৫৬,০০০ ইনস্টলেশনের পরেও WhatsApp API-এর ছদ্মবেশে ক্ষতিকারক npm প্যাকেজ নীরবে অ্যাকাউন্ট হাইজ্যাক করে

হোম » পাইথন » ৫৬,০০০ ইনস্টলেশনের পরেও WhatsApp API-এর ছদ্মবেশে ক্ষতিকারক npm প্যাকেজ নীরবে অ্যাকাউন্ট হাইজ্যাক করে

আপাতদৃষ্টিতে নিরীহ npm প্যাকেজটি WhatsApp ওয়েব API সহায়ক হিসেবে বিজ্ঞাপিত হয়েছে সন্দেহাতীত ডেভেলপার এবং তাদের ব্যবহারকারীদের কাছ থেকে চ্যাট, পরিচিতি এবং অ্যাক্সেস শংসাপত্র চুপিচুপি চুরি করার অভিযোগে ধরা পড়েছে। লাইব্রেরি, যা " "কমলফল", অফিসিয়াল এনপিএম রেজিস্ট্রিতে মাসের পর মাস উপলব্ধ ছিল এবং গুরুতর তদন্তের আগে ৫৬,০০০ এরও বেশি ডাউনলোড সংগ্রহ করতে সক্ষম হয়েছিল।

একাধিক স্বাধীন লেখা এবং বিস্তারিত তদন্ত অনুসারে কোই সিকিউরিটি, প্যাকেজটি পৃষ্ঠতলে একটি সাধারণ WhatsApp অটোমেশন টুলকিটের মতো আচরণ করে, কিন্তু পটভূমিতে এটি প্রতিটি বার্তা আটকে দেয়, অ্যাকাউন্টের তথ্য সংগ্রহ করে এবং একটি স্থায়ী ব্যাকডোর স্থাপন করে যেহেতু ক্ষতিকারক আচরণটি বৈধ কার্যকারিতার সাথে জড়িত, তাই অনেক প্রকল্প স্পষ্টতই কোনও ভুল লক্ষ্য না করেই এটিকে একীভূত করতে পারত।

কীভাবে নকল হোয়াটসঅ্যাপ ওয়েব এপিআই প্যাকেজটি এনপিএম-এ চলে গেল

ক্ষতিকারক লাইব্রেরিটি ২০২৫ সালের মে মাসের দিকে npm-এ প্রকাশিত হয়েছিল, যা একজন ব্যবহারকারী আপলোড করেছিলেন “সিরেন_প্রিমরোজ” এবং WhatsApp ওয়েবের সাথে ইন্টারঅ্যাক্ট করার জন্য একটি সুবিধাজনক API হিসেবে বর্ণনা করা হয়েছে। আড়ালে, এটি একটি জনপ্রিয় ওপেন-সোর্স প্রকল্পের কাঁটা @whiskeysockets/baileys, একটি টাইপস্ক্রিপ্ট/জাভাস্ক্রিপ্ট লাইব্রেরি যা হোয়াটসঅ্যাপ ওয়েবের উপরে বট এবং অটোমেশন তৈরির জন্য একটি ওয়েবসকেট-ভিত্তিক API অফার করে।

বেইলির জনসাধারণের সাথে যোগাযোগ এবং আচরণের ঘনিষ্ঠ প্রতিফলন ঘটিয়ে, হুমকি অভিনেতা নিশ্চিত করেছেন যে ডেভেলপাররা ন্যূনতম পরিবর্তন সহ প্যাকেজটি বিদ্যমান কর্মপ্রবাহে ফেলে দিতে পারে। ডকুমেন্টেশন এবং নামকরণকে বৈধ দেখানোর জন্য তৈরি করা হয়েছিল, যার ফলে ব্যস্ত দলগুলির এর উৎপত্তি নিয়ে প্রশ্ন তোলার সম্ভাবনা হ্রাস পায়, বিশেষ করে npm ব্যবহারের সংখ্যাগুলি প্রায়শই বিশ্বাসের জন্য প্রক্সি হিসাবে কাজ করে তা বিবেচনা করে।

প্রায় অর্ধেক বছর ধরে, প্যাকেজটি জমেছে মোট ৫৬,০০০ এরও বেশি ইনস্টল এবং সাপ্তাহিক শত শত ডাউনলোডসেই সময়কালে এটি অফিসিয়াল রেজিস্ট্রি থেকে অনুসন্ধানযোগ্য এবং ইনস্টলযোগ্য ছিল, যা কার্যকরভাবে জাভাস্ক্রিপ্টের মাধ্যমে হোয়াটসঅ্যাপ কার্যকারিতা সংহত করে এমন যেকোনো অ্যাপ্লিকেশনের জন্য একটি নীরব সরবরাহ-শৃঙ্খল হুমকিতে পরিণত হয়েছিল।

