ওপেনক্লো নকল পরিচয় আক্রমণে পাসওয়ার্ড এবং ক্রিপ্টো ওয়ালেটের তথ্য চুরি হয়

নিরাপত্তা গবেষকেরা ক্ষতিকর Openclaw npm প্যাকেজ উন্মোচন করেছেন

নিরাপত্তা গবেষকেরা বলছেন, এই প্যাকেজটি ওপেনক্ল’ ও অনুরূপ AI-এজেন্ট টুলিং নিয়ে কাজ করা ডেভেলপারদের লক্ষ্য করে চালানো একটি সাপ্লাই-চেইন আক্রমণের অংশ। একবার ইনস্টল হলে, প্যাকেজটি ধাপে ধাপে সংক্রমণ প্রক্রিয়া চালু করে, যা শেষ পর্যন্ত Ghostloader নামে পরিচিত একটি রিমোট অ্যাক্সেস ট্রোজান ডিপ্লয় করে।

আক্রমণটি সনাক্ত করেছে JFrog Security Research এবং ২০২৬ সালের ৮ থেকে ৯ মার্চের মধ্যে বিষয়টি প্রকাশ করেছে। প্রতিষ্ঠানের রিপোর্ট অনুযায়ী, প্যাকেজটি মার্চের শুরুতে npm রেজিস্ট্রিতে দেখা যায় এবং ৯ মার্চ পর্যন্ত আনুমানিক ১৭৮ বার ডাউনলোড হয়েছিল। প্রকাশের পরও, প্রতিবেদন তৈরির সময় প্যাকেজটি npm-এ উপলব্ধ ছিল।

প্রথম নজরে সফটওয়্যারটি ক্ষতিহীন মনে হয়। প্যাকেজটি এমন একটি নাম ব্যবহার করে যা অফিসিয়াল Openclaw টুলিংয়ের সঙ্গে সাদৃশ্যপূর্ণ এবং তাতে সাধারণ দেখতে জাভাস্ক্রিপ্ট ফাইল ও ডকুমেন্টেশন থাকে। গবেষকদের মতে, দৃশ্যমান উপাদানগুলো নিরীহ বলে মনে হয়, কিন্তু ইনস্টলেশনের সময়ই ক্ষতিকর আচরণ সক্রিয় হয়।

যখন কেউ প্যাকেজটি ইনস্টল করে, তখন লুকানো স্ক্রিপ্টগুলো স্বয়ংক্রিয়ভাবে সক্রিয় হয়। এই স্ক্রিপ্টগুলো একটি বৈধ কমান্ড-লাইন ইনস্টলারের ভান করে, বাস্তব সফটওয়্যার সেটআপ রুটিনের মতো দেখাতে প্রগ্রেস ইন্ডিকেটর ও সিস্টেম মেসেজ প্রদর্শন করে।

ইনস্টলেশন সিকোয়েন্স চলাকালীন, প্রোগ্রামটি একটি ভুয়া সিস্টেম অথরাইজেশন প্রম্পট দেখায়, যেখানে ব্যবহারকারীর কম্পিউটার পাসওয়ার্ড চাওয়া হয়। প্রম্পটটি দাবি করে, ওপেনক্ল’-এর জন্য ক্রেডেনশিয়াল নিরাপদে কনফিগার করতে এই অনুরোধ প্রয়োজন। পাসওয়ার্ড দেওয়া হলে, ম্যালওয়্যারটি সংবেদনশীল সিস্টেম ডেটায় উচ্চতর অ্যাক্সেস পেয়ে যায়।

আড়ালে, ইনস্টলারটি আক্রমণকারীদের নিয়ন্ত্রিত একটি রিমোট কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভার থেকে একটি এনক্রিপ্টেড পেলোড নিয়ে আসে। ডিক্রিপ্ট ও এক্সিকিউট হওয়ার পর, সেই পেলোডটি Ghostloader রিমোট অ্যাক্সেস ট্রোজান ইনস্টল করে।

