উত্তর কোরিয়ার হ্যাকাররা ক্ষতিকারক এনপিএম প্যাকেজের মাধ্যমে বিভারটেইল ম্যালওয়্যার ছড়িয়ে দিয়েছে
উত্তর কোরিয়ার হ্যাকারদের আক্রমণের এক নতুন ঢেউ দেখা দিয়েছে, যারা সফ্টওয়্যার ডেভেলপমেন্ট কমিউনিটিকে ক্ষতিকারক npm প্যাকেজের মাধ্যমে লক্ষ্য করে আক্রমণ করছে। চলমান Contagious Interview প্রচারণার সাথে যুক্ত এই প্যাকেজগুলি BeaverTail ম্যালওয়্যার, সেইসাথে একটি নতুন আবিষ্কৃত রিমোট অ্যাক্সেস ট্রোজান (RAT) লোডার সরবরাহ করার জন্য ডিজাইন করা হয়েছে। এই প্রচারণাটি ল্যাজারাস গ্রুপের সিস্টেমে অনুপ্রবেশ, সংবেদনশীল ডেটা চুরি এবং দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখার একটি বৃহত্তর প্রচেষ্টার অংশ।
সুচিপত্র
সনাক্তকরণ এড়াতে ব্যবহৃত অস্পষ্টকরণ কৌশল
সকেট সিকিউরিটি গবেষক কিরিল বয়চেঙ্কোর মতে, এই সর্বশেষ নমুনাগুলি হেক্সাডেসিমেল স্ট্রিং এনকোডিংকে একটি অস্পষ্ট কৌশল হিসেবে ব্যবহার করে, যা স্বয়ংক্রিয় সিস্টেম এবং ম্যানুয়াল কোড অডিট উভয়ের মাধ্যমেই সনাক্ত করা কঠিন করে তোলে। ম্যালওয়্যারের এড়িয়ে যাওয়ার কৌশলের এই আপডেটটি হুমকিদাতাদের নিরাপত্তা ব্যবস্থা এড়িয়ে যাওয়ার পদ্ধতিতে স্পষ্ট বিবর্তন দেখায়।
ডেভেলপার টুলের ছদ্মবেশে ক্ষতিকারক প্যাকেজগুলি
ক্ষতিকারক npm প্যাকেজগুলি অপসারণের আগে ৫,৬০০ বারেরও বেশি ডাউনলোড করা হয়েছিল। কিছু বিপজ্জনক প্যাকেজের মধ্যে ছিল empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log, এবং consolidate-logger। এই প্যাকেজগুলি বৈধ ইউটিলিটি বা ডিবাগার হিসেবে ছদ্মবেশ ধারণ করার উদ্দেশ্যে তৈরি করা হয়েছিল কিন্তু প্রকৃতপক্ষে ক্ষতিকারক পেলোড বহন করছিল।
ভুয়া চাকরির সাক্ষাৎকারের মাধ্যমে তথ্য চুরি করা
এই প্রকাশটি এক মাস আগে ঘটে যাওয়া একই ধরণের ঘটনার পরে ঘটেছিল যখন ছয়টি এনপিএম প্যাকেজ বিভারটেইলকে ছড়িয়ে দেওয়ার জন্য আবিষ্কৃত হয়েছিল, যা একটি জাভাস্ক্রিপ্ট চুরিকারী এবং ইনভিজিবলফেরেট নামে একটি পাইথন-ভিত্তিক ব্যাকডোরও সরবরাহ করেছিল। এই আক্রমণগুলির চূড়ান্ত লক্ষ্য হল চাকরির সাক্ষাৎকার প্রক্রিয়ার আড়ালে ডেভেলপার সিস্টেমে অনুপ্রবেশ করা। একবার প্রবেশ করার পরে, ম্যালওয়্যার সংবেদনশীল তথ্য চুরি করে, আর্থিক সম্পদ চুরি করে এবং হ্যাকারদের আপোস করা সিস্টেমগুলিতে অবিরাম অ্যাক্সেস বজায় রাখার সুযোগ দেয়।
