গ্লাসওয়ার্ম ম্যালওয়্যার
গ্লাসওয়ার্ম ম্যালওয়্যার ক্যাম্পেইনের একটি নতুন ঢেউ চুরি করা গিটহাব টোকেন ব্যবহার করে শত শত রিপোজিটরিতে ক্ষতিকারক কোড প্রবেশ করিয়ে সফটওয়্যার সাপ্লাই চেইনকে সক্রিয়ভাবে লক্ষ্যবস্তু করছে। এই অভিযানটি প্রধানত পাইথন-ভিত্তিক প্রজেক্টগুলোকে কেন্দ্র করে পরিচালিত হচ্ছে, যার মধ্যে রয়েছে জ্যাঙ্গো অ্যাপ্লিকেশন, মেশিন লার্নিং গবেষণার কোড, স্ট্রিমলিট ড্যাশবোর্ড এবং পাইপিআই (PyPI) প্যাকেজ।
আক্রমণের পদ্ধতিটি আপাতদৃষ্টিতে সহজ হলেও অত্যন্ত কার্যকর: setup.py, main.py, এবং app.py-এর মতো সচরাচর ব্যবহৃত ফাইলগুলিতে দুর্বোধ্য ম্যালওয়্যার জুড়ে দেওয়া হয়। যে কোনো ডেভেলপার যিনি pip install-এর মাধ্যমে ডিপেন্ডেন্সি ইনস্টল করেন অথবা কোনো হ্যাক হওয়া রিপোজিটরি থেকে ক্লোন করা কোড চালান, তিনি অজান্তেই এই ক্ষতিকারক পেলোডটি সক্রিয় করে ফেলেন।
সুচিপত্র
নীরব রিপোজিটরি দখল: ফোর্সমেমো কৌশল
ক্যাম্পেইনের এই বিবর্তন, যা এখন ফোর্সমেমো নামে পরিচিত, রিপোজিটরি হ্যাক করার একটি গোপন পদ্ধতি চালু করেছে। এর মাধ্যমে আক্রমণকারীরা ডেভেলপার অ্যাকাউন্টে প্রবেশাধিকার লাভ করে এবং কোনো প্রচলিত চিহ্ন না রেখেই রিপোজিটরি পরিবর্তন করে।
বৈধ কমিটগুলোকে ক্ষতিকারক কোড দিয়ে রিবেস করে এবং সেগুলোকে ডিফল্ট ব্রাঞ্চে ফোর্স-পুশ করার মাধ্যমে, আক্রমণকারীরা মূল কমিটের মেটাডেটা—যার মধ্যে মেসেজ, লেখক এবং টাইমস্ট্যাম্প অন্তর্ভুক্ত—সংরক্ষণ করে, যা কার্যকরভাবে অনুপ্রবেশকে আড়াল করে। এই পদ্ধতিটি পুল রিকোয়েস্ট বা সন্দেহজনক কমিট হিস্টোরির মতো দৃশ্যমান নির্দেশকগুলোকে মুছে দেয়, ফলে শনাক্তকরণ উল্লেখযোগ্যভাবে আরও কঠিন হয়ে পড়ে।
আক্রমণ সম্পাদনের ক্রম: পরিচয়পত্র চুরি থেকে পেলোড সরবরাহ পর্যন্ত
ফোর্সমেমো অভিযানটি একটি সুসংগঠিত এবং বহু-পর্যায়ের অনুপ্রবেশ প্রক্রিয়া অনুসরণ করে:
- ডেভেলপার এনভায়রনমেন্টগুলো প্রাথমিকভাবে ক্ষতিকারক ভিজ্যুয়াল স্টুডিও কোড এবং কার্সর এক্সটেনশনের মাধ্যমে হ্যাক হয়, যেগুলোতে গ্লাসওয়ার্ম (GlassWorm) কম্পোনেন্ট থাকে এবং যা গিটহাব টোকেনসহ সংবেদনশীল ক্রেডেনশিয়াল হাতিয়ে নেওয়ার জন্য ডিজাইন করা হয়েছে।
- এরপর চুরি করা ক্রেডেনশিয়ালগুলো ব্যবহার করে হ্যাক হওয়া অ্যাকাউন্টটির সাথে যুক্ত সমস্ত রিপোজিটরির পাইথন ফাইলগুলোতে দুর্বোধ্য Base64-এনকোডেড পেলোড প্রবেশ করানো হয়।
- এমবেডেড ম্যালওয়্যারটি পরিবেশ পরীক্ষা করে এবং উল্লেখযোগ্যভাবে রাশিয়ান লোকেল দিয়ে কনফিগার করা সিস্টেমে এটি চালানো এড়িয়ে চলে। এরপর এটি পেলোড ডেলিভারি ইউআরএলটি ডায়নামিকভাবে পুনরুদ্ধার করার জন্য একটি সোলানা ব্লকচেইন ওয়ালেটে কোয়েরি করে।
- অতিরিক্ত পেলোড ডাউনলোড করা হয়, যার মধ্যে ক্রিপ্টোকারেন্সি চুরি এবং ডেটা পাচারের উদ্দেশ্যে তৈরি এনক্রিপ্টেড জাভাস্ক্রিপ্ট অন্তর্ভুক্ত থাকে।
