন আক্রমণকারী একটি ক্ষতিগ্রস্ত ল্যাপটপ থেকে কোম্পানির ব্যাপক ইনফ্রাস্ট্রাকচারে চলে যেতে পারে।
আক্রমণটি আরও .cursorrules এবং claude.md ফাইল ব্যবহার করে, যা ডেভেলপারদের জন্য এআই কোডিং টুলগুলিকে প্রকল্প-নির্দিষ্ট নির্দেশনা দেওয়ার অনুমতি দেয়। সকেট বলেছে যে অভিযানটি জিরো-উইডথ ইউনিকোড অক্ষর ব্যবহার করে লুকানো নির্দেশনা স্থাপন করেছে, যা ভবিষ্যতের এআই সহায়ক সেশনগুলিকে মিথ্যা “সিকিউরিটি স্ক্যান” চালানোর চেষ্টা করছে, যা গোপনীয়তা সংগ্রহ এবং বহির্বাহিত করছে।
এটি সাধারণ প্যাকেজ স্টিলারকে ডেভেলপার-পরিবেশ ম্যালওয়্যারের কাছাকাছি রূপ দিয়েছে। প্যাকেজ ইনস্টল করা শুধুমাত্র প্রথম ধাপ, আসল লক্ষ্য হল ওয়ার্কস্টেশন, যেমন ওয়ালেট, রিপো, ব্রাউজার ডেটা, ক্লাউড কী, SSH অ্যাক্সেস এবং পরবর্তীতে যেকোনো AI কোডিং টুল।
রাস্ট প্যাকেজগুলি সংকলনের সময় ক্ষতিকারক build.rs স্ক্রিপ্ট চালায়, যা sui এবং move ডেভেলপারদের লক্ষ্য করে। PyPI প্যাকেজগুলি ইমপোর্টের সময় রিমোট জাভাস্ক্রিপ্ট চালায়। npm-এর প্যাকেজগুলি postinstall হুক ব্যবহার করে।
সকেট বলেছে যে এটি প্রভাবিত রেজিস্ট্রিগুলিকে প্যাকেজগুলি জানিয়েছে এবং ক্যাম্পেইন প্যাকেজগুলিকে ক্ষতিকারক হিসাবে শ্রেণীবদ্ধ করেছে। কোম্পানিটি এছাড়াও সতর্ক করেছে যে আক্রমণকারী AI এবং ডেভেলপার প্রজেক্টগুলিতে পুল রিকোয়েস্ট খুলেছিল, যার মাধ্যমে সাধারণ ওপেন-সোর্স অবদানের পথে .cursorrules এবং CLAUDE.md ফাইলগুলি যোগ করার চেষ্টা করেছিল।