npm দ্বৈত হুমকির সম্মুখীন: স্প্যামের ব্যাপক বৃদ্ধি এবং ক্লোকড রিডাইরেক্ট

হোম » পাইথন » npm দ্বৈত হুমকির সম্মুখীন: স্প্যামের ব্যাপক বৃদ্ধি এবং ক্লোকড রিডাইরেক্ট

ওপেন-সোর্স সাপ্লাই চেইনের ক্রমবর্ধমান তদন্তের মধ্যে, এনপিএম রেজিস্ট্রি দুটি স্বতন্ত্র হুমকির দ্বারা বিপর্যস্ত: টিইএ টোকেন পুরষ্কারের সাথে সংযুক্ত একটি বিস্তৃত, প্রণোদনা-চালিত প্যাকেজ প্লাবন এবং একটি ছোট সেট ক্লোকড রিডাইরেক্টর প্যাকেজ যা বেছে বেছে শিকারদের লক্ষ্য করে। উভয় প্রচারণাই অটোমেশন এবং সূক্ষ্মতার উপর নির্ভর করে, যা দেখায় যে সুবিধাবাদীরা কত দ্রুত বিশ্বের সর্বাধিক ব্যবহৃত জাভাস্ক্রিপ্ট ইকোসিস্টেমকে কাজে লাগাতে পারে।

যদিও বন্যার প্রচেষ্টা আরও বেড়ে গেছে ১৫০,০০০ চিহ্নিত প্যাকেজ একাধিক অ্যাকাউন্ট জুড়ে, গোপন পুনঃনির্দেশকরা স্পষ্ট দৃষ্টিতে লুকানোর জন্য গবেষণা-বিরোধী কৌশলের উপর নির্ভর করেছিল। একসাথে, তারা ক্রমাগত ফাঁকগুলি তুলে ধরে রেজিস্ট্রি গভর্নেন্স, নির্ভরতা স্বাস্থ্যবিধি, এবং সনাক্তকরণ কৌশল যা ঐতিহ্যবাহী ইনস্টল-সময়ের ম্যালওয়্যার আচরণের উপর খুব সংকীর্ণভাবে ফোকাস করে।

ইন্দোনেশিয়ানফুডস প্যাকেজের ভেতরে বন্যা

"ইন্দোনেশিয়ানফুডস" নামে অনানুষ্ঠানিকভাবে প্রচারণাটি একটি প্যাটার্নযুক্ত নামকরণ পরিকল্পনা ব্যবহার করেছিল - খাদ্য পদ এবং সংখ্যাসূচক রূপগুলির সাথে সাধারণ ইন্দোনেশিয়ান প্রথম নামগুলিকে যুক্ত করে - হাজার হাজার সম্ভাব্য দেখতে প্যাকেজ তৈরি করার জন্য। পূর্ববর্তী পরিমাপগুলি সনাক্ত করেছে যে প্রায় 43,000 এন্ট্রি প্রচেষ্টার সাথে সম্পর্কিত; পরবর্তী প্রতিবেদনগুলিতে ১০০,০০০ এরও বেশি উল্লেখ করা হয়েছে, এবং পরবর্তীকালে জালিয়াতির বিষয়টি উন্মোচিত হয়েছে 150,000 ওভার রেজিস্ট্রি জুড়ে।

যদিও অনেক বান্ডিল বৈধ বলে মনে হয়েছিল—কিছু এমনকি কার্যকরীভাবে পাঠানো হয়েছিল Next.js টেমপ্লেট—তারা সুপ্ত কোড (যেমন, auto.js অথবা publishScript.js) সরিয়ে ফেলে। ম্যানুয়ালি চালু করার সময়, সেই স্ক্রিপ্টটি র‍্যান্ডমাইজড ভার্সন তৈরি করে, নতুন নাম তৈরি করে এবং একটি লুপে নতুন প্যাকেজ প্রকাশ করে, যেখানে প্রতি কয়েক সেকেন্ডে দ্রুত বার্স্ট দেখা যায় এবং দাবি করে যে একটি একক রান পুশ করতে পারে প্রতিদিন ১৭,০০০+ প্যাকেজ.

