CVE-2025-55182

React2Shell দুর্বলতাকে প্রধান সংক্রমণ মাধ্যম হিসেবে ব্যবহার করে একটি বড় আকারের ক্রেডেনশিয়াল-হার্ভেস্টিং অভিযান শনাক্ত করা হয়েছে। এই অপারেশনটি দুর্বল Next.js অ্যাপ্লিকেশনগুলোকে লক্ষ্য করে, বিশেষত CVE-2025-55182-কে কাজে লাগায়। এটি একটি গুরুতর ত্রুটি যার CVSS স্কোর ১০.০ এবং যা React Server Components ও Next.js App Router-কে প্রভাবিত করে। এই ত্রুটি সফলভাবে কাজে লাগাতে পারলে রিমোট কোড এক্সিকিউশন সম্ভব হয়, যা আক্রমণকারীদের লক্ষ্যবস্তু করা সিস্টেমগুলোতে প্রাথমিক প্রবেশাধিকার পেতে সাহায্য করে।

নিরাপত্তা গবেষকরা এই কার্যকলাপের জন্য UAT-10608 নামে চিহ্নিত একটি থ্রেট ক্লাস্টারকে দায়ী করেছেন। এই ক্যাম্পেইনটি ইতোমধ্যে একাধিক ভৌগোলিক অঞ্চল এবং ক্লাউড পরিবেশ জুড়ে অন্তত ৭৬৬টি হোস্টকে ক্ষতিগ্রস্ত করেছে, যা এর ব্যাপকতা এবং কার্যক্রমের বিস্তৃতি উভয়ই প্রমাণ করে।

বৃহৎ পরিসরে স্বয়ংক্রিয় অনুপ্রবেশ: ব্যাপক ও নির্বিচার লক্ষ্যবস্তু নির্ধারণ

আক্রমণের ধরণটি অত্যন্ত স্বয়ংক্রিয় পর্যবেক্ষণ এবং দুর্বলতা কাজে লাগানোর কৌশলকে প্রতিফলিত করে। ধারণা করা হয়, আক্রমণকারীরা এই দুর্বলতার ঝুঁকিতে থাকা সর্বজনীনভাবে উন্মুক্ত Next.js ডেপ্লয়মেন্টগুলো শনাক্ত করতে Shodan, Censys-এর মতো বৃহৎ পরিসরের স্ক্যানিং টুল অথবা বিশেষভাবে তৈরি স্ক্যানারের ওপর নির্ভর করে।

এই নির্বিচার লক্ষ্যবস্তু নির্ধারণ কৌশলটি দুর্বল সিস্টেমগুলোকে দ্রুত শনাক্ত করতে সক্ষম করে, যা সিস্টেম লঙ্ঘনের সাফল্যের হার এবং পরিধি উল্লেখযোগ্যভাবে বাড়িয়ে দেয়।

বহু-পর্যায়ের পেলোড স্থাপন: অ্যাক্সেস থেকে ডেটা হার্ভেস্টিং পর্যন্ত

প্রাথমিক আক্রমণের পর, NEXUS Listener নামে পরিচিত একটি বহু-পর্যায়ের হার্ভেস্টিং ফ্রেমওয়ার্ক ইনস্টল করার জন্য একটি ড্রপার মোতায়েন করা হয়। এই ফ্রেমওয়ার্কটি স্বয়ংক্রিয় স্ক্রিপ্টগুলোকে পরিচালনা করে, যা সংক্রমিত সিস্টেমগুলো থেকে সংবেদনশীল ডেটা বের করে একটি কেন্দ্রীভূত কমান্ড-অ্যান্ড-কন্ট্রোল (C2) পরিকাঠামোতে পাচার করার জন্য ডিজাইন করা হয়েছে।

ফসল সংগ্রহের প্রক্রিয়াটি ব্যাপক এবং পদ্ধতিগতভাবে সংগ্রহ করে:

• পরিবেশ ভেরিয়েবল এবং JSON-পার্স করা রানটাইম কনফিগারেশন
• SSH প্রাইভেট কী এবং অনুমোদিত_কী ফাইল
• শেল কমান্ডের ইতিহাস এবং চলমান প্রক্রিয়ার বিবরণ
• কুবারনেটিস সার্ভিস অ্যাকাউন্ট টোকেন এবং ডকার কন্টেইনার কনফিগারেশন
• এপিআই কী, ডাটাবেস ক্রেডেনশিয়াল এবং ক্লাউড পরিষেবা গোপনীয়তা
• ক্লাউড মেটাডেটা পরিষেবা (AWS, Google Cloud, Microsoft Azure) থেকে প্রাপ্ত অস্থায়ী IAM ক্রেডেনশিয়াল

নেক্সাস লিসেনার: কেন্দ্রীভূত গোয়েন্দা তথ্য ও নিয়ন্ত্রণ

এই অপারেশনের কেন্দ্রবিন্দুতে রয়েছে নেক্সাস লিসেনার, যা আক্রমণকারীদের সি২ পরিকাঠামোতে হোস্ট করা একটি পাসওয়ার্ড-সুরক্ষিত ওয়েব-ভিত্তিক অ্যাপ্লিকেশন। এই ইন্টারফেসটি অপারেটরদের চুরি হওয়া ডেটা নিরীক্ষণ ও বিশ্লেষণ করার জন্য একটি বিশদ গ্রাফিক্যাল ড্যাশবোর্ড প্রদান করে।

