আপডেট ৩১ মার্চ, ২০২৬, দুপুর ১:২৮ UTC: এই নিবন্ধটি Hacken-এর সিনিয়র অফেন্সিভ সিকিউরিটি ইঞ্জিনিয়ার আবদেলফাত্তাহ ইব্রাহিমের মন্তব্য যোগ করার জন্য আপডেট করা হয়েছে।
দুটি ক্ষতিকারক Axios npm রিলিজ ডেভেলপারদের জন্য সতর্কতা জারি করেছে যাতে তারা ক্রেডেনশিয়াল পরিবর্তন করে এবং প্রভাবিত সিস্টেমগুলিকে আপসকৃত হিসাবে বিবেচনা করে, যখন একটি সাপ্লাই চেইন আক্রমণ জনপ্রিয় JavaScript HTTP ক্লায়েন্ট লাইব্রেরিকে বিষাক্ত করেছে।
আপসটি প্রথম সাইবার সিকিউরিটি কোম্পানি Socket দ্বারা রিপোর্ট করা হয়েছিল, যা বলেছে যে [email protected] এবং [email protected] পরিবর্তন করা হয়েছিল [email protected] টেনে আনার জন্য, একটি ক্ষতিকারক ডিপেন্ডেন্সি যা ইনস্টলেশনের সময় স্বয়ংক্রিয়ভাবে চলেছিল npm থেকে রিলিজগুলি সরানোর আগে।
সিকিউরিটি কোম্পানি OX Security অনুসারে, পরিবর্তিত কোডটি আক্রমণকারীদের সংক্রামিত ডিভাইসগুলিতে দূরবর্তী অ্যাক্সেস দিতে পারে, যা তাদের লগিন ক্রেডেনশিয়াল, API কী এবং ক্রিপ্টো ওয়ালেট তথ্যের মতো সংবেদনশীল ডেটা চুরি করতে দেয়।
ঘটনাটি দেখায় যে কীভাবে একটি একক আপসকৃত ওপেন-সোর্স উপাদান সম্ভাব্যভাবে হাজার হাজার অ্যাপ্লিকেশন জুড়ে প্রভাব ফেলতে পারে যা এর উপর নির্ভর করে, শুধুমাত্র ডেভেলপারদের নয় বরং সিস্টেমের সাথে সংযুক্ত প্ল্যাটফর্ম এবং ব্যবহারকারীদেরও উন্মুক্ত করে।
সিকিউরিটি কোম্পানিগুলি কী রোটেশন, সিস্টেম অডিটের আহ্বান জানায়
OX Security সতর্ক করেছে যে ডেভেলপাররা যারা [email protected] বা [email protected] ইনস্টল করেছেন তাদের সিস্টেমগুলিকে সম্পূর্ণভাবে আপসকৃত হিসাবে বিবেচনা করতে এবং অবিলম্বে ক্রেডেনশিয়াল পরিবর্তন করতে, যার মধ্যে API কী এবং সেশন টোকেন রয়েছে।
Socket বলেছে যে আপসকৃত Axios রিলিজগুলি [email protected]-এর উপর একটি ডিপেন্ডেন্সি অন্তর্ভুক্ত করার জন্য পরিবর্তন করা হয়েছিল, একটি পैकেज যা ঘটনার কিছুক্ষণ আগে প্রকাশিত হয়েছিল এবং পরে ক্ষতিকারক হিসাবে চিহ্নিত করা হয়েছিল।
সম্পর্কিত: Trust Wallet ব্রাউজার এক্সটেনশন Chrome Store 'বাগ' দ্বারা অফলাইন হয়ে গেছে, CEO বলেছেন
কোম্পানিটি বলেছে যে ডিপেন্ডেন্সিটি একটি পোস্ট-ইনস্টল স্ক্রিপ্টের মাধ্যমে ইনস্টলেশনের সময় স্বয়ংক্রিয়ভাবে চালানোর জন্য কনফিগার করা হয়েছিল, যা আক্রমণকারীদের অতিরিক্ত ব্যবহারকারী মিথস্ক্রিয়া ছাড়াই লক্ষ্য সিস্টেমে কোড সম্পাদন করতে দেয়।