গবেষকরা জোর দিয়ে বলেন যে npm প্রকাশনার মৌলিক প্রক্রিয়া সম্পর্কে কিছুই এই আপলোডটিকে বাধা দেয়নি: যেকোনো ব্যবহারকারী পেশাদার-সাউন্ডিং নামের সাথে একটি প্যাকেজ প্রকাশ করতে পারেন, একটি পরিচিত প্রকল্পের API অনুলিপি করতে পারেন এবং অবিলম্বে দৃশ্যমানতা অর্জন করতে পারেন। এই ক্ষেত্রে আক্রমণকারীরা ঠিক সেই বাস্তবতাকেই কাজে লাগিয়েছে।

হোয়াটসঅ্যাপ ডেটা ক্যাপচার করার জন্য ওয়েবসকেট ক্লায়েন্টের অপব্যবহার করা

আক্রমণের মূল রহস্য হলো লোটাসবেইল কীভাবে বৈধ ওয়েবসকেট ক্লায়েন্টকে মোড়ানো যা হোয়াটসঅ্যাপের ওয়েব প্রোটোকলের সাথে কথা বলে. স্ক্র্যাচ থেকে একটি নতুন ইন্টারফেস তৈরি করার পরিবর্তে, প্যাকেজটি স্ট্যান্ডার্ড বেইলি ওয়েবসকেট বাস্তবায়নের চারপাশে একটি কাস্টম কন্টেইনার ইন্টারপোজ করে, যা প্রতিটি ইনবাউন্ড এবং আউটবাউন্ড বার্তা প্রথমে ম্যালওয়্যারের মধ্য দিয়ে যেতে দেয়।

কোই সিকিউরিটির বিশ্লেষণ ব্যাখ্যা করে যে একবার একজন ডেভেলপার এই লাইব্রেরির মাধ্যমে হোয়াটসঅ্যাপের সাথে প্রমাণীকরণ করলে, র‍্যাপারটি তাৎক্ষণিকভাবে প্রমাণীকরণ টোকেন এবং সেশন কী ধরে ফেলে। এরপর থেকে, সংযোগের মধ্য দিয়ে প্রবাহিত প্রতিটি বার্তা - ইনকামিং বা আউটগোয়িং - স্বচ্ছভাবে আক্রমণকারীর পরিকাঠামোতে প্রতিফলিত হয়।

এই মিররিং প্লেইন টেক্সট চ্যাটের বাইরেও বিস্তৃত। প্যাকেজটি তৈরি করা হয়েছে যাতে বার্তার ইতিহাস, যোগাযোগের তালিকা এবং সমস্ত সংযুক্ত মিডিয়া ফাইলগুলি এক্সফিল্ট্রেট করুন, যার মধ্যে রয়েছে ছবি, ভিডিও, অডিও ক্লিপ এবং নথি। কার্যত, এটি ব্যবহারকারীর কথোপকথনের পরিবেশ ক্লোন করে: তারা কার সাথে কথা বলে, তারা কী পাঠায় এবং কী গ্রহণ করে।

গুরুত্বপূর্ণভাবে, এর কোনওটিই ডেভেলপারদের প্রত্যাশার স্বাভাবিক আচরণের লঙ্ঘন করে না। অফিসিয়াল কার্যকারিতা এখনও সঠিকভাবে কাজ করছে বলে মনে হচ্ছে, বটগুলি সাড়া দিতে থাকে, অটোমেশনগুলি যথারীতি চলে এবং হোয়াটসঅ্যাপ সেশনগুলি স্থিতিশীল থাকে। ম্যালওয়্যারটি কেবল সেই জিনিসগুলি যোগ করে যা একজন গবেষক বর্ণনা করেছেন। "সবকিছুর জন্য দ্বিতীয়, অদৃশ্য প্রাপক", যা সাধারণ পর্যবেক্ষণের মাধ্যমে সনাক্তকরণকে অত্যন্ত অসম্ভব করে তোলে।

এই সবকিছুই API-এর সাধারণ ব্যবহারের মাধ্যমে ট্রিগার করা হয়। ভুক্তভোগীকে অতিরিক্ত কমান্ড চালানোর বা বিশেষ ফ্ল্যাগ সক্রিয় করার কোনও প্রয়োজন নেই; গুপ্তচরবৃত্তির ক্ষমতা সক্রিয় করার জন্য প্রমাণীকরণ এবং নিয়মিত বার্তা পরিচালনা যথেষ্ট।, যে কারণে প্রচারণাটি কয়েক মাস ধরে অজ্ঞাতভাবে পরিচালিত হতে পেরেছিল।

