npm-এর মুখোমুখি হচ্ছে গোপন ম্যালওয়্যার এবং বিশাল টোকেন-ফার্মিং স্প্যাম

সর্বশেষ আপডেট: 11/20/2025
লেখক: C SourceTrail
  • সাতটি অ্যাডসপেক্ট-ক্লোকড এনপিএম প্যাকেজ ট্র্যাফিক ফিল্টারিং, জাল ক্যাপচা এবং গবেষণা-বিরোধী কৌশল ব্যবহার করেছে; একটি প্রতারণা হিসেবে কাজ করেছে।
  • "ইন্দোনেশিয়ানফুডস" নামে পরিচিত বৃহৎ আকারের স্প্যাম রেজিস্ট্রিতে প্লাবিত করার জন্য সুপ্ত স্ক্রিপ্ট, প্যাটার্নযুক্ত নামকরণ এবং নির্ভরতা শৃঙ্খল ব্যবহার করে।
  • পরিধি দশ হাজার থেকে বাড়িয়ে ১৫০,০০০ এরও বেশি প্যাকেজ করা হয়েছে; Amazon Inspector এবং OpenSSF MAL-ID এবং টেকডাউন সমন্বয় করেছে।
  • প্রশমনের মধ্যে রয়েছে নির্ভরতা নিরীক্ষা, সীমিত প্রকাশের অধিকার, সুপ্ত ফাইলের জন্য SCA, হার সীমিতকরণ, SBOM এবং শক্তিশালী অ্যাকাউন্ট যাচাইকরণ।

npm রেজিস্ট্রি নিরাপত্তা

জাভাস্ক্রিপ্ট ইকোসিস্টেমের ব্যস্ততম কেন্দ্র হিসেবে, এনপিএম রেজিস্ট্রি একসাথে দুটি ভিন্ন হুমকির মোকাবেলা করছে: প্যাকেজের একটি ছোট সেট যা ক্লোকিং এর মাধ্যমে ব্যবহারকারীদের চুপচাপ পুনঃনির্দেশিত করে, এবং একটি বিস্তৃত প্রচারণা যা ক্রিপ্টো পুরষ্কারের পিছনে ছুটতে জাঙ্ককে ব্যাপকভাবে প্রকাশ করে। উভয় সমস্যা, যদিও স্বতন্ত্র, পরিচিত ফাঁকগুলি প্রকাশ করে সরবরাহ-শৃঙ্খল প্রতিরক্ষা ব্যবস্থা.

একাধিক দলের গবেষকরা রিপোর্ট করেছেন যে আক্রমণকারীরা ট্র্যাফিক ক্লোকিং, অটোমেশন এবং ওপেন-সোর্স বিতরণকে একত্রিত করেছিল হয় শিকারদের অন্ধকার গন্তব্যে নিয়ে যাওয়া, নয়তো অভূতপূর্ব স্কেলে কম মূল্যের প্যাকেজ দিয়ে সূচককে প্লাবিত করা। এই ঘটনাগুলি তুলে ধরে যে কীভাবে প্রণোদনা এবং সরঞ্জামগুলি সম্প্রদায়ের বিরুদ্ধে বিকৃত করা যেতে পারে যখন রক্ষণাবেক্ষণ আক্রমণকারীর সৃজনশীলতার চেয়ে পিছিয়ে থাকে।

ক্লোকিং-ভিত্তিক পুনঃনির্দেশগুলি npm প্যাকেজগুলিকে ট্র্যাফিক গেটে পরিণত করে

তদন্তকারীরা একটি একক অভিনেতার সাথে যুক্ত সাতটি এনপিএম প্যাকেজ শনাক্ত করেছেন যা প্রকৃত ব্যবহারকারীদের গবেষকদের থেকে আলাদা করতে অ্যাডসপেক্ট পরিষেবা ব্যবহার করুন এবং আসল পেলোড লুকান"dino_reborn" নামক একটি অ্যাকাউন্টের সাথে সম্পর্কিত প্যাকেজগুলি সেপ্টেম্বর থেকে নভেম্বর ২০২৫ সালের মধ্যে প্রকাশিত হয়েছিল, যেখানে ডাউনলোডের সংখ্যা ছিল শতাধিক।