গবেষকদের মতে, Ghostloader নিজেকে একটি নিয়মিত সফটওয়্যার সার্ভিস হিসেবে ছদ্মবেশে রেখে সিস্টেমে স্থায়িত্ব (persistence) প্রতিষ্ঠা করে। এরপর ম্যালওয়্যারটি পর্যায়ক্রমে তার কমান্ড-অ্যান্ড-কন্ট্রোল অবকাঠামোর সঙ্গে যোগাযোগ করে আক্রমণকারীর নির্দেশনা গ্রহণ করে।

ট্রোজানটি ব্যাপক পরিসরের সংবেদনশীল তথ্য সংগ্রহের জন্য তৈরি। JFrog-এর বিশ্লেষণ অনুযায়ী, এটি পাসওয়ার্ড ডেটাবেস, ব্রাউজার কুকি, সংরক্ষিত ক্রেডেনশিয়াল, এবং সিস্টেম অথেনটিকেশন স্টোরকে লক্ষ্য করে—যেগুলোতে ক্লাউড প্ল্যাটফর্ম, ডেভেলপার অ্যাকাউন্ট ও ইমেইল সার্ভিসে প্রবেশাধিকার থাকতে পারে।

ক্রিপ্টোকারেন্সি ব্যবহারকারীরা অতিরিক্ত ঝুঁকিতে পড়তে পারেন। ম্যালওয়্যারটি ডেস্কটপ ক্রিপ্টো ওয়ালেট ও ব্রাউজার ওয়ালেট এক্সটেনশনের সঙ্গে সম্পর্কিত ফাইল খোঁজে এবং সিড ফ্রেজ বা অন্যান্য ওয়ালেট রিকভারি তথ্যের জন্য লোকাল ফোল্ডার স্ক্যান করে।

টুলটি ক্লিপবোর্ড কার্যকলাপও মনিটর করে এবং SSH কী ও ডেভেলপমেন্ট ক্রেডেনশিয়াল সংগ্রহ করতে পারে, যা প্রকৌশলীরা রিমোট অবকাঠামোতে অ্যাক্সেসের জন্য সাধারণত ব্যবহার করেন। নিরাপত্তা বিশেষজ্ঞদের মতে, এই সমন্বয় ডেভেলপার সিস্টেমকে বিশেষভাবে আকর্ষণীয় লক্ষ্য বানায়, কারণ এগুলোতে প্রায়ই প্রোডাকশন এনভায়রনমেন্টের ক্রেডেনশিয়াল থাকে।

ডেটা চুরির পাশাপাশি, Ghostloader-এ এমন রিমোট অ্যাক্সেস সক্ষমতাও আছে যা আক্রমণকারীদের কমান্ড এক্সিকিউট করতে, ফাইল আনতে, বা আক্রান্ত সিস্টেমের মাধ্যমে নেটওয়ার্ক ট্রাফিক রাউট করতে দেয়। গবেষকদের মতে, এসব বৈশিষ্ট্য কার্যত সংক্রমিত মেশিনগুলোকে ডেভেলপার পরিবেশের ভেতরে ‘ফুটহোল্ড’ হিসেবে পরিণত করে।

ক্ষতিকর সফটওয়্যারটি স্থায়িত্ব বজায় রাখার ব্যবস্থাও ইনস্টল করে, যাতে সিস্টেম রিবুটের পর স্বয়ংক্রিয়ভাবে আবার চালু হয়। এসব ব্যবস্থায় সাধারণত লুকানো ডিরেক্টরি এবং সিস্টেম স্টার্টআপ কনফিগারেশনে পরিবর্তন অন্তর্ভুক্ত থাকে।

JFrog গবেষকেরা ক্যাম্পেইনের সঙ্গে সম্পর্কিত কয়েকটি নির্দেশক শনাক্ত করেছেন, যার মধ্যে “npm telemetry” সার্ভিসের সঙ্গে যুক্ত সন্দেহজনক সিস্টেম ফাইল এবং আক্রমণকারীদের নিয়ন্ত্রিত অবকাঠামোর সঙ্গে সংযোগ অন্তর্ভুক্ত।