গোপন ব্যাকডোর অ্যাক্সেস: আক্রমণকারীর ডিভাইস জোড়া লাগানো

তথ্য চুরির বাইরেও, লোটাসবেইল আরও একটি ছলনাময়ী ক্ষমতা প্রবর্তন করে: এটি নীরবে আক্রমণকারীর দ্বারা নিয়ন্ত্রিত একটি ডিভাইসকে ভুক্তভোগীর হোয়াটসঅ্যাপ অ্যাকাউন্টের সাথে যুক্ত করে। এটি একই মাল্টি-ডিভাইস পেয়ারিং ওয়ার্কফ্লো ব্যবহার করে যা বৈধ ব্যবহারকারীরা তাদের অ্যাকাউন্টে অতিরিক্ত ফোন বা ডেস্কটপ সংযোগ করার জন্য নির্ভর করে।

লগইন প্রক্রিয়ার সময়, ম্যালওয়্যারটি একটি লুকানো পেয়ারিং রুটিন ট্রিগার করে। গবেষকরা জানিয়েছেন যে কোডটি আট অক্ষরের একটি র‍্যান্ডম স্ট্রিং তৈরি করে এবং এটি হোয়াটসঅ্যাপের ডিভাইস-লিঙ্কিং মেকানিজমে ফিড করে, ক্ষতিকারক প্যাকেজে এমবেড করা একটি হার্ড-কোডেড পেয়ারিং ফ্লো দিয়ে স্ট্যান্ডার্ড প্রক্রিয়া হাইজ্যাক করা।

একবার সেই পেয়ারিং সম্পন্ন হলে, আক্রমণকারীর ডিভাইস কার্যকরভাবে লক্ষ্য অ্যাকাউন্টের আরেকটি অনুমোদিত ক্লায়েন্ট হয়ে ওঠে। তারপর থেকে, হুমকিদাতারা বার্তা পড়তে এবং পাঠাতে পারে, পরিচিতি দেখতে পারে এবং মিডিয়া অ্যাক্সেস করতে পারে যেন তারা অ্যাকাউন্টের মালিক। - এবং তারা মূল, ক্ষতিকারক প্যাকেজটির উপস্থিতির উপর নির্ভর না করেই তা করতে পারে।

এটিই আক্রমণটিকে তার স্থায়িত্ব দেয়। এমনকি যদি একজন নিরাপত্তা-সচেতন ডেভেলপার সন্দেহজনক নির্ভরতা চিহ্নিত করে এবং প্রকল্প থেকে এটি সরিয়ে দেয়, আপসটি স্বয়ংক্রিয়ভাবে পূর্বাবস্থায় ফেরানো হয় না। ক্ষতিকারক npm কোডটি চলে যেতে পারে, কিন্তু আক্রমণকারীর লিঙ্ক করা ডিভাইসটি সক্রিয় থাকে যতক্ষণ না এটি WhatsApp এর বিশ্বস্ত সেশনের তালিকা থেকে স্পষ্টভাবে সরানো হয়।

বিশেষজ্ঞরা জোর দিয়ে বলেন যে এই বৈশিষ্ট্যটি ঘটনাটিকে কেবল একটি সাধারণ প্যাকেজ-স্তরের সংক্রমণের চেয়েও বেশি কিছু করে তোলে: এটি একটি npm ভুলকে সম্পূর্ণ অ্যাকাউন্ট দখলে পরিণত করে যা পরিষ্কারের পরেও টিকে থাকে, এবং দুর্বল সফ্টওয়্যার আপডেট হওয়ার অনেক পরেও এটি শেষ ব্যবহারকারীদের সংস্পর্শে আসতে পারে।

ম্যালওয়্যারটি ঠিক কী চুরি করে - এবং কীভাবে এটি লুকিয়ে রাখে

কোই সিকিউরিটি এবং অন্যান্য গবেষকদের প্রযুক্তিগত নোটগুলি সংগৃহীত তথ্যের একটি বিশদ চিত্র তুলে ধরে। লোটাসবেল প্যাকেজটি প্রোগ্রাম করা হয়েছে যাতে বিভিন্ন ধরণের সংবেদনশীল WhatsApp শিল্পকর্ম সংগ্রহ করুন, কেবল বার্তা সংস্থাগুলির বাইরেও।

লক্ষ্যবস্তু আইটেমগুলির মধ্যে রয়েছে প্রমাণীকরণ টোকেন, সেশন কী এবং পেয়ারিং কোড ক্লায়েন্ট এবং হোয়াটসঅ্যাপের সার্ভারের মধ্যে সংযোগ বজায় রাখতে ব্যবহৃত হয়। হাতে থাকা জিনিসগুলি ব্যবহার করে, আক্রমণকারীরা নির্দিষ্ট ডিভাইসগুলি পুনরায় বুট করার পরেও বা সফ্টওয়্যার পুনরায় ইনস্টল করার পরেও সেশনগুলি পুনরায় তৈরি করতে বা বজায় রাখতে পারে।