npm প্যাকেজ এবং নিরাপত্তা

ছয়টি প্যাকেজে প্রায় ৩৯ কেবি উপাদান ছিল যা পরিবেশে আঙুলের ছাপ দেয়, ব্রাউজারে ডেভেলপার টুলিং ব্লক করে (বিশ্লেষণে বাধা দেওয়ার জন্য), এবং আমদানি করার পরপরই জাভাস্ক্রিপ্টের IIFE প্যাটার্নের মাধ্যমে কার্যকর হয়। সপ্তম প্যাকেজ, "সিগন্যাল-এম্বেড", এর দ্বারা আলাদাভাবে দাঁড়িয়েছিল একটি নিরীহ সাদা পাতাকে ছলনা হিসেবে উপস্থাপন করা বরং প্রকাশ্যে বিদ্বেষপূর্ণ আচরণের চেয়ে।

যখন ইমপ্লান্ট করা সাইটগুলি লোড করা হয়, তখন ট্র্যাফিক একটি প্রক্সি এন্ডপয়েন্টের মাধ্যমে পাঠানো হয় association-googlexyz/adspect-proxyphp, যা ভিজিটরকে ভিকটিম নাকি গবেষক হিসেবে দেখতে দেখতে তা নির্ধারণ করতে সাহায্য করে। ভিকটিম হিসেবে ট্যাগ করা হলে, ব্যবহারকারী একটি জাল ক্যাপচা দেখতে পান যা শেষ পর্যন্ত পরিষেবার ছদ্মবেশ ধারণকারী ক্রিপ্টো-থিমযুক্ত পৃষ্ঠাগুলিতে ফরোয়ার্ড করে (যেমন, StandX)। যদি সম্ভাব্য বিশ্লেষক হিসেবে চিহ্নিত করা হয়, তাহলে পৃষ্ঠাটি একটি সরল ছদ্মবেশী দৃশ্য দেখায় এবং এমনকি অফলিডো নামে একটি কাল্পনিক কোম্পানির সাথে সম্পর্কিত বয়লারপ্লেটও অন্তর্ভুক্ত করে।

অ্যাডসপেক্ট নিজেকে একটি হিসাবে বাজারজাত করে বট বা এভি ক্রলারের মতো "অবাঞ্ছিত" ট্র্যাফিক ব্লক করার জন্য ক্লাউড ক্লোকিং পরিষেবা, স্তরযুক্ত পরিকল্পনা অফার করছে এবং "বুলেটপ্রুফ ক্লোকিং" এর প্রতিশ্রুতি দিচ্ছে। এই বিজ্ঞাপন-প্রযুক্তি শৈলী ফিল্টারিং দেখে এম্বেড করা npm প্যাকেজগুলিতে অস্বাভাবিক রয়ে গেছে, এবং গবেষকরা এটি কার্যকরভাবে লক্ষ্য করেছেন ওপেন-সোর্স ডিস্ট্রিবিউশনে ট্র্যাফিক-গেটিং লজিক মোড়ানো তাই কোডটি রিয়েল টাইমে সিদ্ধান্ত নেয় যে কে আসল পেলোড পাবে।

কারণ সম্পদ লোড হওয়ার সাথে সাথে যুক্তি চলে, আচরণটি ট্রিগার করার জন্য কোনও ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন নেই। তাৎক্ষণিক কার্যকরীকরণ প্রবাহ—এবং ডেভেলপার টুলগুলিতে ব্রাউজার-স্তরের ব্লক—বিশ্লেষণকে জটিল করে তোলে এবং আকস্মিক পরিদর্শনের জন্য স্কিমটিকে দৃষ্টির বাইরে রাখতে সাহায্য করে।