ব্লকচেইন-ভিত্তিক কমান্ড ও নিয়ন্ত্রণ: একটি স্থিতিস্থাপক অবকাঠামো
এই ক্যাম্পেইনের একটি প্রধান বৈশিষ্ট্য হলো কমান্ড-অ্যান্ড-কন্ট্রোল (C2) ব্যবস্থা হিসেবে সোলানা ব্লকচেইনের উপর এর নির্ভরতা। আক্রমণকারীরা প্রচলিত সার্ভারের পরিবর্তে নির্দিষ্ট ওয়ালেট অ্যাড্রেসের সাথে যুক্ত ট্রানজ্যাকশন মেমো ফিল্ডের মধ্যে পেলোড ইউআরএল সংরক্ষণ করে।
বিশ্লেষণে দেখা গেছে যে, প্রাথমিক ওয়ালেটের সাথে যুক্ত কার্যকলাপ ২০২৫ সালের ২৭শে নভেম্বর থেকেই শুরু হয়েছিল, যা রিপোজিটরি হ্যাক হওয়ার কয়েক মাস আগের ঘটনা। ওয়ালেটটি কয়েক ডজন লেনদেন সম্পন্ন করেছে এবং এর পেলোড লোকেশনগুলো ঘন ঘন, এমনকি দিনে একাধিকবার আপডেট করা হয়েছে। এই বিকেন্দ্রীভূত পদ্ধতিটি প্রতিরোধ ক্ষমতা বাড়ায় এবং এটিকে নিষ্ক্রিয় করার প্রচেষ্টাকে আরও জটিল করে তোলে।
আক্রমণের পরিধি সম্প্রসারণ: এনপিএম এবং আন্তঃ-ইকোসিস্টেম সংক্রমণ
এই অভিযানটি পাইথন ইকোসিস্টেম ছাড়িয়ে জাভাস্ক্রিপ্ট সাপ্লাই চেইন পর্যন্ত বিস্তৃত হয়েছে। দুটি রিয়্যাক্ট নেটিভ এনপিএম প্যাকেজ, react-native-international-phone-number (ভার্সন ০.১১.৮) এবং react-native-country-select (ভার্সন ০.৩.৯১), সাময়িকভাবে হ্যাক হয়েছিল এবং এম্বেডেড ম্যালওয়্যারসহ বিতরণ করা হয়েছিল।
এই ক্ষতিকারক সংস্করণগুলো প্রি-ইনস্টল হুক চালু করে, যা দুর্বোধ্য জাভাস্ক্রিপ্ট কার্যকর করে এবং একই ধরনের সংক্রমণ শৃঙ্খল শুরু করে। ম্যালওয়্যারটি আবারও রাশিয়ান সিস্টেমগুলো এড়িয়ে চলে, একটি সোলানা ওয়ালেটের মাধ্যমে পেলোড নির্দেশাবলী সংগ্রহ করে এবং প্ল্যাটফর্ম-নির্দিষ্ট হুমকি প্রয়োগ করে।
eval() বা Node.js স্যান্ডবক্সিং-এর মতো রানটাইম কৌশল ব্যবহার করে এক্সিকিউশন সম্পূর্ণরূপে মেমরিতে সম্পন্ন হয়, ফলে ফরেনসিক প্রমাণের চিহ্ন প্রায় থাকে না বললেই চলে। এছাড়াও, একটি পার্সিস্টেন্স মেকানিজম স্থানীয়ভাবে একটি টাইমস্ট্যাম্প সংরক্ষণ করে ৪৮ ঘণ্টার মধ্যে পুনরায় সংক্রমণ প্রতিরোধ করে।
উন্নত এড়ানো এবং বিতরণ কৌশল
GlassWorm-এর সাম্প্রতিক সংস্করণগুলো এর বিতরণ ও গোপনীয়তার ক্ষেত্রে ক্রমবর্ধমান পরিশীলতা প্রদর্শন করে। extensionPack এবং extensionDependencies কৌশলগুলো কাজে লাগিয়ে আক্রমণকারীরা বিশ্বস্ত এক্সটেনশন ইকোসিস্টেমের মধ্য দিয়ে পর্যায়ক্রমে ক্ষতিকারক পেলোড ছড়িয়ে দেয়।
একই হুমকি সৃষ্টিকারীর সাথে যুক্ত পূর্ববর্তী অভিযানগুলো ক্ষতিকারক কোড লুকানোর জন্য অদৃশ্য ইউনিকোড অক্ষর ব্যবহার করে ১৫১টিরও বেশি গিটহাব রিপোজিটরি হ্যাক করেছিল। কোড গোপন ও বিতরণের কৌশলে ভিন্নতা থাকা সত্ত্বেও, সমস্ত অভিযান ধারাবাহিকভাবে একই সোলানা-ভিত্তিক পরিকাঠামোর উপর নির্ভর করে, যা একটি সমন্বিত কার্যপ্রণালীর কাঠামোকে নিশ্চিত করে।
