অ্যাপে পড়ুন
দ্বারা চালিত
Crypto News

৮২২K ডাউনলোড ঝুঁকিতে: ক্ষতিকর node-ipc সংস্করণগুলো AWS এবং প্রাইভেট কী চুরি করতে দেখা গেছে

Web3 বিল্ড পাইপলাইনে ব্যাপকভাবে ব্যবহৃত ভিত্তিগত Node.js লাইব্রেরি node-ipc-এর তিনটি ক্ষতিকারক সংস্করণ ১৪ মে কম্প্রোমাইজড হিসেবে নিশ্চিত হয়েছে; সিকিউরিটি ফার্ম Slowmist সতর্ক করেছে যে প্যাকেজটির ওপর নির্ভরশীল ক্রিপ্টো ডেভেলপাররা তাৎক্ষণিকভাবে ক্রেডেনশিয়াল চুরির ঝুঁকিতে আছেন।

লেখক
Shiraz JagatiShiraz Jagati
শেয়ার
৮২২K ডাউনলোড ঝুঁকিতে: ক্ষতিকর node-ipc সংস্করণগুলো AWS এবং প্রাইভেট কী চুরি করতে দেখা গেছে

মূল বিষয়গুলো

  • ১৪ মে Slowmist তিনটি ক্ষতিকারক node-ipc সংস্করণ শনাক্ত করেছে, যা সাপ্তাহিক ৮২২,০০০-এর বেশি npm ডাউনলোডকে লক্ষ্য করেছে।
  • ৮০KB পে-লোড DNS টানেলিংয়ের মাধ্যমে AWS কী এবং .env ফাইলসহ ৯০+ ধরনের ক্রেডেনশিয়াল চুরি করে।
  • ডেভেলপারদের অবিলম্বে পরিচ্ছন্ন node-ipc সংস্করণে পিন করতে হবে এবং সম্ভাব্যভাবে উন্মুক্ত সব সিক্রেট রোটেট করতে হবে।

ডেভেলপার সিক্রেট ঝুঁকিতে

ব্লকচেইন সিকিউরিটি ফার্ম Slowmist তার Misteye থ্রেট ইন্টেলিজেন্স সিস্টেমের মাধ্যমে আক্রমণটি ফ্ল্যাগ করেছে, এবং ৯.১.৬, ৯.২.৩, ও ১২.০.১—এই তিনটি রগ রিলিজ শনাক্ত করেছে। Node.js পরিবেশে ইন্টার-প্রসেস কমিউনিকেশন (IPC) সক্ষম করতে ব্যবহৃত node-ipc প্যাকেজটি ক্রিপ্টো ইকোসিস্টেমজুড়ে ডেসেন্ট্রালাইজড অ্যাপ্লিকেশন (dApp) বিল্ড পাইপলাইন, CI/CD সিস্টেম এবং ডেভেলপার টুলিংয়ে এমবেড করা রয়েছে।

Slowmist Flags Active Supply Chain Attack on Node-ipc, Crypto Devs Urged to Act Now
ক্ষতিকারক রিলিজগুলো ৯.১.৬, ৯.২.৩ এবং ১২.০.১ সংস্করণ হিসেবে শনাক্ত হয়েছে।

প্যাকেজটি সাপ্তাহিক গড়ে ৮২২,০০০-এর বেশি ডাউনলোড পায়, ফলে আক্রমণের ক্ষেত্র (attack surface) বড়। তিনটি ক্ষতিকারক সংস্করণের প্রতিটিতে প্যাকেজের CommonJS বান্ডলের সঙ্গে একই ধরনের ৮০ KB অবফুসকেটেড পে-লোড যুক্ত ছিল। require(‘node-ipc’) কল হলেই কোডটি নিঃশর্তভাবে চালু হয়—অর্থাৎ যে কোনো প্রজেক্ট যদি দূষিত রিলিজগুলো ইনস্টল বা আপডেট করে থাকে, তাহলে ব্যবহারকারীর কোনো ইন্টারঅ্যাকশন ছাড়াই স্টিলারটি স্বয়ংক্রিয়ভাবে রান করেছে।