সাইবারসিকিউরিটি বিশ্লেষকেরা বলছেন, ঘটনাটি ডেভেলপার ইকোসিস্টেম লক্ষ্য করে ক্রমবর্ধমান সাপ্লাই-চেইন আক্রমণের প্রবণতাকে প্রতিফলিত করে। AI ফ্রেমওয়ার্ক ও অটোমেশন টুল জনপ্রিয়তা পাওয়ার সঙ্গে সঙ্গে, আক্রমণকারীরা ম্যালওয়্যারকে উপকারী ডেভেলপার ইউটিলিটি হিসেবে আরও বেশি ছদ্মবেশে উপস্থাপন করছে।

যেসব ডেভেলপার প্যাকেজটি ইনস্টল করেছেন, তাদের তাৎক্ষণিকভাবে এটি সরিয়ে ফেলতে, সিস্টেম স্টার্টআপ কনফিগারেশন পর্যালোচনা করতে, সন্দেহজনক টেলিমেট্রি ডিরেক্টরি মুছে ফেলতে, এবং আক্রান্ত মেশিনে সংরক্ষিত পাসওয়ার্ড ও ক্রেডেনশিয়াল ঘুরিয়ে (rotate) দিতে পরামর্শ দেওয়া হচ্ছে।

নিরাপত্তা বিশেষজ্ঞরা আরও সুপারিশ করছেন, কেবল যাচাইকৃত উৎস থেকে ডেভেলপার টুল ইনস্টল করতে, গ্লোবাল ইনস্টলেশনের আগে npm প্যাকেজগুলো সতর্কভাবে পর্যালোচনা করতে, এবং সন্দেহজনক ডিপেন্ডেন্সি শনাক্ত করতে সাপ্লাই-চেইন স্ক্যানিং টুল ব্যবহার করতে।

ওপেনক্ল’ প্রকল্পটি নিজে আপসকৃত (compromised) হয়নি, এবং গবেষকেরা জোর দিয়ে বলছেন যে আক্রমণটি অফিসিয়াল সফটওয়্যারের দুর্বলতা কাজে লাগানোর বদলে প্রতারণামূলক প্যাকেজ নামের মাধ্যমে ফ্রেমওয়ার্ককে নকল করার ওপর নির্ভর করে।

FAQ 🔎

• ক্ষতিকর Openclaw npm প্যাকেজটি কী?
  এই প্যাকেজটি OpenClaw ইনস্টলার সেজে থাকে এবং গোপনে GhostLoader ম্যালওয়্যার ইনস্টল করে।
• Ghostloader ম্যালওয়্যারটি কী কী চুরি করে?
  এটি পাসওয়ার্ড, ব্রাউজার ক্রেডেনশিয়াল, ক্রিপ্টো ওয়ালেট ডেটা, SSH কী, এবং ক্লাউড সার্ভিস ক্রেডেনশিয়াল সংগ্রহ করে।
• এই npm ম্যালওয়্যার আক্রমণে কারা সবচেয়ে বেশি ঝুঁকিতে?
  যে কেউ প্যাকেজটি ইনস্টল করেছেন—বিশেষ করে যারা AI ফ্রেমওয়ার্ক বা ক্রিপ্টো ওয়ালেট টুল ব্যবহার করেন—তাদের ক্রেডেনশিয়াল উন্মুক্ত হয়ে থাকতে পারে।
• যদি কেউ প্যাকেজটি ইনস্টল করে থাকেন, তাহলে কী করা উচিত?
  অবিলম্বে এটি সরিয়ে ফেলুন, সিস্টেম স্টার্টআপ ফাইল পরীক্ষা করুন, সন্দেহজনক ডিরেক্টরি মুছে ফেলুন, এবং সব সংবেদনশীল ক্রেডেনশিয়াল পরিবর্তন/রোটেট করুন।