ম্যালওয়্যারটিও টানে পরিচিতি এবং গ্রুপ সদস্যপদগুলির সম্পূর্ণ তালিকা, হুমকিদাতাদের একজন ভুক্তভোগীর সামাজিক গ্রাফ ম্যাপ করতে, উচ্চ-মূল্যবান লক্ষ্যগুলি সনাক্ত করতে বা অতিরিক্ত অ্যাকাউন্টের দিকে পরিচালিত করতে সক্ষম করে। বার্তার বিষয়বস্তুর সাথে মিলিত হয়ে, এটি প্রতিপক্ষদের সম্পর্ক, ব্যবসায়িক প্রক্রিয়া এবং ব্যক্তিগত কথোপকথনের একটি বিস্তৃত দৃষ্টিভঙ্গি দেয়।

হোয়াটসঅ্যাপের মাধ্যমে আদান-প্রদান করা ফাইলগুলিও একইভাবে প্রকাশিত হয়। যেহেতু মোড়কটি প্রতিটি ওয়েবসকেট ফ্রেম দেখতে পায়, তাই এটি ছবি, ভিডিও, ভয়েস নোট এবং নথির জন্য মেটাডেটা এবং পেলোড ক্যাপচার করুন ক্লায়েন্ট দ্বারা ডিক্রিপ্ট এবং রেন্ডার করার আগে। তারপর সেই উপাদানটি আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে এক্সফিল্ট্রেশনের জন্য প্রস্তুত করা হয়।

নেটওয়ার্ক স্তরে সহজে সনাক্তকরণ এড়াতে, প্যাকেজটি ব্যবহার করে RSA এনক্রিপশনের একটি সম্পূর্ণ, কাস্টম বাস্তবায়ন। আপোসকৃত পরিবেশ থেকে বেরিয়ে আসার আগে, সমস্ত ক্যাপচার করা ডেটা স্থানীয়ভাবে এনক্রিপ্ট করা হয়, যার অর্থ হল অনুপ্রবেশ সনাক্তকরণ সিস্টেম বা নেটওয়ার্ক মনিটর যারা গভীর প্যাকেট পরিদর্শনের উপর নির্ভর করে তারা দূরবর্তী প্রান্তে স্থানান্তরিত অস্বচ্ছ এনক্রিপ্টেড ব্লবগুলি ছাড়া আর কিছুই দেখতে পাবে না।

তার উপরে, ম্যালওয়্যারটি অন্তর্ভুক্ত করে নিরাপত্তা বিশ্লেষকদের হতাশ করার লক্ষ্যে অ্যান্টি-ডিবাগিং প্রতিরক্ষা ব্যবস্থা। রিপোর্টগুলি এমন লজিক বর্ণনা করে যা সাধারণ ডিবাগিং বা বিশ্লেষণের পরিস্থিতি সনাক্ত করে এবং কোডটিকে একটি অসীম লুপে ঠেলে সাড়া দেয়, কার্যকরভাবে প্রক্রিয়াটি লক আপ করে এবং গতিশীল পরিদর্শনকে আরও কঠিন করে তোলে।

npm প্যাকেজ আনইনস্টল করার পরেও ঝুঁকি অব্যাহত থাকে

এই ঘটনার আরও বিপরীতমুখী দিকগুলির মধ্যে একটি হল যে কোনও প্রকল্প থেকে ক্ষতিকারক নির্ভরতা অপসারণ করলে প্রভাবিত হোয়াটসঅ্যাপ অ্যাকাউন্টগুলি স্বয়ংক্রিয়ভাবে সুরক্ষিত হয় না। পেয়ারিং প্রক্রিয়ার মাধ্যমে তৈরি স্থায়ী লিঙ্কটি নিশ্চিত করে যে আক্রমণকারীর অ্যাক্সেস আনইনস্টলেশন থেকে বেঁচে যায়।

নিরাপত্তা দলগুলি তুলে ধরে যে লোটাসবেল হোয়াটসঅ্যাপের মাল্টি-ডিভাইস মডেলটি কীভাবে ডিজাইন করা হয়েছে তার সুবিধা নেয়: একবার একটি ডিভাইস সফলভাবে সংযুক্ত হয়ে গেলে, মালিক ম্যানুয়ালি এটি প্রত্যাহার না করা পর্যন্ত এটি বার্তা এবং অ্যাকাউন্ট আপডেট পেতে থাকে। অ্যাপের সেটিংসে। npm প্যাকেজ বা হোস্টিং অ্যাপ্লিকেশনের জীবনচক্রের সাথে কোনও স্বয়ংক্রিয় সময়সীমা আবদ্ধ নেই।

