GitHub Actions পাইপলাইন হাইজ্যাক করে ক্ষতিকারক npm প্যাকেজ প্রকাশকারী একটি স্ব-প্রতিলিপিকারী ওয়ার্ম আবার আঘাত হেনেছে, AntV, echarts-for-react, এবং Microsoft-এর durabletask SDK-কে আপস করেছে।
১৬ মিলিয়ন ডাউনলোডসহ npm প্যাকেজে গিটহাব ওয়ার্ম আঘাত হেনেছে
লেখক
শেয়ার
মূল বিষয়গুলো
Mini Shai-Hulud GitHub Actions এক্সপ্লয়েট করে ১৬ মিলিয়ন সাপ্তাহিক ডাউনলোডে আঘাত হেনেছে
থ্রেট গ্রুপ Team PCP-এর সঙ্গে সম্পৃক্ত বলে ধারণা করা Mini Shai-Hulud ক্যাম্পেইনটি অধিকাংশ সাপ্লাই চেইন আক্রমণের মতো কাজ করে না; কারণ ডেভেলপারের ক্রেডেনশিয়াল চুরি করে সরাসরি পাবলিশ না করে আক্রমণকারী GitHub-এ একটি টার্গেট রিপোজিটরি ফর্ক করে, একটি পুল রিকোয়েস্ট খোলে, যা `pull_request_target` ওয়ার্কফ্লো ট্রিগার করে।
এটি ক্ষতিকারক pnpm স্টোর দিয়ে GitHub Actions ক্যাশকে বিষাক্ত করে, এবং সেখান থেকে সংক্রমিত প্যাকেজগুলো বৈধ সাইনড সার্টিফিকেট বহন করে ও SLSA প্রোভেন্যান্স চেক পাস করে—ফলে স্ট্যান্ডার্ড সিকিউরিটি টুলিংয়ের কাছে এগুলো সম্পূর্ণ পরিচ্ছন্ন বলে মনে হয়।
১৯ মে, সর্বশেষ ঢেউটি AntV ডেটা ভিজ্যুয়ালাইজেশন ইকোসিস্টেমে আঘাত হানে, যখন আক্রমণকারীরা অ্যাক্সেস অর্জন করে @atool নেমস্পেসে একটি আপসকৃত মেইনটেইনার অ্যাকাউন্টে এবং ২২ মিনিটের স্বয়ংক্রিয় বুর্স্টে ৩২৩টি প্যাকেজ জুড়ে ৩০০টিরও বেশি ক্ষতিকারক প্যাকেজ ভার্সন প্রকাশ করে।
আক্রান্ত প্যাকেজগুলোর মধ্যে আছে echarts-for-react, Apache Echarts-এর জন্য একটি React র্যাপার, যার প্রায় ১.১ মিলিয়ন সাপ্তাহিক ডাউনলোড। এই ঢেউয়ে আক্রান্ত সব প্যাকেজ মিলিয়ে সম্মিলিত সাপ্তাহিক ডাউনলোড সংখ্যা আনুমানিক প্রায় ১৬ মিলিয়ন।
সবচেয়ে উদ্বেগজনক প্রযুক্তিগত দিকটি হলো, কোনো ডেভেলপার হস্তক্ষেপ করতে চাইলে কী হয়। ম্যালওয়্যারটি একটি ডেড-ম্যান’স সুইচ ইনস্টল করে—অর্থাৎ একটি শেল স্ক্রিপ্ট, যা প্রতি ৬০ সেকেন্ডে GitHub-এর API পোল করে যাচাই করে এটি যে npm টোকেন তৈরি করেছে তা বাতিল করা হয়েছে কি না। টোকেনটির বর্ণনা থাকে “IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner”, যা ডেভেলপার বাতিল করলে সঙ্গে সঙ্গে সংক্রমিত মেশিনের হোম ডিরেক্টরি মুছে ফেলে।
টোকেনটি GitHub, AWS, Azure, GCP, Kubernetes, Hashi Corp Vault, এবং ৯০টিরও বেশি ডেভেলপার টুল কনফিগারেশন থেকে ক্রেডেনশিয়াল চুরি করে এরপর সংযুক্ত ক্লাউড অবকাঠামো জুড়ে ল্যাটারালি ছড়িয়ে পড়ে।
একটি আক্রমণ, একাধিক ক্ষয়ক্ষতি
ক্যাম্পেইনটি একই সঙ্গে Python Package Index (PyPI)-কেও আঘাত করে; Microsoft-এর অফিসিয়াল durabletask Python SDK-এর তিনটি ক্ষতিকারক ভার্সন ১৯ মে প্রকাশিত হয়, যা নীরবে ২৮ KB-এর একটি ক্রেডেনশিয়াল-চুরি করা পেলোড ডাউনলোড ও এক্সিকিউট করে (প্রাথমিক এক্সিকিউশনের পর AWS, Azure, এবং GCP পরিবেশ জুড়ে চলাচলে সক্ষম)।
GitHub ২০ মে একটি ঘোষণায় npm পাবলিশিংয়ের জন্য তিনটি মূল পরিবর্তনের রূপরেখা দেয়—যথা, স্কেলে বিশ্বস্ত পাবলিশিংয়ে শত শত প্যাকেজ মাইগ্রেট করতে প্রতিষ্ঠানগুলোকে সহায়তা করার জন্য বাল্ক OIDC অনবোর্ডিং, GitHub Actions ও Gitlab-এর বাইরে OIDC প্রোভাইডার সাপোর্ট সম্প্রসারণ, এবং একটি নতুন স্টেজড পাবলিশিং মডেল যা প্যাকেজ লাইভ হওয়ার আগে মেইনটেইনারদের একটি রিভিউ উইন্ডো দেয় এবং মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) অনুমোদন আবশ্যক করে।
কোম্পানিটি লিগ্যাসি ক্লাসিক টোকেনও অবচল করার, ব্যবহারকারীদের FIDO-ভিত্তিক 2FA-তে মাইগ্রেট করার, এবং ডিফল্টভাবে টোকেন-ভিত্তিক পাবলিশিং নিষিদ্ধ করার পরিকল্পনা করেছে। ২০২৫ সালের সেপ্টেম্বরের ক্যাম্পেইনের আগের ঢেউয়ে GitHub npm রেজিস্ট্রি থেকে ৫০০টিরও বেশি আপসকৃত প্যাকেজ সরিয়ে দিয়েছিল
ব্লকচেইন সিকিউরিটি ফার্ম Slowmist ১৪ মে একটি প্রাথমিক সতর্কবার্তা দিয়েছিল—যখন তারা একই ক্যাম্পেইনের অংশ হিসেবে ৮২২,০০০ সাপ্তাহিক ডাউনলোডসহ node-ipc প্যাকেজের তিনটি ক্ষতিকারক ভার্সন শনাক্ত করে।
ফ্ল্যাগ করা যেকোনো প্যাকেজ ব্যবহারকারী ডেভেলপারদের পরামর্শ দেওয়া হয়েছে অবিলম্বে ডিপেন্ডেন্সি ট্রি অডিট করতে, আগে ক্ষতিকারক টোকেনটি বাতিল না করে সব ক্রেডেনশিয়াল রোটেট করতে, এবং Snyk, Wiz, Socket.dev, এবং Step Security প্রকাশিত কম্প্রোমাইজের সূচকগুলো পরীক্ষা করতে।
