২০২৫ সালের শুরু থেকে, গবেষকরা এই গ্রুপের সাথে যুক্ত ২৩৪টি অনন্য ক্ষতিকর প্যাকেজ খুঁজে পেয়েছেন, যা সম্ভাব্যভাবে ৩৬,০০০-এর বেশি ভুক্তভোগীকে আঘাত করেছে। সরাসরি দরজা ভেঙে ঢোকার চেষ্টা না করে, লাজারাস এমন সফটওয়্যারের মাধ্যমে আমন্ত্রিত হচ্ছে যা আমরা সবাই বিশ্বাস করি এবং প্রতিদিন ব্যবহার করি। ওপেন-সোর্সের ভিত্তি যে সম্প্রদায় এবং বিশ্বাসের উপর গড়ে উঠেছে, তা রাষ্ট্র-পৃষ্ঠপোষক হ্যাকিংয়ের একটি হাতিয়ারে পরিণত হচ্ছে।
এটি নতুন কোনো কৌশল নয়, বরং পুরোনো একটি কৌশলের পরিপূর্ণতা, বলেন সিকিউরফ্ল্যাগের পরিচালক এমিলিও পিন্না।
“এটি নতুন নয়। আমরা এটি সোলারউইন্ডস, কোডকভ এবং এনপিএম ইভেন্ট স্ট্রিম আপসের ক্ষেত্রে দেখেছি,” পিন্না ব্যাখ্যা করেন। “আক্রমণকারীরা শিখেছে যে কোনো সংস্থায় ঢোকার সবচেয়ে সহজ উপায় হলো সরাসরি ভাঙা নয়, বরং সফটওয়্যার সাপ্লাই চেইনের মাধ্যমে আমন্ত্রিত হওয়া।”
লাজারাস গ্রুপ, যিনি মার্কিন গোয়েন্দা সংস্থার কাছে হিডেন কোবরা নামে পরিচিত, তাদের দীর্ঘ এবং ধ্বংসাত্মক ইতিহাস রয়েছে। তারা ২০১৪ সালের সনি পিকচার্স হ্যাক, বাংলাদেশ ব্যাংক থেকে ১ বিলিয়ন ডলারের চুরির চেষ্টা এবং বিশ্বব্যাপী ওয়ানাক্রাই র্যানসমওয়্যার সংকটের পেছনে ছিল। সম্প্রতি, তারা বাইবিট থেকে রেকর্ড-ব্রেকিং ১.৫ বিলিয়ন ডলারের ক্রিপ্টো চুরির সাথে যুক্ত ছিল। এখন তারা জোরালো, বিঘ্নকারী আক্রমণ থেকে শান্ত, দীর্ঘমেয়াদী অনুপ্রবেশের দিকে মনোযোগ সরিয়েছে, এবং সফটওয়্যার সাপ্লাই চেইন তাদের প্রাথমিক লক্ষ্য।
লাজারাস গ্রুপ হ্যাকাররা প্রতারণায় মাস্টারক্লাস শেখায়
এনপিএম এবং পাইপিআই কোড রেজিস্ট্রি লক্ষ্য করে তাদের সাম্প্রতিক প্রচারণায়, গ্রুপটি উচ্চ স্তরের শৃঙ্খলা দেখায়, ডেভেলপারদের প্রতারিত করার জন্য প্রতারণার একটি প্লেবুকের উপর নির্ভর করে। তারা জনপ্রিয় সফটওয়্যার লাইব্রেরিগুলোকে নকল করে চতুর বানান ভুল বা বিশ্বস্ত টুলের নাম “ব্র্যান্ড-জ্যাকিং” করে।
তারা উইনস্টন লগার এবং নোডমেইলারের মতো টুল নকল করতে গিয়ে ধরা পড়েছে। একটি ক্ষেত্রে, তারা সার্ভুলা এবং ভেলকি নামে নকল প্যাকেজ তৈরি করেছে, যা আরেকটি জনপ্রিয় টুল পিনোর বর্ণনা ফাইল কপি করে আসল স্পিন-অফের মতো দেখায়।
“এনপিএম এবং পাইপিআই প্যাকেজগুলোকে বিষাক্ত করে, তারা ডেভেলপার এবং সিআই/সিডি পাইপলাইনগুলোকে উৎসে লক্ষ্য করছে,” পিন্না উল্লেখ করেন। “একবার ক্ষতিকর কোড বিল্ড সিস্টেমে প্রবেশ করলে, এটি মূলত খেলা শেষ, কারণ এই পাইপলাইনগুলো প্রায়ই প্রোডাকশনের চাবি ধরে রাখে।”
একজন ডেভেলপার যখন একটি দূষিত প্যাকেজ ডাউনলোড করে, তখন একটি শান্ত, বহু-পর্যায়ের আক্রমণ শুরু হয়।
প্রথমে, একটি ছোট স্ক্রিপ্ট যাকে “ড্রপার” বলা হয়, তা রিমোট সার্ভারে কল করে আসল ম্যালওয়্যার ডাউনলোড করে। এটি প্যাকেজটিকে স্বয়ংক্রিয় নিরাপত্তা স্ক্যানারের কাছ থেকে পিছলে যেতে সাহায্য করে।
পরবর্তীতে, একটি ভারী ছদ্মবেশী “লোডার” প্রোগ্রাম মোতায়েন করা হয়। এই লোডারটি পরীক্ষা করে যে এটি কোনো নিরাপত্তা বিশ্লেষণ পরিবেশের মধ্যে রয়েছে কিনা। যদি এটি সন্দেহ করে যে এটি নজরদারির মধ্যে রয়েছে, তবে এটি বন্ধ হয়ে যায় যাতে সনাক্তকরণ এড়ানো যায়। যদি পথ পরিষ্কার থাকে, তবে এটি বিভিন্ন ক্ষতিকর টুল মোতায়েন করে—প্রতিটি নিজস্ব পৃথক প্রক্রিয়া হিসেবে চলে যাতে একটি ধরা পড়লেও অন্যগুলো কাজ চালিয়ে যেতে পারে।
ক্রিপ্টোর জন্য নয়, বিশ্বাসের জন্য মাইনিং
এই লাজারাস গ্রুপের প্রচারণাটি কম্পিউটার হাইজ্যাক করে ক্রিপ্টোমাইনিংয়ের জন্য নয়; এটি চুরির জন্য। প্রতিবেদনে দেখা গেছে যে ৯০টির বেশি প্যাকেজ পাসওয়ার্ড, এপিআই টোকেন এবং ক্রেডেনশিয়ালের মতো গোপন তথ্য চুরি করার জন্য তৈরি করা হয়েছে।
“ক্রিপ্টোমাইনিং থেকে গুপ্তচরবৃত্তির দিকে স্থানান্তর কাউকে অবাক করা উচিত নસ্বাস্থ্যসম্মত নয়,” পিন্না যোগ করেন। “কেন কম্পিউটিং শক্তি নষ্ট করবেন যখন আপনি ক্রেডেনশিয়াল চুরি করতে পারেন, রিমোট শেল রোপণ করতে পারেন এবং মাসের পর মাস নিঃশব্দে টিকে থাকতে পারেন?”
সোনাটাইপের প্রতিবেদনে স্পষ্টভাবে বলা হয়েছে যে “চুরি করা ক্রেডেনশিয়ালগুলো চূড়ান্ত লক্ষ্য নয়। এগুলো হলো রাজ্যের দরজা খোলার চাবি—সোর্স কোড রিপোজিটরি, ক্লাউড ইনফ্রাস্ট্রাকচার এবং অভ্যন্তরীণ নেটওয়ার্কগুলোতে প্রবেশের জন্য।”
ক্ষতিকর টুলগুলোর মধ্যে রয়েছে ক্লিপবোর্ড চুরিকারী, পাসওয়ার্ড হার্ভেস্টার এবং এমনকি কীলগার এবং স্ক্রিন-ক্যাপচার ইউটিলিটি সম্পূর্ণ নজরদারির জন্য।
ওপেন-সোর্স কোডের প্রতিরক্ষা
এই আক্রমণটি একটি স্পষ্ট সংকেত যে ওপেন-সোর্স হলো সাইবার যুদ্ধের নতুন ফ্রন্টলাইন, এবং ডেভেলপাররা হলেন সৈনিক। এর বিরুদ্ধে লড়াই করতে, কোম্পানিগুলোর একটি স্তরযুক্ত প্রতিরক্ষা প্রয়োজন।
এর অর্থ হলো ফায়ারওয়াল ব্যবহার করে ক্ষতিকর প্যাকেজগুলো প্রবেশের আগে বন্ধ করা, কোন সফটওয়্যার ইনস্টল করা যাবে তার কঠোর নিয়ম থাকা এবং ব্যবহৃত সফটওয়্যার নিয়মিত অডিট করা। কিন্তু পিন্না বলেন, টুলস কোনো সিলভার বুলেট নয়; আসল সমস্যা হলো সাংস্কৃতিক।
“আমরা ডেভঅপস সংস্কৃতিকে সুবিধার দ্বারা চালিত হতে দিয়েছি, এবং আমরা চিন্তা না করেই নির্ভরতা টেনে নিই। সিআই/সিডি একটি বিশ্বস্ত কনভেয়র বেল্ট হয়ে উঠেছে অবিশ্বস্ত কোডের জন্য,” পিন্না সতর্ক করেন। “যতক্ষণ না আমরা পাইপলাইনকে নিরাপত্তা-গুরুত্বপূর্ণ সিস্টেম হিসেবে বিবেচনা করি কঠোর প্যাকেজ অনুমতি তালিকা, অখণ্ডতা যাচাই এবং অর্থপূর্ণ পর্যবেক্ষণের সাথে, ততক্ষণ আমরা জাতি-রাষ্ট্রগুলোকে ক্রিপ্টোকারেন্সি নয়, বিশ্বাসের খনন করতে দেখব।”
“এই ফাঁক বন্ধ করতে টুলের চেয়ে বেশি প্রয়োজন; ইঞ্জিনিয়ারদের হ্যান্ডস-অন নিরাপত্তা প্রশিক্ষণ এবং আমাদের পাইপলাইনের জন্য বাস্তব হুমকি মডেলিং ব্যায়াম প্রয়োজন যাতে টিমগুলো এই আক্রমণগুলো আগে থেকে প্রত্যাশা করতে পারে।”
লাজারাস গ্রুপের প্রচারণা আমাদের ডিজিটাল বিশ্বের ভিত্তি যে বিশ্বাসের উপর গড়ে উঠেছে তা আমাদের বিরুদ্ধে কীভাবে ব্যবহার করা যায় তার একটি স্মরণ।