Socket ডেভেলপারদের পরামর্শ দিয়েছে যে তারা তাদের প্রজেক্ট এবং ডিপেন্ডেন্সি ফাইলগুলি প্রভাবিত Axios সংস্করণ এবং সংশ্লিষ্ট [email protected] প্যাকেজের জন্য পর্যালোচনা করুন এবং অবিলম্বে যেকোনো আপসকৃত সংস্করণ সরিয়ে ফেলুন বা রোলব্যাক করুন।
Hacken-এর সিনিয়র অফেন্সিভ সিকিউরিটি ইঞ্জিনিয়ার আবদেলফাত্তাহ ইব্রাহিম Cointelegraph-কে বলেছেন যে আপসটি ক্রিপ্টো-সম্পর্কিত অ্যাপ্লিকেশনগুলির জন্য গুরুতর প্রভাব ফেলতে পারে যা ব্যাকএন্ড অপারেশনের জন্য Axios-এর উপর নির্ভর করে।
"এটি dapps এবং অ্যাপগুলির জন্য খারাপ খবর যা ক্রিপ্টোকারেন্সি নিয়ে কাজ করে কারণ Axios API কলগুলিতে একটি বিশাল ভূমিকা পালন করে," তিনি বলেছেন, উল্লেখ করে যে প্রভাবিত সিস্টেমগুলিতে এক্সচেঞ্জ ইন্টিগ্রেশন, ওয়ালেট ব্যালেন্স চেক এবং লেনদেন ব্রডকাস্ট অন্তর্ভুক্ত থাকতে পারে।
ইব্রাহিম বলেছেন যে আক্রমণে মোতায়েন করা ম্যালওয়্যার একটি সম্পূর্ণ রিমোট অ্যাক্সেস ট্রোজান হিসাবে কাজ করে, যা আক্রমণকারীদের আপসকৃত সিস্টেমগুলির সাথে সরাসরি ইন্টারঅ্যাক্ট করতে দেয়। তিনি যোগ করেছেন যে ঘটনাটি সাপ্লাই চেইন ঝুঁকিগুলি কীভাবে পরিচালনা করা হয় তার একটি বৃহত্তর দুর্বলতা তুলে ধরে।
পূর্ববর্তী ক্রিপ্টো ঘটনাগুলি সাপ্লাই চেইন ঝুঁকি তুলে ধরে
পূর্ববর্তী ক্রিপ্টো ঘটনাগুলি দেখিয়েছে যে কীভাবে সাপ্লাই চেইন লঙ্ঘন চুরি হওয়া ডেভেলপার তথ্য থেকে ব্যবহারকারী-মুখী ওয়ালেট ক্ষতি পর্যন্ত বৃদ্ধি পেতে পারে।
৩ জানুয়ারিতে, অনচেইন তদন্তকারী ZachXBT রিপোর্ট করেছেন যে Ethereum Virtual Machine-সামঞ্জস্যপূর্ণ নেটওয়ার্ক জুড়ে "শত শত" ওয়ালেট একটি বিস্তৃত আক্রমণে শুকিয়ে গেছে যা প্রতিটি শিকার থেকে ছোট পরিমাণ চুরি করেছে।
সাইবার সিকিউরিটি গবেষক ভ্লাদিমির এস বলেছেন যে ঘটনাটি সম্ভাব্যভাবে Trust Wallet-কে প্রভাবিত করে ডিসেম্বরের একটি লঙ্ঘনের সাথে যুক্ত ছিল, যার ফলে ২,৫০০-এর বেশি ওয়ালেট জুড়ে প্রায় $৭ মিলিয়ন ক্ষতি হয়েছিল।
Trust Wallet পরে বলেছে যে লঙ্ঘনটি তার ডেভেলপমেন্ট ওয়ার্কফ্লোতে ব্যবহৃত npm প্যাকেজগুলির সাথে জড়িত একটি সাপ্লাই চেইন আপস থেকে উদ্ভূত হতে পারে।
ম্যাগাজিন: কোয়ান্টাম সুরক্ষিত ক্রিপ্টোগ্রাফি কাজ করবে কিনা কেউ জানে না
উৎস: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
