সকলেট তদন্তকারীরা এই সপ্তাহে ক্রিপ্টো ডেভেলপারদের লক্ষ্য করে 'Trapdoor' নামে একটি সাপ্লাই চেইন আক্রমণ উন্মোচন করেছে। ম্যালওয়্যারটি npm, PyPI এবং Crates.io রিপোজিটরিগুলিতে আপোসকৃত প্যাকেজের মাধ্যমে ছড়িয়ে পড়ে, ক্রিপ্টোকারেন্সি ওয়ালেট কী এবং ডেভেলপার সিক্রেটস চুরি করে। সাধারণ ক্রিপ্টো জালিয়াতির বিপরীতে, এটি বিশেষ করে সাধারণ ব্যবহারকারীদের এড়িয়ে চলে।
কিভাবে Trapdoor ছড়িয়ে পড়ে
আক্রমণকারীরা আপাতদৃষ্টিতে বৈধ সফটওয়্যার লাইব্রেরিতে দূষিত কোড ইনজেক্ট করেছে। যে ডেভেলপাররা যাচাই ছাড়াই এই বিষাক্ত প্যাকেজগুলি ইনস্টল করেছেন, তারা স্বয়ংক্রিয়ভাবে ম্যালওয়্যার সক্রিয় করেছেন। এটি ডেভেলপারদের দৈনন্দিন ব্যবহার করা নির্ভরযোগ্য প্যাকেজ ম্যানেজারগুলির মাধ্যমে ঘটেছে।
কি চুরি হয়
Trapdoor ম্যালওয়্যার ক্রিপ্টোকারেন্সি ওয়ালেট কী এবং সংবেদনশীল ডেভেলপমেন্ট ক্রেডেনশিয়াল সংগ্রহ করে। এর অর্থ হলো প্রজেক্ট ট্রেজারি ওয়ালেট এবং অভ্যন্তরীণ নিরাপত্তা টোকেন আপোস হতে পারে। ডেভেলপাররা বুঝতেও পারেন না যে তাদের সিস্টেম গোপন তথ্য প্রচার করছে, যতক্ষণ না তহবিল অদৃশ্য হয়।
কেন ডেভেলপাররা টার্গেটে
একটি ডেভেলপারের কাছ থেকে চুরি করা শেষ ব্যবহারকারীদের লক্ষ্য করার চেয়ে বেশি লাভ দিতে পারে। একটি আপোসকৃত ওয়ালেটে প্রজেক্টের তহবিল থাকতে পারে বা পুরো কোডবেসে অ্যাক্সেস দিতে পারে। এটি এলোমেলো চুরি নয়—এটি অস্ত্রোপচারের মতো নির্ভুল। আক্রমণকারীরা জানে প্রকৃত মূল্য কোথায় রয়েছে।
তাৎক্ষণিক পদক্ষেপ চলছে
Soclet রিপোজিটরি রক্ষণাবেক্ষণকারীদের সাথে দূষিত প্যাকেজ অপসারণে কাজ করছে। ডেভেলপারদের এখনই তাদের নির্ভরতা নিরীক্ষণ করতে হবে। এখনো কোনো প্যাচ নেই কারণ Trapdoor বৈধ কোড আপডেটের মধ্যে লুকিয়ে থাকে। পরবর্তী ৪৮ ঘণ্টা পরীক্ষা করবে যে দলগুলি কত দ্রুত তাদের পাইপলাইন পরিষ্কার করতে পারে।