ফলস্বরূপ, এমনকি যারা পরিশ্রমী ডেভেলপাররা লাইব্রেরি শনাক্ত করে এবং মুছে ফেলে, তারা তাদের ব্যবহারকারীদের উন্মুক্ত করে দিতে পারে যদি তারা তাদের নির্দেশ না দেয় যে WhatsApp-এর ভিতরে লিঙ্ক করা ডিভাইসের তালিকা পর্যালোচনা করুন।. ঐ তালিকায় কোন অপরিচিত সেশন দেখা দিলে তা অবিলম্বে সংযোগ বিচ্ছিন্ন করা উচিত।

তদন্তকারীরা জোর দিয়ে বলেন যে এই সূক্ষ্মতা সংস্থাগুলির প্রতিকার সম্পর্কে কীভাবে চিন্তা করা উচিত তা পরিবর্তন করে। এটি আর যথেষ্ট নয় বিল্ড পাইপলাইন এবং সার্ভার থেকে ক্ষতিকারক কোড মুছে ফেলুন; ঘটনার প্রতিক্রিয়া অবশ্যই সেই অ্যাপ্লিকেশন ইকোসিস্টেমের সাথেও প্রসারিত হতে হবে যার সাথে কোডটি ইন্টারঅ্যাক্ট করেছে - এই ক্ষেত্রে, যে হোয়াটসঅ্যাপ অ্যাকাউন্টগুলি আপোস করা সেশনের সাথে সংযুক্ত ছিল।

বাস্তবিক অর্থে, ক্ষতিগ্রস্ত প্রকল্পগুলির প্রয়োজন হতে পারে ব্যবহারকারীদের অবহিত করুন এবং WhatsApp ক্রেডেনশিয়ালগুলি ঘোরান, পরিচিত-ভালো সরঞ্জামগুলির মাধ্যমে সেশনগুলি পুনঃস্থাপন করুন এবং যাচাই করুন যে কোনও আক্রমণকারী-নিয়ন্ত্রিত ডিভাইস উৎপাদন বা পরীক্ষায় ব্যবহৃত কোনও অ্যাকাউন্টে অনুমোদিত নয়।

পদ্মবেশ কে আবিষ্কার করেছিলেন এবং কীভাবে এটি তদন্ত করা হয়েছিল

প্রচারণাটি আলোয় এসেছে কারণ গবেষক টুভাল আদমনির নেতৃত্বে কোই সিকিউরিটি, যা প্যাকেজের আচরণের একটি গভীর বিশ্লেষণ প্রকাশ করেছে। গবেষকের অতিরিক্ত মন্তব্য ইদান দারদিকম্যান এটি স্পষ্ট করতে সাহায্য করেছে যে ম্যালওয়্যারটি ওয়েবসকেট ক্লায়েন্টের চারপাশে একটি স্বচ্ছ মোড়কের মতো আচরণ করে, স্বাভাবিক প্রমাণীকরণ এবং বার্তা প্রবাহ শুরু হওয়ার সাথে সাথেই সক্রিয় হয়ে যায়।

অ্যাডমনি স্পষ্ট ভাষায় হুমকিটির সারসংক্ষেপ তুলে ধরেন: প্যাকেজটি হোয়াটসঅ্যাপের ক্রেডেনশিয়াল চুরি করে, প্রতিটি বার্তা আটকে দেয়, পরিচিতি সংগ্রহ করে, একটি স্থায়ী ব্যাকডোর ইনস্টল করে এবং পাঠানোর আগে সবকিছু এনক্রিপ্ট করে। আক্রমণকারী-নিয়ন্ত্রিত সার্ভারের কাছে। গোপনতা, প্রশস্ততা এবং অধ্যবসায়ের এই সমন্বয়ই এটিকে একটি সাধারণ উপদ্রব থেকে একটি গুরুতর সরবরাহ-শৃঙ্খলের ঘটনায় উন্নীত করে।

শুধুমাত্র স্ট্যাটিক বিশ্লেষণ ঝুঁকি চিহ্নিত করার জন্য অপর্যাপ্ত প্রমাণিত হয়েছে। কারণ কোডবেস বৈধ লাইব্রেরির মতো একই ইন্টারফেস এবং বেসলাইন আচরণ প্রকাশ করে, খ্যাতি-ভিত্তিক সংকেত যেমন ডাউনলোড সংখ্যা, তারকা রেটিং বা মৌলিক লিন্টিং এটিকে আসল টুলিং থেকে আলাদা করতে খুব কমই সাহায্য করে।ক্ষতিকারক সংযোজন সত্ত্বেও, প্যাকেজটি স্পষ্ট দৃষ্টিতে দেখা যেতে সক্ষম হয়েছিল।