এই ব্যাপক উৎপাদন খুব কমই বিচ্ছিন্ন ছিল; পৃথক এন্ট্রিগুলি প্রায়শই আট থেকে দশটি নির্ভরতা ঘোষণা করে যা অন্যান্য স্প্যাম প্যাকেজের দিকে নির্দেশ করে, একটি স্ব-রেফারেন্সিয়াল জালি তৈরি করে। নেট প্রভাবটি ছিল সাধারণের উপর নির্ভর না করেই একটি কৃমির মতো ছড়িয়ে পড়া। পোস্ট-ইনস্টল হুক অথবা প্রকাশ্যে দূষিত আচরণ, যা অনেক স্ক্যানারকে চুপ করিয়ে রেখেছিল।

আর্থিক প্রণোদনা এই প্রচেষ্টাকে আরও ত্বরান্বিত করেছে বলে মনে হচ্ছে। গবেষকরা দেখেছেন চা.ইয়ামল আক্রমণকারী-নিয়ন্ত্রিত প্যাকেজগুলিতে থাকা ফাইলগুলি নির্দিষ্ট অ্যাকাউন্ট এবং ক্রিপ্টো ওয়ালেটগুলিকে উল্লেখ করে, স্পষ্টতই TEA প্রভাব স্কোরগুলি উপভোগ করা এবং টোকেন পুরষ্কার দাবি করার লক্ষ্যে। বিশ্লেষণগুলি একটি পর্যায়ক্রমিক বিবর্তন নির্দেশ করে: 2023 সালে একটি বৃহৎ স্প্যাম বেস, 2024 সালে TEA নগদীকরণ সংকেত এবং 2025 সালে অত্যন্ত স্বয়ংক্রিয় প্রতিলিপি কর্মপ্রবাহ।

এটা লক্ষণীয় যে কিছু গবেষণা পরে স্পষ্ট করেছে যে প্রতিলিপিটি সম্পূর্ণ স্বায়ত্তশাসিত নয়; পেলোড ট্রিগার করতে হবে। তবুও, একবার শুরু হয়ে গেলে, প্রকাশনা লুপ এবং প্যাটার্ন-চালিত নামকরণ ব্যাপকভাবে ভলিউম এবং রেজিস্ট্রি নয়েজকে বাড়িয়ে তোলে।

রেজিস্ট্রি দূষণের সনাক্তকরণ, প্রতিক্রিয়া এবং স্কেল

অ্যামাজন ইন্সপেক্টর গবেষকরা অক্টোবরের শেষের দিকে AI-এর সাথে যুক্ত নতুন নিয়ম চালু করেন এবং দ্রুত সন্দেহজনক tea.xyz-লিঙ্কযুক্ত কার্যকলাপ চিহ্নিত করেন। কয়েক দিনের মধ্যেই, দলটি হাজার হাজার এন্ট্রি সনাক্ত করে; নভেম্বরের মাঝামাঝি সময়ে, ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন এর ফলে MAL-ID গুলি দ্রুত গতিতে বরাদ্দ করা হয়েছিল—প্রায়শই প্রায় 30 মিনিটের মধ্যে—অবশেষে ম্যাপিং করা হয়েছিল ১৫০,০০০+ প্যাকেজ প্রচারণার সাথে জড়িত।

অন্যান্য নিরাপত্তা দলগুলি ব্যাপকভাবে আঘাতের প্রভাব লক্ষ্য করেছে। প্রচুর পরিমাণে উপদেষ্টা তৈরির কারণে ডেটা সিস্টেমগুলি চাপের মধ্যে ছিল এবং দুর্বলতার উপর নির্ভরশীল প্ল্যাটফর্মগুলি তরঙ্গের প্রতিবেদন করেছে নতুন এন্ট্রি স্প্যামের সাথে সম্পর্কিত। গবেষকরা এই ঘটনাটিকে অভূতপূর্ব আকারের হিসাবে চিহ্নিত করেছেন, সতর্ক করে দিয়েছেন যে উচ্চ মাত্রার অটোমেশন এবং ক্রস-অ্যাকাউন্ট সমন্বয় প্রতিক্রিয়া এবং পরিষ্কার-পরিচ্ছন্নতাকে সাধারণ এককালীন আপসের চেয়ে আরও জটিল করে তোলে।

এমনকি পরিচয়পত্র চুরি বা পিছনের দরজা ছাড়াই, ঝুঁকিগুলি স্পষ্ট: অবিরাম রেজিস্ট্রি দূষণ যা বৈধ প্যাকেজগুলিকে ডুবিয়ে দেয়, অবকাঠামো এবং ব্যান্ডউইথের অপচয় করে, এবং একটি বিপজ্জনক নজির যা মূল্যের চেয়ে আয়তনকে বেশি মূল্য দেয়। এই কৌশলটি হুমকিদাতাদের জন্য পরবর্তীতে গোলমালের মধ্যে ক্ষতিকারক আপডেটগুলি প্রবেশ করার সুযোগ তৈরি করে।