ম্যালওয়্যারটি কী চুরি করে

এমবেডেড পে-লোডটি ডেভেলপার ও ক্লাউড ক্রেডেনশিয়ালের ৯০টিরও বেশি ক্যাটাগরি টার্গেট করে—যার মধ্যে আছে Amazon Web Services (AWS) টোকেন, Google Cloud ও Microsoft Azure সিক্রেট, SSH কী, Kubernetes কনফিগারেশন, Github CLI টোকেন এবং শেল হিস্ট্রি ফাইল। ক্রিপ্টো ক্ষেত্রে বিশেষভাবে প্রাসঙ্গিক হলো—ম্যালওয়্যারটি .env ফাইলকে লক্ষ্য করে, যেখানে প্রায়ই প্রাইভেট কী, RPC নোড ক্রেডেনশিয়াল এবং এক্সচেঞ্জ API সিক্রেট সংরক্ষিত থাকে। চুরি হওয়া ডেটা DNS টানেলিংয়ের মাধ্যমে এক্সফিলট্রেট করা হয়—স্ট্যান্ডার্ড নেটওয়ার্ক মনিটরিং টুল এড়াতে ডোমেইন নেম সিস্টেম কুয়েরির মাধ্যমে ফাইল রাউট করে।

Stepsecurity-এর গবেষকরা নিশ্চিত করেছেন যে আক্রমণকারী node-ipc-এর মূল কোডবেসে কখনোই হাত দেয়নি। বরং, তারা একটি নিষ্ক্রিয় মেইনটেইনার অ্যাকাউন্টকে কাজে লাগিয়েছে তার মেয়াদোত্তীর্ণ ইমেইল ডোমেইন পুনরায় রেজিস্টার করে।

ডোমেইন atlantis-software.net ১০ জানুয়ারি, ২০২৫-এ এক্সপায়ার হয়েছিল; আক্রমণকারী ৭ মে, ২০২৬-এ Namecheap-এর মাধ্যমে এটি পুনরায় রেজিস্টার করে। এরপর তারা একটি স্ট্যান্ডার্ড npm পাসওয়ার্ড রিসেট ট্রিগার করে, মূল মেইনটেইনারের অজান্তেই পূর্ণ পাবলিশ অ্যাক্সেস পেয়ে যায়।

ডিটেকশন ও রিমুভালের আগে ক্ষতিকারক সংস্করণগুলো প্রায় দুই ঘণ্টা রেজিস্ট্রিতে লাইভ ছিল। সেই সময়ের মধ্যে যে কোনো প্রজেক্ট যদি npm install চালিয়ে থাকে বা ডিপেন্ডেন্সি অটো-আপডেট হয়ে থাকে, সেটিকে সম্ভাব্যভাবে কম্প্রোমাইজড হিসেবে বিবেচনা করা উচিত। সিকিউরিটি টিমগুলো node-ipc-এর ৯.১.৬, ৯.২.৩ বা ১২.০.১ সংস্করণের জন্য লক ফাইলগুলো অবিলম্বে অডিট করতে এবং সর্বশেষ যাচাইকৃত পরিচ্ছন্ন রিলিজে রোলব্যাক করতে সুপারিশ করেছে।

২০২৬ সালে npm ইকোসিস্টেমে সাপ্লাই-চেইন আক্রমণ একটি স্থায়ী হুমকি হয়ে উঠেছে; ক্রিপ্টো প্রজেক্টগুলো উচ্চ-মূল্যের টার্গেট হিসেবে বিবেচিত, কারণ তাদের ক্রেডেনশিয়াল সরাসরি আর্থিক অ্যাক্সেস দিতে পারে।

এই গল্পের ট্যাগ
AmazonDecentralized applications (dApps)