নতুন চারটি ক্ষতিকর npm প্যাকেজ ইথেরিয়াম ডেভেলপারদের ক্রিপ্টোকারেন্সি ওয়ালেটের গোপন কী চুরির ক্ষমতা নিয়ে npm প্যাকেজ রেজিস্ট্রিতে পাওয়া গেছে। এই প্যাকেজগুলো ফ্ল্যাশবটস নামে পরিচিত একটি বিশ্বস্ত প্ল্যাটফর্মের ছদ্মবেশে কাজ করে, যা ইথেরিয়াম নেটওয়ার্কে ম্যাক্সিমাল এক্সট্রাক্টেবল ভ্যালু (MEV) এর ক্ষতিকর প্রভাব মোকাবিলায় কাজ করে।
সকেটের গবেষক কুশ পান্ডিয়া জানিয়েছেন, “এই প্যাকেজগুলো বৈধ ক্রিপ্টোগ্রাফিক ইউটিলিটি এবং ফ্ল্যাশবটসের MEV অবকাঠামোর ছদ্মবেশে ব্যক্তিগত কী এবং মেমোনিক সীডগুলো একটি হুমকি-নিয়ন্ত্রিত টেলিগ্রাম বটে পাঠায়।”
প্যাকেজগুলোর বিস্তারিত
এই প্যাকেজগুলো একটি “flashbotts” নামের ব্যবহারকারী দ্বারা npm-এ আপলোড করা হয়েছে। প্রথম প্যাকেজটি ২০২৩ সালের সেপ্টেম্বরে আপলোড হয়, এবং সর্বশেষটি আপলোড হয়েছে ১৯ আগস্ট, ২০২৫-এ। নিচে প্যাকেজগুলোর তালিকা দেওয়া হলো, যেগুলো এখনও ডাউনলোডের জন্য উপলব্ধ:
- @flashbotts/ethers-provider-bundle (৫২ ডাউনলোড)
- flashbot-sdk-eth (৪৬৭ ডাউনলোড)
- sdk-ethers (৯০ ডাউনলোড)
- gram-utilz (৮৩ ডাউনলোড)
ফ্ল্যাশবটসের নাম ব্যবহার করা কোনো কাকতালীয় ঘটনা নয়। ফ্ল্যাশবটস ইথেরিয়াম নেটওয়ার্কে স্যান্ডউইচ, লিকুইডেশন, ব্যাকরানিং, ফ্রন্ট-রানিং এবং টাইম-ব্যান্ডিটের মতো MEV-সম্পর্কিত আক্রমণ প্রতিরোধে গুরুত্বপূর্ণ ভূমিকা পালন করে। এই বিশ্বাসযোগ্যতাকে কাজে লাগিয়ে হুমকি-অভিনেতারা ডেভেলপারদের প্রতারিত করছে।
ক্ষতিকর কার্যক্রম
সবচেয়ে বিপজ্জনক প্যাকেজ হলো @flashbotts/ethers-provider-bundle। এটি ফ্ল্যাশবটস API-এর সাথে পূর্ণ সামঞ্জস্যের ছদ্মবেশে গোপনে পরিবেশগত ভেরিয়েবলগুলো মেইলট্র্যাপের মাধ্যমে SMTP-তে পাঠায়। এছাড়া, এই প্যাকেজটি একটি ট্রানজ্যাকশন ম্যানিপুলেশন ফাংশন ব্যবহার করে, যা সব অস্বাক্ষরিত ট্রানজ্যাকশনকে হুমকি-নিয়ন্ত্রিত ওয়ালেট ঠিকানায় পুনঃনির্দেশ করে এবং প্রাক-স্বাক্ষরিত ট্রানজ্যাকশনের মেটাডেটা লগ করে।
sdk-ethers প্যাকেজটি মূলত নিরীহ, তবে এতে দুটি ফাংশন রয়েছে যা ডেভেলপাররা অজান্তে তাদের প্রকল্পে ব্যবহার করলে মেমোনিক সীড ফ্রেজগুলো টেলিগ্রাম বটে পাঠায়। flashbot-sdk-eth প্যাকেজটি ব্যক্তিগত কী চুরির জন্য ডিজাইন করা হয়েছে, এবং gram-utilz যেকোনো ডেটা হুমকি-অভিনেতার টেলিগ্রাম চ্যাটে পাঠানোর জন্য একটি মডুলার মেকানিজম প্রদান করে।
মেমোনিক সীড ফ্রেজগুলো ক্রিপ্টোকারেন্সি ওয়ালেটের “মাস্টার কী” হিসেবে কাজ করে। এই শব্দের ক্রম চুরি হলে হুমকি-অভিনেতারা ভুক্তভোগীর ওয়ালেটে প্রবেশ করে সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে।
হুমকির উৎস
প্যাকেজগুলোর সোর্স কোডে ভিয়েতনামী ভাষায় মন্তব্য পাওয়া গেছে, যা ইঙ্গিত দেয় যে এই আর্থিক উদ্দেশ্যপ্রণোদিত হুমকি-অভিনেতা সম্ভবত ভিয়েতনামী-ভাষী।
সফটওয়্যার সাপ্লাই চেইন আক্রমণ
এই ঘটনা সফটওয়্যার সাপ্লাই চেইন আক্রমণের একটি সুস্পষ্ট প্রচেষ্টা। হুমকি-অভিনেতারা ফ্ল্যাশবটসের মতো বিশ্বস্ত প্ল্যাটফর্মের নাম ব্যবহার করে ডেভেলপারদের আস্থাকে অস্ত্র হিসেবে ব্যবহার করছে। ক্ষতিকর কোডকে নিরীহ কোডের মধ্যে লুকিয়ে রাখা হয়েছে, যাতে সাধারণ পরীক্ষায় ধরা না পড়ে।
পান্ডিয়া বলেন, “ফ্ল্যাশবটস যেহেতু ভ্যালিডেটর, সার্চার এবং DeFi ডেভেলপারদের কাছে বিশ্বস্ত, তাই এটির নামে কোনো প্যাকেজ সহজেই গ্রহণযোগ্যতা পায়। এই পরিবেশে একটি আপোসকৃত ব্যক্তিগত কী তাৎক্ষণিকভাবে এবং অপরিবর্তনীয়ভাবে তহবিল চুরির দিকে নিয়ে যেতে পারে।”
সুরক্ষার পরামর্শ
বাংলাদেশের ক্রিপ্টো ডেভেলপার এবং ব্যবহারকারীদের জন্য এই ধরনের হুমকি থেকে বাঁচতে সতর্কতা অবলম্বন জরুরি। npm প্যাকেজ ডাউনলোডের আগে এর উৎস এবং বিশ্বাসযোগ্যতা যাচাই করুন। অজানা প্যাকেজ ব্যবহার এড়িয়ে চলুন এবং আপনার প্রকল্পে কোনো ফাংশন ব্যবহারের আগে কোড পরীক্ষা করুন। এই ধরনের সাইবার হুমকি থেকে সুরক্ষিত থাকতে নিয়মিত সফটওয়্যার আপডেট এবং নিরাপত্তা প্যাচ ব্যবহার করুন।