স্ক্যানাররা কেন এটি মিস করল—এবং কী পরিবর্তন হচ্ছে

বেশিরভাগ নিরাপত্তা সরঞ্জাম ইনস্টলেশনের সময় লাল পতাকা যেমন পোস্ট-ইনস্টল স্ক্রিপ্ট, নেটওয়ার্ক বীকন, বা সন্দেহজনক ফাইল অপারেশনগুলিকে জোর দেয়। এখানে, নিষ্ক্রিয় ফাইলগুলিকে কোনও কোড পাথ দ্বারা উল্লেখ করা হয়নি, তাই স্ক্যানারগুলি প্রায়শই সেগুলিকে নিষ্ক্রিয় হিসাবে বিবেচনা করে। হার সীমিত, দুর্বল মেটাডেটা যাচাই-বাছাই, এবং বাল্ক-প্রকাশিত শিল্পকর্মের জন্য সীমিত প্যাটার্ন সনাক্তকরণ দুটি জিনিস ঘটতে সাহায্য করেছিল: উচ্চ-থ্রুপুট আপলোডগুলি চেক করা হয়নি, এবং সমন্বিত ক্লাস্টারগুলি রাডারের নীচে থেকে গেছে।

গবেষকরা বলছেন যে এই পর্বটি বাস্তুতন্ত্র-স্তরের কারসাজির দিকে একটি পরিবর্তনকে চিহ্নিত করে যার দ্বারা চালিত আর্থিক প্রণোদনা। একটি একক জনপ্রিয় প্যাকেজের সাথে আপস করার পরিবর্তে, আক্রমণকারীদের অনেক ছোট এন্ট্রিতে প্রভাব বিস্তার করতে উৎসাহিত করা হচ্ছে, সংকেতগুলিকে অস্পষ্ট করে এবং বিশ্বাস নষ্ট করে। এর ফলে কঠোর রেজিস্ট্রি নীতি, আরও সমৃদ্ধ আচরণগত বিশ্লেষণ এবং আরও ভাল সম্প্রদায় সমন্বয়ের দাবি উঠছে।

• প্রকাশনা বন্ধ করুন: npm প্রকাশনা CI/CD এবং অনুমোদিত রক্ষণাবেক্ষণকারীদের মধ্যে সীমাবদ্ধ রাখুন; বৃহৎ-স্কেল কার্যকলাপের জন্য আরও শক্তিশালী পরিচয় যাচাই প্রয়োজন।
• SCA কভারেজ উন্নত করুন: সুপ্ত ফাইল, পুনরাবৃত্তিমূলক প্যাটার্ন এবং বৃত্তাকার নির্ভরতা ওয়েবগুলিকে ফ্ল্যাগ করুন; এমন সরঞ্জাম পছন্দ করুন যা ইনস্টল-সময়ের ঝুঁকি ছাড়াই কাজ করে।
• বিস্ফোরণ ব্যাসার্ধ সীমাবদ্ধ করুন: পিন ভার্সন, SBOM রক্ষণাবেক্ষণ, এবং CI/CD বিচ্ছিন্ন করা; রেজিস্ট্রি লেয়ারে গণ জমার জন্য রেট লিমিট এবং CAPTCHA যোগ করা।
• ক্রমাগত নিরীক্ষা করুন: নিম্নমানের এবং অকার্যকর প্যাকেজগুলি সরান; অস্বাভাবিক নামকরণ, সংস্করণ পরিবর্তন এবং অ্যাকাউন্ট ক্লাস্টারিংয়ের জন্য নজর রাখুন।

অ্যাডস্পেক্ট-ক্লোকড রিডাইরেক্টর প্যাকেজ সারফেস

একটি পৃথক এনপিএম ঘটনার সাথে সম্পর্কিত সাতটি প্যাকেজ যা একজন ব্যবহারকারী দ্বারা প্রকাশিত হয়েছিল যাকে বলা হয় ডাইনো_পুনর্জন্ম ২০২৫ সালের সেপ্টেম্বর থেকে নভেম্বরের মধ্যে। ছয়টি এন্ট্রিতে একটি ছোট, প্রায় ৩৯kB পেলোড ছিল যা দর্শনার্থীদের আঙুলের ছাপ দিয়েছিল এবং গবেষকদের ফিল্টার করার জন্য অ্যাডসপেক্ট নামক একটি ট্র্যাফিক-ক্লোকিং পরিষেবা ব্যবহার করেছিল, যখন "সিগন্যাল-এম্বেড" একটি প্রতারণা হিসাবে কাজ করেছিল।

