প্রতি সপ্তাহেআমাদের ম্যালওয়্যার শনাক্তকরণ সিস্টেমগুলো npm এবং PyPI-এর মতো পাবলিক রেজিস্ট্রি জুড়ে হাজার হাজার নতুন এবং আপডেট করা প্যাকেজ স্ক্যান করে। এই সপ্তাহটিও তার ব্যতিক্রম ছিল না।
আমরা ১২ই জুন থেকে ১৯শে জুন, ২০২৬-এর মধ্যে ২০০টিরও বেশি ক্ষতিকারক প্যাকেজ নিশ্চিত করেছি, যেগুলোর অধিকাংশই ছিল npm-এ এবং PyPI-তেও এর কিছু ঘটনা ঘটেছে। এগুলোর মধ্যে বেশ কয়েকটি সমন্বিত গুচ্ছ আকারে, একই নামে বারবার প্রকাশিত ক্ষতিকারক রিলিজ হিসেবে অথবা ঘনিষ্ঠভাবে সম্পর্কিত প্যাকেজ পরিবারগুলোর মধ্যে আবির্ভূত হয়েছিল।
এই সপ্তাহের সবচেয়ে উল্লেখযোগ্য মামলাটি ছিল sensivityযা একাধিক দিন ধরে নিশ্চিত হওয়া 2.5.x রেঞ্জের ৭০টিরও বেশি ভার্সনযুক্ত রিলিজ দিয়ে npm-কে প্লাবিত করেছিল। অন্যান্য উল্লেখযোগ্য ক্লাস্টারের মধ্যে অন্তর্ভুক্ত ছিল একটি ঢেউ। @solana-labs সোলানা ইকোসিস্টেমকে লক্ষ্য করে টাইপোস্কোয়াট (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ৭ই জুন এবং ৮ই জুন দুটি পৃথক প্রকাশনা প্রচারণার মাধ্যমে), @nstrlabs পরিবার (sdk, ixel, utils, shared-components, api-client, auth — একটি অভ্যন্তরীণ প্যাকেজ নেমস্পেসের বিরুদ্ধে নির্ভরতা বিভ্রান্তি আক্রমণ), @klapp-login-platform গ্রুপ (native-sdk, oidc, routes — একটি প্রমাণীকরণ প্ল্যাটফর্মের ছদ্মবেশ ধারণ করা), internallib_v557 এবং internallib_v984 (অস্পষ্ট অভ্যন্তরীণ লাইব্রেরি ছদ্মবেশীদের একাধিক সংস্করণ), pocteszep (১১ জুন প্রকাশিত ৬টি সংস্করণ), এবং ক্রিপ্টো ও ওয়েব৩ ইউটিলিটিগুলির একটি গুচ্ছ, যার মধ্যে অন্তর্ভুক্ত রয়েছে blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, এবং farming-tools-12. দ্য morningstar-design-system ১০ই জুন একটি প্যাকেজ তিনটি সংস্করণে প্রকাশিত হয়েছিল, যা একটি সুপরিচিত আর্থিক ডিজাইন সিস্টেমের ছদ্মবেশ ধারণ করেছিল।
১৩ই জুন থেকে গতি ত্বরান্বিত হয়েছিল। houzidawang806 শুধুমাত্র এই ক্লাস্টারটিতেই একদিনে ২৫টিরও বেশি সংস্করণ প্রকাশিত হয়েছিল, এবং এর সাথে যুক্ত হয়েছিল এর সহোদর সংস্করণগুলোও। houzidawang807 এবং houzidawang808. দ্য metrics-pipeline-d8k2 ব্লক লিস্টের থেকে এগিয়ে থাকার উদ্দেশ্যে পরিকল্পিত একটি ধারাবাহিক এড়ানোর কৌশল হিসেবে প্যাকেজটি ১৫ই জুন থেকে ১৮ই জুনের মধ্যে ২১টি সংস্করণে ক্রমাগত পুনঃপ্রকাশ করা হয়েছিল। friendly-greeter-demo সপ্তাহজুড়ে বিভিন্ন ভার্সনে প্যাকেজটি বারবার দেখা যাচ্ছিল। নতুন ডিপেন্ডেন্সি কনফিউশনের প্রচেষ্টাগুলো সামনে আসে। xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesএবং আরও বেশ কয়েকটি — যেগুলোর সবকটিরই ভার্সন নম্বর ৯৯৯.x রেঞ্জের মতো