ল্যাজারাস গ্রুপ এবং ফ্যান্টম সার্কিট ক্যাম্পেইনের লিঙ্ক
একটি উল্লেখযোগ্য প্যাকেজ, dev-debugger-vite, একটি কমান্ড-এন্ড-কন্ট্রোল (C2) ঠিকানা ব্যবহার করেছিল যা পূর্বে SecurityScorecard দ্বারা ফ্যান্টম সার্কিট নামে একটি প্রচারণায় Lazarus গ্রুপের সাথে সম্পর্কিত বলে চিহ্নিত করা হয়েছিল, যা ডিসেম্বর 2024 সালে সংঘটিত হয়েছিল। অন্যান্য প্যাকেজ, যেমন events-utils এবং icloud-cod, Bitbucket সংগ্রহস্থলের সাথে সংযুক্ত বলে পাওয়া গেছে, যা পূর্ববর্তী প্রচারণায় দেখা স্বাভাবিক GitHub লক্ষ্য থেকে ভিন্ন। এই পরিবর্তন, icloud-cod প্যাকেজের মধ্যে পাওয়া "eiwork_hire" ডিরেক্টরি সহ, ইঙ্গিত দেয় যে আক্রমণকারীরা সংক্রমণ সক্রিয় করার জন্য চাকরির সাক্ষাৎকার-সম্পর্কিত কৌশল ব্যবহার করে চলেছে।
সংক্রমণের সাফল্য সর্বাধিক করার জন্য একাধিক রূপ
cln-logger, node-clog, consolidate-log, এবং consolidate-logger সহ কিছু প্যাকেজের বিশ্লেষণে কোডের মধ্যে ছোটখাটো তারতম্য দেখা গেছে। এই পরিবর্তনগুলি ইঙ্গিত দেয় যে হুমকিদাতারা একাধিক ম্যালওয়্যার ভেরিয়েন্ট স্থাপন করে তাদের প্রচারণার সাফল্যের হার বাড়ানোর চেষ্টা করছে। এই পার্থক্য থাকা সত্ত্বেও, এই চারটি প্যাকেজ জুড়ে এমবেডেড কোডটি একটি RAT লোডার হিসাবে কাজ করে যা দূরবর্তী সার্ভার থেকে অতিরিক্ত পেলোড আনতে এবং কার্যকর করতে সক্ষম। এই পর্যায়ে, ম্যালওয়্যার লোড হওয়ার সঠিক প্রকৃতি অস্পষ্ট রয়ে গেছে, কারণ গবেষকরা যখন তদন্ত করেছিলেন তখন C2 এন্ডপয়েন্টগুলি আর পেলোড পরিবেশন করছিল না।
RAT লোডার সংক্রামিত সিস্টেমের রিমোট কন্ট্রোল সক্ষম করে
বয়চেঙ্কো ক্ষতিকারক কোডটিকে RAT ক্ষমতা সম্পন্ন একটি সক্রিয় লোডার হিসেবে বর্ণনা করেছেন, যা eval() ব্যবহার করে দূরবর্তী জাভাস্ক্রিপ্ট আনতে এবং চালাতে পারে। এই পদ্ধতিটি আক্রমণকারীদের তাদের পছন্দের যেকোনো ফলো-আপ ম্যালওয়্যার স্থাপন করতে দেয়, যা RAT লোডারকে নিজেই একটি উল্লেখযোগ্য হুমকি করে তোলে।
সংক্রামক সাক্ষাৎকার প্রচারণা ধীরগতির কোনও লক্ষণ দেখায় না
এই অনুসন্ধানগুলি Contagious Interview প্রচারণার স্থায়িত্বের উপর জোর দেয়। আক্রমণকারীরা ধীরগতির কোনও লক্ষণ দেখায়নি, তারা npm, GitHub এবং Bitbucket এর মতো বিভিন্ন প্ল্যাটফর্মে নতুন npm অ্যাকাউন্ট তৈরি এবং ক্ষতিকারক কোড স্থাপন অব্যাহত রেখেছে। তারা তাদের কৌশলগুলিকে বৈচিত্র্যময় করেছে, বিভিন্ন উপনামে নতুন ম্যালওয়্যার প্রকাশ করেছে, বিভিন্ন সংগ্রহস্থল ব্যবহার করেছে এবং নতুন RAT/লোডার ভেরিয়েন্টের পাশাপাশি BeaverTail এবং InvisibleFerret এর মতো সুপরিচিত ম্যালওয়্যার ভেরিয়েন্টগুলিকে কাজে লাগিয়েছে।