ক্ষতিকর IDE এক্সটেনশন: ডেভেলপার পরিবেশকে লক্ষ্য করে
এই ক্যাম্পেইনটি reditorsupporter.r-vscode-2.8.8-universal নামক একটি ক্ষতিকর এক্সটেনশনের মাধ্যমে ডেভেলপমেন্ট টুলগুলোতেও অনুপ্রবেশ করেছে, যা উইন্ডসার্ফ আইডিই (Windsurf IDE)-কে লক্ষ্যবস্তু করেছে। এটি একটি আর (R) ল্যাঙ্গুয়েজ সাপোর্ট প্লাগইনের ছদ্মবেশে একটি নোড.জেএস (Node.js) ভিত্তিক তথ্য চোরকে স্থাপন করে।
একবার ইনস্টল হয়ে গেলে, এক্সটেনশনটি ব্লকচেইন লেনদেন থেকে এনক্রিপ্টেড পেলোড পুনরুদ্ধার করে, সেগুলোকে মেমরিতে কার্যকর করে এবং ক্রোমিয়াম-ভিত্তিক ব্রাউজার থেকে সংবেদনশীল ডেটা বের করার জন্য কম্পাইল করা উপাদানগুলো স্থাপন করে। নির্ধারিত টাস্ক এবং উইন্ডোজ রেজিস্ট্রি পরিবর্তনের মাধ্যমে এর স্থায়িত্ব নিশ্চিত করা হয়, যা সিস্টেম চালু হওয়ার সাথে সাথেই এর কার্যকর হওয়া নিশ্চিত করে।
এই ম্যালওয়্যারটি রাশিয়ান সিস্টেমগুলোকে বাদ দিয়ে বিশেষভাবে ডেভেলপার এনভায়রনমেন্টকে টার্গেট করে, যা অন্যান্য গ্লাসওয়ার্ম ভ্যারিয়েন্টগুলোতে দেখা আচরণেরই অনুরূপ।
মাত্রা এবং প্রভাবের সূচক
নিরাপত্তা বিশ্লেষণে দেখা গেছে যে, এই অভিযানটি ওপেন-সোর্স ইকোসিস্টেমের একটি উল্লেখযোগ্য অংশকে ঝুঁকিতে ফেলেছে এবং একাধিক প্ল্যাটফর্ম জুড়ে ৪৩৩টিরও বেশি প্রজেক্টকে প্রভাবিত করেছে। এর মধ্যে রয়েছে গিটহাব রিপোজিটরি (পাইথন এবং জাভাস্ক্রিপ্ট), ভিএস কোড এক্সটেনশন এবং এনপিএম লাইব্রেরি।
সংক্রমণের সমস্ত পথ শেষ পর্যন্ত একটি জাভাস্ক্রিপ্ট-ভিত্তিক তথ্য চোরের স্থাপনার দিকে অভিসারী হয়, যা ক্রেডেনশিয়াল সংগ্রহ এবং ডেটা পাচারের একটি অভিন্ন চূড়ান্ত লক্ষ্যকে তুলে ধরে।
- ৪৩৩টিরও বেশি নিশ্চিতভাবে ক্ষতিগ্রস্ত প্রজেক্ট এবং প্যাকেজ
- গিটহাব, এনপিএম এবং আইডিই এক্সটেনশন সহ একাধিক ডেলিভারি মাধ্যম
- পেলোড ডেলিভারির জন্য সোলানা ব্লকচেইন পরিকাঠামোর ধারাবাহিক ব্যবহার
- সকল সংস্করণে রাশিয়ান সিস্টেমের বারবার বর্জন
কৌশলগত মূল্যায়ন: সরবরাহ শৃঙ্খল আক্রমণের এক নতুন যুগ
ফোর্সমেমো ক্যাম্পেইনটি সফটওয়্যার সাপ্লাই চেইনের হুমকির একটি উল্লেখযোগ্য বৃদ্ধিকে নির্দেশ করে। এর গোপনীয় গিট হিস্ট্রি ম্যানিপুলেশন, ব্লকচেইন-ভিত্তিক সি২ পরিকাঠামো এবং ক্রস-প্ল্যাটফর্ম ইনফেকশন ভেক্টরের সংমিশ্রণ একটি উচ্চ স্তরের অপারেশনাল পরিপক্কতা প্রদর্শন করে।
ক্রমবিকাশমান ডেলিভারি পদ্ধতির পাশাপাশি অবকাঠামোর পুনঃব্যবহার এমন এক অভিযোজনক্ষম প্রতিপক্ষের ইঙ্গিত দেয়, যে তার স্থায়িত্ব ও প্রতিরোধ ব্যবস্থা বজায় রেখে আক্রমণের পরিধি বাড়াতে সক্ষম। বিচ্ছিন্ন অনুপ্রবেশ থেকে সমন্বিত, বহু-ইকোসিস্টেম অনুপ্রবেশের এই পরিবর্তন আধুনিক উন্নয়ন পরিবেশ এবং ওপেন-সোর্স কমিউনিটিগুলোর ক্রমবর্ধমান ঝুঁকির বিষয়টি তুলে ধরে।