গবেষকরা আরও উল্লেখ করেছেন যে ম্যালওয়্যারের মধ্যে থাকা অ্যান্টি-অ্যানালাইসিস কৌশলগুলি রিভার্স ইঞ্জিনিয়ারিংকে ধীর করে দেয়, এর ক্ষমতা সম্পূর্ণরূপে চিহ্নিত করার জন্য আরও সতর্ক যন্ত্র এবং স্যান্ডবক্সিং প্রয়োজন। প্রতিবেদনটি প্রকাশিত হওয়ার সময়, প্রচারণাটি ইতিমধ্যে বেশ কয়েক মাস কার্যকর সময় উপভোগ করেছে।

এই মামলাটি দ্রুত এনপিএম-ভিত্তিক আক্রমণের ক্রমবর্ধমান তালিকায় যোগ দিয়েছে যা তুলে ধরে যে কীভাবে ওপেন প্যাকেজ রেজিস্ট্রিগুলি সরবরাহ শৃঙ্খলের হুমকির প্রধান ক্ষেত্র হয়ে উঠেছে। যদিও প্ল্যাটফর্মগুলি পরিচিত-খারাপ প্যাকেজগুলিকে ধাক্কা দিয়ে প্রতিক্রিয়া জানাতে পারে, প্রাথমিক সনাক্তকরণের বোঝা প্রায়শই স্বাধীন সুরক্ষা দল এবং সতর্ক বিকাশকারীদের উপর বর্তায়।

ডেভেলপারদের লক্ষ্য করে সাপ্লাই-চেইন ম্যালওয়্যারের বিস্তৃত তরঙ্গ

পদ্মবেলের আবিষ্কারের সাথে সাথেই এই বিষয়গুলি প্রকাশ পায় ডেভেলপার ইকোসিস্টেমগুলিকে লক্ষ্য করে তৈরি অন্যান্য ক্ষতিকারক প্যাকেজ, এই ঘটনাটি কেবল একটি একক অসঙ্গতির পরিবর্তে একটি বৃহত্তর প্রবণতার অংশ বলে জোর দিয়ে।

সমান্তরাল গবেষণায়, নিরাপত্তা সংস্থা রিভার্সিংল্যাবস একটি ক্লাস্টারের বিস্তারিত বর্ণনা করেছে Nethereum এবং অন্যান্য ক্রিপ্টোকারেন্সি-সম্পর্কিত লাইব্রেরির ছদ্মবেশে ১৪টি দুর্বৃত্ত NuGet প্যাকেজ .NET জগতে। অনেকটা WhatsApp npm কেসের মতো, এই প্যাকেজগুলি ব্লকচেইন এবং ডিজিটাল সম্পদ নিয়ে কাজ করা ডেভেলপারদের দ্বারা ব্যবহৃত বৈধ টুলিংয়ের সাথে মিশে যাওয়ার জন্য ডিজাইন করা হয়েছিল।

এই অনুসন্ধান অনুসারে, NuGet প্যাকেজগুলি ক্রিপ্টোকারেন্সি লেনদেন থেকে তহবিল আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত ওয়ালেটে পুনঃনির্দেশিত করা হয়েছে অথবা যখনই ট্রান্সফার ১০০ মার্কিন ডলারের বেশি হয় তখন নীরবে প্রাইভেট কী এবং সিড ফ্রেজ বের করা হত। “binance.csharp”, “Bitcoin Core”, “bitapi.net”, “coinbase.api.net”, “googleads.api”, “nbitcoin.unified”, “nethereumnet”, “nethereumunified”, “nethereum.all”, “solananet”, “solnetall”, “solnetall.net”, “solnetplus” এবং “solnetunified” এর মতো প্যাকেজ নামগুলি সুপরিচিত সরঞ্জাম এবং পরিষেবাগুলিকে উত্তেজিত করার জন্য তৈরি করা হয়েছিল।

আস্থা তৈরির জন্য, এই লাইব্রেরিগুলির পিছনের অপারেটররা জানা গেছে ডাউনলোড পরিসংখ্যান বৃদ্ধি এবং ঘন ঘন আপডেটের প্ররোচনা সক্রিয় রক্ষণাবেক্ষণ এবং জনপ্রিয়তার অনুকরণ করতে। এই সামাজিক-প্রকৌশল স্তরটি লোটাসবেইল কীভাবে এনপিএমের দৃশ্যমানতা এবং বেইলি প্রকল্পের খ্যাতির উপর নির্ভর করেছিল তা প্রতিধ্বনিত করে।