ডেভেলপার-লক্ষ্যযুক্ত ফিশিং আক্রমণে ট্রপিডুর ম্যালওয়্যারের আবির্ভাব
ইতিমধ্যে, দক্ষিণ কোরিয়ার সাইবার নিরাপত্তা সংস্থা AhnLab সম্প্রতি এই প্রচারণার আরেকটি দিক উন্মোচন করেছে। তারা একটি নিয়োগ-ভিত্তিক ফিশিং আক্রমণ সনাক্ত করেছে যা BeaverTail প্রদান করে, যা পরবর্তীতে Tropidoor নামক একটি পূর্বে নথিভুক্ত না করা উইন্ডোজ ব্যাকডোর স্থাপন করতে ব্যবহৃত হয়। Bitbucket-এ হোস্ট করা একটি npm লাইব্রেরির মাধ্যমে সরবরাহ করা এই ব্যাকডোরটি বিভিন্ন ধরণের ক্ষতিকারক কাজ সম্পাদন করতে সক্ষম। Tropidoor ফাইলগুলিকে এক্সফিল্ট্রেট করতে পারে, ড্রাইভ এবং ফাইল সম্পর্কে তথ্য সংগ্রহ করতে পারে, প্রক্রিয়া চালাতে পারে, স্ক্রিনশট ক্যাপচার করতে পারে এবং এমনকি NULL বা জাঙ্ক ডেটা দিয়ে ফাইলগুলি মুছে ফেলতে বা ওভাররাইট করতে পারে।
উন্নত ক্ষমতাগুলি পরিচিত ল্যাজারাস ম্যালওয়্যারের লিঙ্ক প্রস্তাব করে
AhnLab-এর বিশ্লেষণে দেখা গেছে যে Tropidoor একটি ডাউনলোডারের মাধ্যমে মেমোরিতে কাজ করে এবং নির্দেশাবলী গ্রহণের জন্য একটি C2 সার্ভারের সাথে যোগাযোগ করে। ম্যালওয়্যারটি সরাসরি schtasks, ping এবং reg-এর মতো উইন্ডোজ কমান্ড ব্যবহার করে, যা LightlessCan-এর মতো অন্যান্য Lazarus Group ম্যালওয়্যারেও দেখা গেছে। এই সংযোগটি বর্তমান কার্যকলাপকে উত্তর কোরিয়ান গ্রুপের সাথে আরও সংযুক্ত করে, যা অত্যাধুনিক সাইবার গুপ্তচরবৃত্তি কৌশল ব্যবহারের জন্য কুখ্যাত।
ডেভেলপারদের সাপ্লাই চেইন আক্রমণের বিরুদ্ধে সতর্ক থাকার আহ্বান জানানো হয়েছে
সাম্প্রতিক তথ্যগুলি ল্যাজারাস গ্রুপ এবং অন্যান্য APT অভিনেতাদের দ্বারা সৃষ্ট চলমান হুমকির উপর জোর দেয়। অজানা বা সন্দেহজনক উৎস থেকে প্যাকেজ ডাউনলোড করার সময় বা ফাইল খোলার সময় ডেভেলপার এবং ব্যবহারকারী উভয়কেই সতর্কতা অবলম্বন করতে হবে। এই আক্রমণগুলি ক্রমাগত বিকশিত হওয়ার সাথে সাথে, ফিশিং প্রচারণার বিরুদ্ধে সতর্ক থাকা এবং ক্ষতিকারক কোডের জন্য নির্ভরতা পরীক্ষা করা সংবেদনশীল তথ্য ভুল হাতে পড়া থেকে রক্ষা করার জন্য অত্যন্ত গুরুত্বপূর্ণ।