টোকেন পুরষ্কার দ্বারা চালিত একটি বিস্তৃত এনপিএম স্প্যাম অপারেশন

একটি পৃথক উন্নয়নে, নিরাপত্তা দলগুলি একটি বিস্তৃত সেট আবিষ্কার করেছে স্প্যামি এনপিএম প্যাকেজ প্রায় দুই বছর ধরে তরঙ্গে প্রকাশিত, প্রাথমিকভাবে সৌম্য মনে হলেও প্রতিলিপি তৈরি এবং আর্থিক লাভের জন্য তৈরি। সম্মিলিতভাবে "ইন্দোনেশিয়ানফুডস" নামে পরিচিত, এই প্রচেষ্টায় একটি সামঞ্জস্যপূর্ণ নামকরণ পরিকল্পনা ব্যবহার করা হয়েছিল যা জোড়ায় জোড়ায় খাবারের পদ সহ এলোমেলো ইন্দোনেশিয়ান প্রথম নাম এবং বিভিন্ন প্রত্যয় ব্যবহার করে হাজার হাজার সম্ভাব্য-সাউন্ডিং প্যাকেজ তৈরি করা যায়।

সরেজমিনে, অনেক এন্ট্রি বৈধ বলে মনে হয়েছিল—কিছু এমনকি পাঠানো হয়েছে কার্যকরী Next.js টেমপ্লেটকিন্তু ভেতরে অব্যবহৃত ফাইলগুলো চাপা পড়ে ছিল যেমন অটো.জেএস or প্রকাশ করুনস্ক্রিপ্ট.জেএস যে, যখন ম্যানুয়ালি চালানো হয়, দ্রুত গতিতে নতুন প্যাকেজ তৈরি করা হয়েছে, পরিবর্তন করা সংস্করণ, এবং গোপনীয়তার রেলিং অপসারণ করা হয়েছে। এটি এই সহজে চালু করা যায় এমন অটোমেশন - সত্যিকার অর্থে স্বায়ত্তশাসিত কৃমির মতো আচরণের পরিবর্তে - যা দ্রুত স্কেলকে ইন্ধন দিয়েছে।

স্প্যামের জালে প্রায়শই আট থেকে দশটি ভুয়া নির্ভরতা উল্লেখ করা হয়, নির্ভরশীলতা শৃঙ্খলের মাধ্যমে প্রভাবকে বেলুনে তুলে ধরা। একটি ইনস্টল করুন, এবং npm নীরবে আরও কয়েক ডজন টেনে আনতে পারে, ডেভেলপারদের মেশিনের কোনও তাৎক্ষণিক, স্পষ্ট ক্ষতি ছাড়াই রেজিস্ট্রি ক্লাটারকে বাড়িয়ে তুলতে পারে।

নগদীকরণের সাথে সম্পর্কিত বলে মনে হচ্ছে TEA প্রোটোকলের ওপেন-সোর্স পুরষ্কার. একাধিক প্যাকেজ অন্তর্ভুক্ত চা.ইয়ামল নির্দিষ্ট অ্যাকাউন্ট এবং ওয়ালেট ঠিকানার দিকে ইঙ্গিত করে—একটি প্রচেষ্টার পরামর্শ দেওয়া হচ্ছে ইমপ্যাক্ট স্কোর বৃদ্ধি করুন এবং টোকেন পেআউট বের করুনকিছু ক্ষেত্রে ডকুমেন্টেশন এমনকি এই আয়ের কথাও বলেছে, যা এলোমেলো পরীক্ষা-নিরীক্ষার পরিবর্তে একটি সমন্বিত, মুনাফা-চালিত পরিকল্পনার ধারণাকে আরও শক্তিশালী করে।