ফুলিয়ে-ফাঁপিয়ে দেওয়া। এলোমেলো হেক্স সাফিক্সসহ সাধারণ ইউটিলিটি নামের একটি নতুন গুচ্ছ (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*১৮-১৯ জুন তারিখে পূর্বনির্ধারিত গণ-নিবন্ধনের সাথে সঙ্গতি রেখে ) উপস্থিত হয়েছিল। সপ্তাহটি শেষ হয়েছিল trimprompt, trimprompt-hub, claude-cup, এবং web3-crypto-address-utils ১৯ জুন নিশ্চিত করা হয়েছে। PyPI-তে, neuralbridge-sdk (4.5.x–5.1.x জুড়ে পাঁচটি সংস্করণ), deepstrain, teambot-ai, hello-test-s1, এবং aiaddin-agent সপ্তাহ জুড়ে নিশ্চিত করা হয়েছে।
এগুলো বিচ্ছিন্ন কোনো ব্যতিক্রম ছিল না। এই সপ্তাহে যা বিশেষভাবে লক্ষণীয় ছিল তা হলো—অভ্যন্তরীণ প্যাকেজ নেমস্পেসগুলোর বিরুদ্ধে ডিপেন্ডেন্সি কনফিউশন অ্যাটাকের ঘনত্ব, টেকডাউনকে ছাড়িয়ে যাওয়ার উদ্দেশ্যে পরিকল্পিত একটানা বহু-দিনব্যাপী পাবলিশিং ক্যাম্পেইন, Web3 এবং DeFi টুলিংকে ক্রমাগত লক্ষ্যবস্তু করা (একটি ধারা যা ২০২৬ সালে উল্লেখযোগ্যভাবে ত্বরান্বিত হয়েছে), এবং সাধারণ ডিপেন্ডেন্সি ট্রির সাথে মিশে গিয়ে শনাক্তকরণ এড়ানোর জন্য তৈরি করা জেনেরিক ও কোলাহল-সদৃশ প্যাকেজ নামের ক্রমবর্ধমান ব্যবহার।
এই সাপ্তাহিক সংক্ষিপ্ত বিবরণটি আমাদের চলমান 'ম্যালিসিয়াস কোড ডাইজেস্ট'-এর একটি অংশ, যেখানে আমরা নতুন হুমকিগুলো যাচাই করি এবং ডেভসেকওপিএস দলগুলোকে তাদের সুরক্ষায় সাহায্য করার জন্য কার্যকরী তথ্য সরবরাহ করি। pipelineক্ষতি হওয়ার আগেই। চলুন, এই সপ্তাহে আমরা যা খুঁজে পেয়েছি এবং কেন তা গুরুত্বপূর্ণ, তা বিশদভাবে আলোচনা করা যাক।
সমন্বিত প্রচারণা আপনার কাছে পৌঁছাতে দেবেন না Pipelines
এই সপ্তাহের সারসংক্ষেপটি কোনো একটি নির্দিষ্ট হুমকি নিয়ে ছিল না; বরং এর ব্যাপকতা নিয়ে ছিল। ২০০-র বেশি নিশ্চিত প্যাকেজ, একাধিক দিন ধরে ক্রমাগত ভার্সনের বন্যা, এবং স্ক্রিপ্ট-চালিত গণ-নিবন্ধন অভিযান যা ম্যানুয়াল পর্যালোচনার চেয়েও দ্রুতগতিতে চলছে। আক্রমণকারীরা আপনার পরিস্থিতি বুঝে ওঠার জন্য অপেক্ষা করছে না।
জাইজেনি প্রাথমিক ম্যালওয়্যার সনাক্তকরণ এটি npm, PyPI এবং অন্যান্য রেজিস্ট্রি ক্রমাগত পর্যবেক্ষণ করে এবং হুমকিগুলো কোনো বিল্ডে অন্তর্ভুক্ত হওয়ার পর নয়, বরং প্রকাশের মুহূর্তেই চিহ্নিত করে। যখন কোনো ক্যাম্পেইন চার দিনের মধ্যে একই ক্ষতিকারক প্যাকেজের ২১টি সংস্করণ প্রকাশ করে, তখন সাপ্তাহিক স্ক্যান সময়মতো কিছুই ধরতে পারে না।
জাইজেনির Open Source Security এই সমাধানটি আপনার DevSecOps টিমকে ঠিক এই ধরনের সমন্বিত চাপের মোকাবিলায় এগিয়ে থাকার জন্য প্রয়োজনীয় রিয়েল-টাইম দৃশ্যমানতা এবং অগ্রাধিকার নির্ধারণের সুযোগ দেয়, ফলে আপনার pipelineআপনার দলের গতি না কমিয়েই পরিষ্কার থাকুন।