উভয় গবেষণা দলের বিশেষজ্ঞরা একই বিষয়ে একমত: ডেভেলপারদের বিরুদ্ধে সরবরাহ শৃঙ্খলের আক্রমণ কমছে না; তারা আরও পরিশীলিত হয়ে উঠছে। প্রতিপক্ষরা ঠিক সেই সরঞ্জামগুলিকে লক্ষ্য করতে শিখেছে যার উপর ইঞ্জিনিয়াররা প্রতিদিন নির্ভর করে, তা মেসেজিং ইন্টিগ্রেশন, আর্থিক কার্যক্রম বা সাধারণ অবকাঠামোর জন্যই হোক না কেন।

কেন প্রচলিত প্রতিরক্ষা ব্যবস্থা npm সরবরাহ শৃঙ্খলের হুমকির সাথে লড়াই করে

লোটাসবেইল সফ্টওয়্যার পাইপলাইনগুলিকে সুরক্ষিত করার জন্য ব্যবহৃত অনেক বর্তমান প্রতিরক্ষা ব্যবস্থার সীমাবদ্ধতাও তুলে ধরে। ঐতিহ্যবাহী পদ্ধতি যেমন স্ট্যাটিক কোড স্ক্যানিং, বেসিক লিন্টিং, সহজ স্বাক্ষর পরীক্ষা এবং খ্যাতি মেট্রিক্স প্রায়শই স্পষ্ট লাল পতাকাগুলি চিহ্নিত করার জন্য টিউন করা হয়, কিন্তু তারা অন্যথায় বৈধ প্যাকেজগুলিতে এমবেড করা সূক্ষ্ম দূষিত যুক্তি সহজেই মিস করতে পারে।

যেহেতু লাইব্রেরি বিশ্বস্ততার সাথে প্রত্যাশিত WhatsApp ওয়েব API পৃষ্ঠটি বাস্তবায়ন করে, স্বয়ংক্রিয় সরঞ্জামগুলি একটি পরিচিত-ভাল সংগ্রহস্থলের সামান্য পরিবর্তিত কাঁটা ছাড়া আর কিছুই দেখতে পাবে না। এমনকি ম্যানুয়াল স্পট চেকও তাৎক্ষণিকভাবে বিপদটি প্রকাশ নাও করতে পারে, বিশেষ করে যখন ক্ষতিকারক কোডটি বৈধ নেটওয়ার্কিং এবং এনক্রিপশন রুটিনের সাথে জড়িত থাকে।

খ্যাতি-ভিত্তিক ব্যবস্থাগুলি এখানে ভালো কিছু করে না। অনেক প্রতিষ্ঠান অবচেতনভাবে নিরাপত্তার সাথে উচ্চ ডাউনলোড সংখ্যা এবং ঘন ঘন আপডেট, তবুও এই ক্ষেত্রে সেই সংকেতগুলি হয় সময়ের সাথে সাথে স্বাভাবিকভাবেই জমা হয়েছিল অথবা আক্রমণকারী দ্বারা কৃত্রিমভাবে শক্তিশালী করা যেতে পারে। যখন কেউ একটি বিশ্বাসযোগ্য বর্ণনা সহ একটি অনুরূপ প্যাকেজ প্রকাশ করতে পারে তখন জনপ্রিয়তা সততার নিশ্চয়তা দেয় না।

অ্যান্টি-ডিবাগিং স্তরটি গতিশীল বিশ্লেষণকে আরও জটিল করে তোলে। একবার একটি প্যাকেজ সনাক্ত করতে পারে যে এটি যন্ত্রের অধীনে চলমান বা একটি ডিবাগারের সাথে সংযুক্ত এবং তারপর অসীম লুপ বা ক্র্যাশ ট্রিগার করে, স্বয়ংক্রিয় স্যান্ডবক্সগুলি একটি সম্পূর্ণ আচরণগত প্রোফাইল পেতে লড়াই করে। এর ফলে, স্বাক্ষর তৈরি এবং জনসাধারণের প্রকাশ ধীর হয়ে যায়।

এই চ্যালেঞ্জগুলি একটি প্রয়োজনীয়তার দিকে ইঙ্গিত করে উৎপাদন পরিবেশে আরও শক্তিশালী, আচরণ-ভিত্তিক পর্যবেক্ষণ, যেখানে সন্দেহজনক নেটওয়ার্ক প্রবাহ, অপ্রত্যাশিত এনক্রিপশন প্যাটার্ন বা অস্বাভাবিক ডেটা অ্যাক্সেস চিহ্নিত করা যেতে পারে, এমনকি যদি স্ট্যাটিক চেক প্রাথমিকভাবে কোনও প্যাকেজ অনুমোদন করে।