বিভিন্ন গবেষণা দল বিভিন্ন পর্যায়ে তরঙ্গ পরিমাপ করেছে: ফলাফলগুলি থেকে শুরু করে প্রচারণার শুরুতে প্রায় ৪৩,০০০ স্প্যাম আপলোড হয়েছিল পরে ১০০,০০০ এরও বেশি, অ্যামাজন ইন্সপেক্টর অবশেষে ১৫০,০০০+ প্যাকেজের রিপোর্ট করছে ২০২৫ সালের নভেম্বরের মাঝামাঝি সময়ে একাধিক অ্যাকাউন্টে। প্রবৃদ্ধি প্রকাশিত হয়েছে রেজিস্ট্রি রেট সীমা, মেটাডেটা চেক, এবং প্যাটার্ন সনাক্তকরণ মনোযোগ প্রয়োজন এমন ক্ষেত্র হিসেবে।

স্ক্যানার কেন এটি মিস করেছে এবং কী পরিবর্তন হয়েছে

প্রচারণাটি এত দীর্ঘস্থায়ী হওয়ার একটি মূল কারণ হল বেশিরভাগ স্বয়ংক্রিয় সরঞ্জাম অনুসন্ধান করে ইনস্টল-টাইম ম্যালওয়্যার—উদাহরণস্বরূপ, সন্দেহজনক পোস্টইনস্টল হুক বা ফাইল-সিস্টেম কার্যকলাপ। এখানে, পেলোডটি নিষ্ক্রিয় এবং অ-রেফারেন্সযুক্ত ছিল, তাই সাধারণ হিউরিস্টিকগুলি এটিকে ক্ষতিকারক বলে চিহ্নিত করেছে। সক্রিয় ট্রিগার ছাড়া, স্ক্যানারগুলি প্রায়শই অতিরিক্ত ফাইলগুলিকে সৌম্য বিশৃঙ্খলা হিসেবে বিবেচনা করা হয়েছে.

আরেকটি বিষয় ছিল প্রকাশনার স্কেল এবং গতি: স্ক্রিপ্টগুলি প্রতি কয়েক সেকেন্ডে নতুন প্যাকেজ পুশ করতে পারে, ক্লাসিক ম্যালওয়্যার স্বাক্ষরগুলিকে ট্রিপ না করেই অপ্রতিরোধ্য পরিমাণ তৈরি করে। প্রতিবেদনে উল্লেখ করা হয়েছে যে বেশ কয়েকটি সুরক্ষা ডেটা সিস্টেম পরামর্শে ভরে গিয়েছিল, যার মধ্যে রয়েছে বিশাল স্পাইক OSV-লিঙ্কযুক্ত সতর্কতা.

২০২৫ সালের অক্টোবরের শেষের দিকে, অ্যামাজন ইন্সপেক্টর একটি নতুন সনাক্তকরণ নিয়ম চালু করে। এআই-চালিত প্যাটার্নিংয়ের সাথে যুক্ত tea.yaml এর উপস্থিতি, ক্লোন করা বা ন্যূনতম কোড, পূর্বাভাসযোগ্য নামকরণ, স্বয়ংক্রিয় প্রজন্মের আঙ্গুলের ছাপ এবং বৃত্তাকার নির্ভরতা শৃঙ্খলের মতো স্পষ্ট বৈশিষ্ট্যগুলি সনাক্ত করতে। নভেম্বরের শুরুতে প্যাটার্নগুলি নিশ্চিত করার পর, দলটি ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওপেনএসএসএফ) দ্রুত MAL-ID বরাদ্দ করতে - গড় টার্নআরাউন্ড ছিল প্রায় 30 মিনিট।

একটি গুরুত্বপূর্ণ সূক্ষ্মতা: কিছু প্রাথমিক মন্তব্য প্রচারণাটিকে "কীট" বলে অভিহিত করেছিল। পরবর্তী আপডেটগুলি স্পষ্ট করে দিয়েছে যে প্রতিলিপি যুক্তি স্ব-প্রচারিত নয়; এটা কার্যকর করতে হবে। সংশোধনটা গুরুত্বপূর্ণ, কিন্তু ফলাফলটা—দ্রুত, শিল্পায়িত প্যাকেজ বন্যা—এখনও রেজিস্ট্রি অবকাঠামো এবং বিশ্বাসের উপর চাপ।

