💥 ৬,০০০+ ডেভেলপার ঝুঁকিতে! VS Code Extension Ethcode-এ ভয়াবহ Supply Chain হামলা
Bug Mohol প্রতিবেদন | ৮ জুলাই ২০২৫
💣 গিটহাবে ম্যালিশিয়াস Pull Request-এর মাধ্যমে চালানো হয় পরিকল্পিত Supply Chain আক্রমণ!
Visual Studio Code-এর একটি জনপ্রিয় এক্সটেনশন Ethcode-কে টার্গেট করে চালানো হয়েছে একটি মারাত্মক Supply Chain হামলা, যা ইতিমধ্যে ৬,০০০-এরও বেশি ডেভেলপারকে ঝুঁকির মুখে ফেলেছে।
সিকিউরিটি ফার্ম ReversingLabs জানিয়েছে, এই আক্রমণটি সংঘটিত হয় ১৭ জুন ২০২৫, যখন একজন অজানা ব্যবহারকারী Airez299 গিটহাবে একটি pull request সাবমিট করে — যার আড়ালে ছিল বিপজ্জনক কোড।
🧪 কীভাবে ছড়াল এই ম্যালওয়্যার?
Ethcode এক্সটেনশনটি মূলত Ethereum Virtual Machine (EVM) ভিত্তিক ব্লকচেইনে solidity smart contract ডিপ্লয় এবং এক্সিকিউশনের কাজে ব্যবহৃত হয়।
২০২৪ সালের ৬ সেপ্টেম্বরের পর আর কোনো বৈধ আপডেট ছিল না। ঠিক ৯ মাস পর, Airez299 দাবি করে যে, সে এক্সটেনশনে নতুন টেস্টিং ফ্রেমওয়ার্ক, Mocha ইন্টিগ্রেশন এবং dependency আপডেট করেছে।
কিন্তু সেই ৪,০০০ লাইনের আপডেটের মধ্যে, হ্যাকারটি মাত্র ২টি লাইন কোডের মাধ্যমে পুরো এক্সটেনশনটি কমপ্রোমাইজ করে!
🕵️♂️ কী ছিল সেই ম্যালিশিয়াস কোডে?
package.json-এ যোগ করা হয় একটি নতুন npm প্যাকেজ: keythereum-utils- এই প্যাকেজটি ছিল heavily obfuscated
- কোডটি hidden PowerShell চালিয়ে দ্বিতীয় ধাপের একটি পে-লোড ডাউনলোড করে
- এই প্যাকেজটি ইতিমধ্যে ৪৯৫ বার ডাউনলোড হয়েছে
এই প্যাকেজটির নির্মাতা হিসেবে ব্যবহার করা হয়েছে ভুয়া npm অ্যাকাউন্ট: 0xlab, 0xlabss, 1xlab — যেগুলো বর্তমানে আর সক্রিয় নেই।
🎯 সম্ভাব্য ক্ষতি কী?
এই ম্যালওয়্যারটি হয়তো —
- ডেভেলপারদের cryptocurrency অ্যাকাউন্ট চুরি করতে পারে
- বা smart contract কোডে পয়জনিং (malicious modification) করতে পারে
🛡️ Microsoft-এর পদক্ষেপ
Microsoft রিপোর্ট পাওয়ার পরপরই Ethcode এক্সটেনশনটি VS Code Marketplace থেকে সরিয়ে দেয়। পরে malicious dependency মুছে ফেলে এক্সটেনশনটি আবার রিস্টোর করা হয়।
প্রকল্পের একজন মেইন্টেইনার 0mkara বলেন,
"Ethcode প্যাকেজ Microsoft আনপাবলিশ করেছে কারণ এতে keythereum-utils নামক একটি ম্যালিশিয়াস প্যাকেজ ছিল। আমরা তা সরিয়ে ফেলেছি।"
📈 Supply Chain হামলার গতি ভয়াবহ!
Q2 ২০২৫-এ মোট ১৬,২৭৯টি Open-Source Malware চিহ্নিত হয়েছে — যা গত বছরের তুলনায় ১৮৮% বেশি!
তার মধ্যে:
- ৪,৪০০+ প্যাকেজ ছিল credential ও API token চুরির জন্য
- ৪০০+ প্যাকেজ সরাসরি ডেটা ধ্বংস বা sabotage করার জন্য
🇰🇵 এবং 🇨🇳 হ্যাকার গ্রুপ সক্রিয়
- লাজারাস গ্রুপ (উত্তর কোরিয়া): ১০৭টি malicious npm প্যাকেজ, ৩০,০০০+ বার ডাউনলোড
- Yeshen-Asia (চীন): ডিসেম্বরে শুরু হওয়া একাধিক npm প্যাকেজ, গোপনে system info ও running process সংগ্রহ করে
🧩 একই দিনে তৈরি গিটহাব অ্যাকাউন্ট?
Airez299-এর গিটহাব অ্যাকাউন্টটি ঠিক সেই দিনেই তৈরি যেদিন PR সাবমিট করা হয় — যা প্রমাণ করে এটি একটি একবার ব্যবহারযোগ্য (throwaway) অ্যাকাউন্ট ছিল।
🧟 Firefox Add-ons-এর মধ্যেও হুমকি!
Socket.io আরও জানায়, Mozilla Firefox Add-ons স্টোরে পাওয়া গেছে ৮টি ভুয়া gaming এক্সটেনশন — যেগুলো:
- OAuth Token চুরি
- বিভিন্ন গ্যাম্বলিং সাইটে রিডাইরেক্ট
- Affiliate ট্র্যাকিং লিংকে ইউজার রাউটিং
- Invisible tracking iframe ইঞ্জেক্ট করছে
সব এক্সটেনশনের প্রকাশক ছিল একজন: "mre1903" নামে।
🔐 Bug Mohol-এর সতর্কবার্তা:
ডেভেলপার, সাইবার গবেষক ও ওপেন সোর্স ব্যবহারকারীদের প্রতি আমাদের আহ্বান:
- কোনো PR ম্যানুয়ালি রিভিউ না করে Merge করবেন না
- npm/pypi প্যাকেজের উৎস ও কোড সাবধানে দেখুন
- পুরনো প্রজেক্টে নতুন contributor হলে সতর্ক থাকুন
- VS Code এক্সটেনশন ইনস্টল করার আগে রেটিং ও GitHub history দেখে নিন
📚 আরও পড়ুন:
- 👉 উত্তর কোরিয়ান হ্যাকারদের নতুন নিশানা: Web3, Nim Malware ও ClickFix সামাজিক প্রকৌশল | Bug Mohol
- 👉 Google কে $314M জরিমানা | অ্যান্ড্রয়েড মোবাইল ডেটা নিয়ে গোপন তথ্য চুরির ঘটনা ফাঁস | Bug Mohol
- 👉 PDF দিয়ে হ্যাকিং: Microsoft, DocuSign-এর নামে ফোন কল ফাঁদ! | Bug Mohol
- 👉 Facebook-এর নতুন AI ফিচার ব্যবহারকারীদের কাছে চায় ব্যক্তিগত ছবি: গোপনীয়তা নিয়ে উদ্বেগ বাড়ছ | Bug Mohol
- 👉 OneClik Malware: ClickOnce ও Golang দিয়ে এনার্জি সেক্টরে সাইবার হানা | Bug Mohol
🔗 যোগ দিন: Bug Mohol Telegram চ্যানেল
✍️ প্রতিবেদন: Bug Mohol Team