প্ল্যাটফর্মটির প্রধান সক্ষমতাগুলো হলো:

• হ্যাক হওয়া হোস্ট এবং হাতিয়ে নেওয়া ক্রেডেনশিয়াল সম্পর্কে রিয়েল-টাইম তথ্য
• কার্যকরী ডেটা ফিল্টারিং এবং বিশ্লেষণের জন্য অনুসন্ধান কার্যকারিতা
• শংসাপত্রের প্রকারভেদ এবং পরিমাণ সম্পর্কিত সামগ্রিক পরিসংখ্যান
• অ্যাপ্লিকেশন আপটাইম এবং অপারেশনাল স্ট্যাটাসের মতো সিস্টেম মেট্রিক্স

বর্তমানে ব্যবহৃত সংস্করণ, NEXUS Listener V3, এর চলমান উন্নয়ন ও পরিমার্জনের ইঙ্গিত দেয়, যা একটি পরিণত এবং ক্রমবিকাশমান টুলসেটের পরিচায়ক।

উচ্চ-মূল্যের গোপনীয় তথ্যের ফাঁস: একটি বিপজ্জনক ডেটা ক্যাশে

কিছু ক্ষেত্রে, ভুলভাবে কনফিগার করা বা প্রমাণীকরণবিহীন NEXUS Listener প্যানেলগুলো বিভিন্ন ধরনের সংবেদনশীল ক্রেডেনশিয়াল ফাঁস করে দিয়েছে। এর মধ্যে রয়েছে Stripe-এর মতো আর্থিক পরিষেবা, OpenAI, Anthropic, এবং NVIDIA NIM-এর মতো কৃত্রিম বুদ্ধিমত্তা প্ল্যাটফর্ম, এবং SendGrid ও Brevo-সহ বিভিন্ন যোগাযোগ পরিষেবার সাথে যুক্ত API কী।

অতিরিক্ত ফাঁস হওয়া অ্যাসেটগুলোর মধ্যে রয়েছে টেলিগ্রাম বট টোকেন, ওয়েবহুক সিক্রেট, গিটহাব ও গিটল্যাব টোকেন এবং ডেটাবেস কানেকশন স্ট্রিং। ফাঁস হওয়া তথ্যের এই ব্যাপকতা পরবর্তী আক্রমণের সম্ভাবনাকে উল্লেখযোগ্যভাবে বাড়িয়ে তোলে।

কৌশলগত প্রভাব: সমগ্র অবকাঠামো বাস্তুতন্ত্রের মানচিত্র তৈরি

ব্যক্তিগত ক্রেডেনশিয়ালের বাইরেও, এই সম্মিলিত ডেটা ভুক্তভোগী পরিবেশের একটি বিশদ চিত্র প্রদান করে। এর মাধ্যমে আক্রমণকারীরা স্থাপন করা পরিষেবা, কনফিগারেশন প্যাটার্ন, ব্যবহৃত ক্লাউড প্রোভাইডার এবং থার্ড-পার্টি ইন্টিগ্রেশন সম্পর্কে ধারণা লাভ করে।

এই ধরনের গোয়েন্দা তথ্য অত্যন্ত সুনির্দিষ্ট পরবর্তী অভিযান পরিচালনায় সক্ষম করে, যার মধ্যে রয়েছে পার্শ্বীয় স্থানান্তর, বিশেষাধিকার বৃদ্ধি, সোশ্যাল ইঞ্জিনিয়ারিং প্রচারাভিযান, অথবা অন্যান্য হুমকি সৃষ্টিকারীদের কাছে প্রবেশাধিকার পুনঃবিক্রয়।

প্রতিরক্ষামূলক অপরিহার্যতা: ঝুঁকি হ্রাস এবং সংস্পর্শ সীমিতকরণ

এই অভিযানের ব্যাপকতা ও গভীরতা সক্রিয় নিরাপত্তা ব্যবস্থার প্রয়োজনীয়তা তুলে ধরে। ঝুঁকি কমাতে প্রতিষ্ঠানগুলোকে অবশ্যই কঠোর পরিবেশ নিরীক্ষা এবং পরিচয়পত্র ব্যবস্থাপনা পদ্ধতিকে অগ্রাধিকার দিতে হবে।

সুপারিশকৃত পদক্ষেপগুলোর মধ্যে রয়েছে:

• সকল ব্যবস্থা ও পরিষেবা জুড়ে ন্যূনতম বিশেষাধিকারের নীতি প্রয়োগ করা

ক্রমবর্ধমান স্বয়ংক্রিয় এবং বৃহৎ আকারের পরিচয়পত্র হাতিয়ে নেওয়ার কার্যক্রম প্রতিরোধের জন্য প্রবেশাধিকার নিয়ন্ত্রণ এবং নিরন্তর পর্যবেক্ষণের একটি সুশৃঙ্খল পদ্ধতি অপরিহার্য।