এক্সপোজার কমাতে ব্যবহারিক পদক্ষেপ

প্রতিষ্ঠানগুলির উচিত npm ঝুঁকি হ্রাসের দিকে এগিয়ে যাওয়া যেমন একটি ধারাবাহিক, স্তরবদ্ধ প্রক্রিয়া, নীতি এবং রেজিস্ট্রি-সচেতন নিয়ন্ত্রণের সাথে সক্রিয় নির্ভরতা স্বাস্থ্যবিধি মিশ্রিত করা। নিম্নলিখিত ব্যবস্থাগুলি গবেষক এবং বাস্তুতন্ত্রের স্টুয়ার্ডরা কী পরামর্শ দিচ্ছেন তা প্রতিফলিত করে।

  • পরিচিত-খারাপ প্রকাশকদের তালিকার উপর নির্ভরতা যাচাই করুন এবং সন্দেহজনক বা নিম্নমানের প্যাকেজগুলি সরান.
  • npm প্রকাশ সীমিত করুন CI/CD এবং যাচাইকৃত রক্ষণাবেক্ষণকারীদের অনুমতি; প্রতিলিপি স্ক্রিপ্টের দুর্ঘটনাজনিত সম্পাদন প্রতিরোধ।
  • সক্ষম সফ্টওয়্যার কম্পোজিশন বিশ্লেষণ (SCA) গ্রহণ করুন নিষ্ক্রিয় ফাইলগুলিকে পতাকাঙ্কিত করা, প্যাটার্নযুক্ত নামকরণ, অথবা বৃত্তাকার নির্ভরতা ওয়েবগুলি.
  • প্রবর্তন করা হার সীমাবদ্ধকরণ এবং আচরণগত পর্যবেক্ষণ বেশি পরিমাণে জমা দেওয়ার জন্য; ক্যাপচা এবং কঠোর অ্যাকাউন্ট যাচাইকরণ বিবেচনা করুন।
  • আপনার পাইপলাইন শক্ত করুন SBOM, ভার্সন পিনিং, এবং আইসোলেটেড CI/CD, এবং কঠোর স্বাক্ষর এবং উৎপত্তি পরীক্ষা।

একত্রিত হলে, এই পরিমাপগুলি রেজিস্ট্রির শব্দ কমিয়ে আনুন এবং একই সাথে দূষিত বা কৌশলী আচরণ সহজেই চিহ্নিত করুনগ্রাফে যদি কোনও খারাপ প্যাকেজ স্লিপ করে তবে তারা ব্লাস্ট রেডিয়াসও কমিয়ে দেয়।

উভয় ঘটনার মধ্য দিয়ে, সীমারেখাটি সহজ: আক্রমণকারীরা প্রণোদনা এবং অন্ধ স্থান অনুসরণ করে। বিশ্লেষকদের কাছ থেকে ভুক্তভোগীদের ফিল্টার করার জন্য ক্লোকিং লজিক হোক বা বৈধ কাজকে ডুবিয়ে দেওয়ার জন্য স্বয়ংক্রিয় টোকেন-ফার্মিং হোক, এর উত্তর নিহিত রয়েছে উন্নত দৃশ্যমানতা, দ্রুত সহযোগিতা এবং নীতিমালার মধ্যে যা অপব্যবহারকে আরও কঠিন এবং ব্যয়বহুল করে তোলে।

ataque a la cadena de suministro de npm con Shai-Hulud
সম্পর্কিত নিবন্ধ:
শাই-হুলুদ এনপিএম সাপ্লাই-চেইন ওয়ার্ম শত শত প্রকল্পে আঘাত হেনেছে

সম্পর্কিত পোস্ট: