হোয়াটসঅ্যাপ ডেভেলপারদের লক্ষ্য করে দুটি ম্যালিসিয়াস এনপিএম (নোড প্যাকেজ ম্যানেজার) প্যাকেজ আবিষ্কৃত হয়েছে, যেগুলো ডেভেলপারদের কম্পিউটার থেকে ফাইল মুছে ফেলার ধ্বংসাত্মক কোড স্থাপন করে। এই প্যাকেজ দুটি হলো ‘নায়া-ফ্লোর’ এবং ‘এনভ্লোর-এইচএসসি’, যা হোয়াটসঅ্যাপ সকেট লাইব্রেরি হিসেবে ছদ্মবেশ ধারণ করে। সকেট নামক গবেষণা দল এই প্যাকেজগুলো আবিষ্কার করেছে, যেগুলো গত মাস থেকে ১,১০০ বারেরও বেশি ডাউনলোড হয়েছে।
সকেট কর্তৃক অপসারণের অনুরোধ এবং প্রকাশক ‘নায়ফ্লোর’-এর বিরুদ্ধে পতাকা উত্তোলন করা সত্ত্বেও, এই প্যাকেজগুলো এখনও এনপিএম রেজিস্ট্রিতে উপলব্ধ রয়েছে। নায়ফ্লোর নামের এই প্রকাশক অন্যান্য প্যাকেজ যেমন নৌকু-সার্চ, ভেরি-নায়, নায়া-ক্লোন, নোড-এসএমএসকে এবং @ভেরিফ্লোর/ডিস্কও প্রকাশ করেছে। এই প্যাকেজগুলো বর্তমানে ক্ষতিকর নয়, তবে ভবিষ্যতে যেকোনো আপডেটের মাধ্যমে বিপজ্জনক কোড ইনজেক্ট হতে পারে বলে সতর্ক থাকার পরামর্শ দেওয়া হচ্ছে।
এই প্যাকেজগুলো হোয়াটসঅ্যাপ বিজনেস এপিআই-এর জন্য বট এবং অটোমেশন টুল তৈরির জন্য ব্যবহৃত বৈধ লাইব্রেরির অনুকরণ করে। হোয়াটসঅ্যাপের ক্লাউড এপিআই গ্রাহক যোগাযোগের জন্য ক্রমবর্ধমান জনপ্রিয় হওয়ায় এই ধরনের লাইব্রেরির চাহিদা সম্প্রতি ব্যাপকভাবে বেড়েছে।
ডেটা মুছে ফেলার কোড:
নায়া-ফ্লোর এবং এনভ্লোর-এইচএসসি উভয় প্যাকেজে ‘রিকোয়েস্টপেয়ারিংকোড’ নামে একটি ফাংশন রয়েছে, যা হোয়াটসঅ্যাপ পেয়ারিং পরিচালনার কথা বলে কিন্তু বাস্তবে একটি গিটহাব ঠিকানা থেকে বেস৬৪ জেএসওএন ফাইল সংগ্রহ করে। এই জেএসওএন ফাইলে ইন্দোনেশিয়ান ফোন নম্বরের একটি তালিকা রয়েছে, যা একটি ‘কিল সুইচ’ হিসেবে কাজ করে। এই তালিকায় থাকা নম্বরগুলোর মালিকরা ক্ষতিকর কার্যক্রম থেকে রক্ষা পায়। অন্যদের ক্ষেত্রে, কোডটি ‘rm -rf *’ কমান্ড কার্যকর করে, যা বর্তমান ডিরেক্টরির সব ফাইল পুনরাবৃত্তভাবে মুছে ফেলে, ফলে ডেভেলপারের সিস্টেম থেকে কোড সম্পূর্ণ মুছে যায়।
সকেট আরও আবিষ্কার করেছে যে, উভয় প্যাকেজে ‘জেনারেটক্রিডস’ নামে একটি নিষ্ক্রিয় ডেটা চুরির ফাংশন রয়েছে, যা ভিকটিমের ফোন নম্বর, ডিভাইস আইডি, স্ট্যাটাস এবং হার্ডকোডেড কী চুরি করতে পারে। তবে, এই ফাংশনটি বর্তমানে মন্তব্য আকারে (কমেন্ট আউট) থাকায় নিষ্ক্রিয়।
গো ইকোসিস্টেমেও আঘাত:
একই সঙ্গে, সকেট ১১টি ম্যালিসিয়াস গো প্যাকেজ আবিষ্কার করেছে, যেগুলো স্ট্রিং-অ্যারে অবফাসকেশন ব্যবহার করে রানটাইমে দূরবর্তী পেলোড নীরবে কার্যকর করে। এই প্যাকেজগুলো একটি শেল তৈরি করে, .icu বা .tech ডোমেইন থেকে দ্বিতীয়-পর্যায়ের স্ক্রিপ্ট বা এক্সিকিউটেবল ফাইল সংগ্রহ করে এবং মেমোরিতে চালায়। এগুলো লিনাক্স সিআই সার্ভার এবং উইন্ডোজ ওয়ার্কস্টেশন উভয়কেই লক্ষ্য করে।
বেশিরভাগ প্যাকেজ টাইপোস্কোয়াটিং কৌশল ব্যবহার করে, অর্থাৎ ডেভেলপারদের টাইপিং ভুল বা বিভ্রান্তির উপর নির্ভর করে এগুলো ডাউনলোড করায়। ম্যালিসিয়াস প্যাকেজগুলোর তালিকা নিম্নরূপ:
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
এই প্যাকেজগুলোর বেশিরভাগই এখনও সক্রিয় রয়েছে। তাই গো ডেভেলপারদের তাদের বিল্ডিং ব্লকগুলো ব্যবহারের আগে দুবার পরীক্ষা করার পরামর্শ দেওয়া হচ্ছে।
বাংলাদেশের প্রেক্ষাপটে:
বাংলাদেশে ফ্রিল্যান্সার এবং সফটওয়্যার ডেভেলপারদের মধ্যে এনপিএম এবং গো প্যাকেজের ব্যবহার বাড়ছে। এই ধরনের ম্যালিসিয়াস প্যাকেজ ডেভেলপারদের প্রকল্প এবং ব্যবসায়িক কার্যক্রমের জন্য মারাত্মক হুমকি হয়ে দাঁড়াতে পারে। বিশেষ করে, হোয়াটসঅ্যাপ বিজনেস এপিআই-এর জনপ্রিয়তা বাংলাদেশের ছোট ব্যবসায়ীদের মধ্যে বাড়ছে, যারা গ্রাহক সেবা এবং অটোমেশনের জন্য এই ধরনের লাইব্রেরি ব্যবহার করে। তাই, ডেভেলপারদের সতর্ক থাকতে হবে এবং প্যাকেজ ডাউনলোডের আগে সকেটের মতো টুল ব্যবহার করে নিরাপত্তা যাচাই করতে হবে।
সতর্কতা ও পরামর্শ:
- এনপিএম বা গো প্যাকেজ ডাউনলোডের আগে তাদের উৎস এবং প্রকাশকের বিশ্বাসযোগ্যতা যাচাই করুন।
- সন্দেহজনক নেটওয়ার্ক কার্যক্রম বা ফাইল সিস্টেম ম্যানিপুলেশনের জন্য নিয়মিত নিরীক্ষণ করুন।
- সকেটের গিটহাব অ্যাপ, সিএলআই বা ব্রাউজার এক্সটেনশন ব্যবহার করে প্যাকেজ স্ক্যান করুন।
- হোয়াটসঅ্যাপের বৈধ লাইব্রেরি যেমন whatsapp-web.js বা baileys ব্যবহার করুন এবং অপরিচিত প্যাকেজ এড়িয়ে চলুন।
এই ঘটনা ওপেন-সোর্স ইকোসিস্টেমে আস্থার অপব্যবহার এবং ভৌগলিকভাবে লক্ষ্যবস্তু ম্যালওয়্যারের ক্রমবর্ধমান হুমকির প্রমাণ। বাংলাদেশের ডেভেলপারদের জন্য এটি একটি গুরুত্বপূর্ণ সতর্কবার্তা, যাতে তারা তাদের প্রকল্প এবং ডেটার নিরাপত্তা নিশ্চিত করতে পারে।