• সিগন্যাল-এম্বেড (342 ডাউনলোড)
• dsidospsodlks (১৮৪টি ডাউনলোড)
• applicationooks21 (340টি ডাউনলোড)
• অ্যাপ্লিকেশন-phskck (১৯৯টি ডাউনলোড)
• ইন্টিগ্রেটর-ফাইলসক্রিপ্ট২০২৫ (১৯৯টি ডাউনলোড)
• ইন্টিগ্রেটর-২৮২৯ (২৭৬টি ডাউনলোড)
• ইন্টিগ্রেটর-২৮৩০ (290 ডাউনলোড)

ব্রাউজার পরিবেশে লোড করার সাথে সাথেই ক্ষতিকারক কোডটি কার্যকর করা হয় তাৎক্ষণিকভাবে আহ্বান করা ফাংশন এক্সপ্রেশন (IIFE)। এটি একটি সিস্টেম ফিঙ্গারপ্রিন্ট সংগ্রহ করেছে, বিশ্লেষণকে ব্যর্থ করার জন্য ডেভেলপার টুলগুলিকে ব্লক করার চেষ্টা করেছে এবং একটি প্রক্সি এন্ডপয়েন্টের সাথে পরামর্শ করেছে যে একটি দেখানো হবে কিনা তা নির্ধারণ করার জন্য নকল ক্যাপচা যা শেষ পর্যন্ত ভুক্তভোগীদের স্ট্যান্ডএক্সের মতো পরিষেবার ছদ্মবেশে ক্রিপ্টো-থিমযুক্ত গন্তব্যে পুনঃনির্দেশিত করেছিল। যদি দর্শনার্থী একজন গবেষক বলে মনে হয়, তাহলে একটি সাদা পৃষ্ঠা - অফলিডো নামে একটি জাল সত্তার উল্লেখ সহ - প্রদর্শিত হত।

অ্যাডসপেক্ট নিজেকে ক্লাউড-ভিত্তিক জালিয়াতি-বিরোধী প্ল্যাটফর্ম হিসেবে বাজারজাত করে, যেখানে "বুলেটপ্রুফ ক্লোকিং" রয়েছে, যা টায়ার্ড সাবস্ক্রিপশন প্ল্যানের মাধ্যমে অফার করা হয়। সাপ্লাই-চেইন প্যাকেজের ভিতরে এর উপস্থিতি অস্বাভাবিক, এবং গবেষকরা যুক্তি দেন যে এনপিএম মডিউলের সাথে অ্যাডসপেক্ট লজিক বান্ডিল করার ফলে একটি স্বয়ংসম্পূর্ণ ট্র্যাফিক-গেটিং টুলকিট: একটি ডেভেলপার চ্যানেলের মাধ্যমে বিতরণ, ব্রাউজারে সম্পাদন, এবং শুধুমাত্র সম্ভাব্য ভুক্তভোগীদের কাছে প্রকৃত পেলোডের নির্বাচনী এক্সপোজার।

দল এবং রেজিস্ট্রিগুলির জন্য ব্যবহারিক পদক্ষেপ

উন্নয়ন দলগুলির জন্য, সবচেয়ে নিরাপদ তাৎক্ষণিক পদক্ষেপ হল প্রকাশনা নিয়ন্ত্রণ কঠোর করা, পছন্দ করে সুপ্ত নিদর্শন ধরার জন্য ডিটেক্টর, এবং নির্ভরতা গাছ থেকে সন্দেহজনক প্যাকেজগুলি সরিয়ে ফেলুন। রেজিস্ট্রি স্টুয়ার্ডদের জন্য, সাবমিশন থ্রোটল যোগ করা, মেটাডেটা বিশ্লেষণ উন্নত করা, এবং নামকরণের ধরণগুলির জন্য অ্যানোমালি সনাক্তকরণে বেকিং করা এবং ক্রস-অ্যাকাউন্ট ক্লাস্টারিং হবু স্প্যামারদের জন্য সীমা বাড়াতে হবে।

পরিবর্তনশীল প্রণোদনা এবং ক্রমবর্ধমান শিল্পোন্নত কৌশলের মধ্যে, এনপিএমের রক্ষকরা একটি ভিন্ন ধরণের চ্যালেঞ্জের মুখোমুখি হচ্ছে: যখন আক্রমণকারীরা আয় করতে পারে সংক্রামক হওয়ার চেয়ে বন্যা, উপদ্রব এবং ঝুঁকির মধ্যে সীমানা সংকুচিত হয়ে আসে—এবং সতর্কতা, সহযোগিতা এবং বুদ্ধিমান নিয়ন্ত্রণই একমাত্র টেকসই প্রতিক্রিয়া হয়ে ওঠে।