ডেভেলপার এবং সংস্থাগুলি এখনই কী করতে পারে

লোটাসবেইল ঘটনাটি পরীক্ষা করা নিরাপত্তা বিশেষজ্ঞরা জোর দিয়ে বলেন যে ডেভেলপারদের তৃতীয় পক্ষের প্যাকেজগুলিকে অবিশ্বস্ত কোড হিসেবে বিবেচনা করা উচিত, এমনকি যদি সেগুলি npm-এর মতো প্রধান রেজিস্ট্রি থেকে আসে।। ব্যবহারিক পদক্ষেপ ভবিষ্যতে একই ধরণের হুমকির সম্মুখীন হওয়া কমাতে সাহায্য করতে পারে।

প্রথমত, দলগুলিকে উৎসাহিত করা হয় সমালোচনামূলক নির্ভরতার উৎপত্তি যাচাই করুন। এর মধ্যে রয়েছে প্রস্তাবিত প্যাকেজ নামের জন্য অফিসিয়াল ডকুমেন্টেশন বা রিপোজিটরি পরীক্ষা করা, প্রকাশকের পরিচয় যাচাই করা এবং যখনই সম্ভব সুপ্রতিষ্ঠিত সংস্থা বা পরিচিত রক্ষণাবেক্ষণকারীদের দ্বারা রক্ষণাবেক্ষণ করা লাইব্রেরি পছন্দ করা।

দ্বিতীয়ত, বিশেষজ্ঞরা সুপারিশ করেন সংবেদনশীল ইন্টিগ্রেশনের চারপাশে রানটাইম মনিটরিং এবং অ্যানোমালি সনাক্তকরণ যোগ করা হচ্ছে যেমন মেসেজিং এপিআই, পেমেন্ট মডিউল বা ক্রিপ্টোগ্রাফিক টুলিং। অস্বাভাবিক আউটবাউন্ড সংযোগ, অপ্রত্যাশিত এনক্রিপশন কার্যকলাপ বা ডেটা প্রবাহ যা নথিভুক্ত আচরণের সাথে সামঞ্জস্যপূর্ণ নয় তা আপোষিত নির্ভরতার প্রাথমিক লক্ষণ হতে পারে।

তৃতীয়ত, প্রতিষ্ঠানগুলিকে বজায় রাখা উচিত ব্যবহৃত সমস্ত তৃতীয় পক্ষের প্যাকেজের একটি তালিকা এবং সময়ের সাথে সাথে পরিবর্তনগুলি ট্র্যাক করুন। বড় আপগ্রেডের আগে ভার্সন পিন করা, চেঞ্জলগ পর্যালোচনা করা এবং নিরাপত্তা মূল্যায়ন করা সমস্যাযুক্ত কোড উৎপাদনে পৌঁছানোর আগেই ধরা পড়তে পারে।

পরিশেষে, যেসব ক্ষেত্রে WhatsApp ইন্টিগ্রেশনগুলি ক্ষতিকারক npm লাইব্রেরির উপর নির্ভর করে, সেখানে ঘটনার প্রতিক্রিয়া কোড পরিষ্কারের বাইরেও যাওয়া উচিত। প্রভাবিত ব্যবহারকারীদের নির্দেশিত করা উচিত WhatsApp এর সেটিংস খুলুন, লিঙ্ক করা ডিভাইসগুলি পরীক্ষা করুন এবং যেকোনো অজানা সেশন মুছে ফেলুন।। এই পদক্ষেপটি ছাড়া, আক্রমণকারীর জোড়া ডিভাইসটি কথোপকথন এবং সামগ্রীতে সম্পূর্ণ অ্যাক্সেস পেতে পারে।

লোটাসবেল পর্বটি একটি স্পষ্ট স্মারক হিসেবে কাজ করে যে একটি প্যাকেজকে বিশ্বাস করা কারণ এটি পরিচিত দেখাচ্ছে, হাজার হাজার ডাউনলোড আছে অথবা একটি জনপ্রিয় প্রকল্পের অনুকরণ করছে, এখন আর তা যথেষ্ট নয়।। আক্রমণকারীরা ক্রমবর্ধমানভাবে ডেভেলপার ইকোসিস্টেমগুলিকে লক্ষ্যবস্তু করার সাথে সাথে, নির্ভরতাগুলির যত্ন সহকারে যাচাইকরণ এবং রানটাইম আচরণের নিবিড় পর্যবেক্ষণ হোয়াটসঅ্যাপ অ্যাকাউন্টগুলি - এবং তাদের চারপাশে তৈরি অ্যাপ্লিকেশনগুলিকে - সত্যিকার অর্থে সুরক্ষিত রাখার অপরিহার্য অংশ হয়ে উঠেছে।