ক্রিপ্টো ওয়ালেট খালি, নিরাপত্তা ত্রুটি সিস্টেমের সুযোগ নেয়

ক্ষতিকর কোড ক্রিপ্টোকারেন্সি প্রমাণপত্রাদি চুরি করে, ক্লাউড পরিবেশের সুযোগ নেয়

গবেষকরা ওপেন-সোর্স প্যাকেজগুলিতে এম্বেড করা ক্ষতিকর কোড আবিষ্কার করেছেন, যার ফলে ক্রিপ্টোকারেন্সি ওয়ালেট প্রমাণপত্রাদি চুরি হয়েছে এবং ক্লাউড পরিবেশ ক্ষতিগ্রস্ত হয়েছে। সিকিউরিটি ফার্ম সকেটের একটি প্রতিবেদন অনুসারে, dYdX ক্রিপ্টোকারেন্সি এক্সচেঞ্জের ব্যবহারকারী এবং ডেভেলপারদের লক্ষ্য করে আক্রমণগুলি npm এবং PyPI রিপোজিটরিগুলিতে উপলব্ধ সফ্টওয়্যার প্যাকেজগুলির দুর্বলতাগুলির সুযোগ নিয়েছিল। এই অনুসন্ধানগুলি ডিজিটাল সুরক্ষার জন্য ক্রমবর্ধমান হুমকির বিষয়টি তুলে ধরেছে, যার সম্ভাব্য ধ্বংসাত্মক আর্থিক এবং পরিচালনগত পরিণতি হতে পারে।

আক্রান্ত প্যাকেজগুলির মধ্যে npm-এ "dydxprotocolv4-client-js"-এর সংস্করণ অন্তর্ভুক্ত ছিল। আর্স টেকনিকার মতে, ক্ষতিকর কোডটি আক্রমণকারীদের dYdX ডেভেলপার এবং ব্যাকএন্ড সিস্টেম থেকে ওয়ালেট প্রমাণপত্রাদি চুরি করতে এবং কিছু ক্ষেত্রে ডিভাইসগুলিতে ব্যাকডোর তৈরি করতে দেয়। এই আক্রমণগুলির মধ্যে রয়েছে ওয়ালেট সম্পূর্ণভাবে ক্ষতিগ্রস্ত হওয়া এবং অপরিবর্তনীয় ক্রিপ্টোকারেন্সি চুরি হওয়া। আক্রমণের সুযোগের মধ্যে রয়েছে ক্ষতিগ্রস্ত সংস্করণগুলির উপর নির্ভরশীল সমস্ত অ্যাপ্লিকেশন এবং আসল প্রমাণপত্রাদি দিয়ে পরীক্ষা করা ডেভেলপার এবং উৎপাদন ব্যবহারকারী উভয়ই।

আরেকটি ঘটনায়, CrowdStrike Intelligence দ্বারা "পরিচয় এবং অ্যাক্সেস ম্যানেজমেন্ট (IAM) পিভট" নামে একটি নতুন আক্রমণ শৃঙ্খল নথিভুক্ত করা হয়েছে। VentureBeat-এর মতে, এই আক্রমণ, যা আপাতদৃষ্টিতে বৈধ একটি LinkedIn বার্তার মাধ্যমে শুরু করা যেতে পারে, এর মাধ্যমে প্রতিপক্ষের কয়েক মিনিটের মধ্যে ক্লাউড পরিবেশে অ্যাক্সেস পাওয়ার সুযোগ হয়। আক্রমণটিতে একজন ডেভেলপার একজন রিক্রুটারের কাছ থেকে একটি বার্তা পান, একটি কোডিং অ্যাসেসমেন্টের জন্য একটি প্যাকেজ ইনস্টল করেন এবং পরবর্তীতে তাদের ক্লাউড প্রমাণপত্রাদি - যার মধ্যে GitHub ব্যক্তিগত অ্যাক্সেস টোকেন, AWS API কী এবং Azure পরিষেবা প্রিন্সিপাল অন্তর্ভুক্ত - সরিয়ে নেওয়া হয়।

উন্নত এআই মডেলগুলির ক্ষমতা দ্বারা অত্যাধুনিক সাইবার আক্রমণের উত্থান আরও জটিল হয়ে উঠছে। Anthropic-এর নতুন মডেল, Claude Opus 4.6, শূন্য-দিনের দুর্বলতা সহ সফ্টওয়্যার দুর্বলতা আবিষ্কারে পারদর্শী। কোম্পানির ফ্রন্টিয়ার রেড টিমের একটি প্রতিবেদন অনুসারে, মডেলটি ওপেন-সোর্স সফ্টওয়্যার লাইব্রেরি জুড়ে ৫০০টিরও বেশি অজানা শূন্য-দিনের দুর্বলতা চিহ্নিত করেছে। Fortune-এর প্রতিবেদনে বলা হয়েছে, এই উন্নয়ন এআই-এর দ্বৈত প্রকৃতিকে তুলে ধরে, যা নিরাপত্তা দুর্বলতা সনাক্তকরণ এবং কাজে লাগানোর জন্য উভয় ক্ষেত্রেই ব্যবহার করা যেতে পারে।

এই ঘটনাগুলি ক্রমবর্ধমান হুমকির চিত্র এবং শক্তিশালী নিরাপত্তা ব্যবস্থার প্রয়োজনীয়তার ওপর আলোকপাত করে। ওপেন-সোর্স প্যাকেজগুলির ক্ষতি এবং ক্লাউড পরিবেশের সুযোগ গ্রহণ কোড নিরাপত্তা এবং পরিচয় ব্যবস্থাপনায় সতর্কতার গুরুত্বকে তুলে ধরে।