ক্লাউড ডেভ প্ল্যাটফর্ম লঙ্ঘন আপসকৃত AI টুলের সাথে যুক্ত ক্রিপ্টো ফ্রন্টএন্ডের জন্য সতর্কতা বাড়ায়

ক্লাউড ডেভেলপমেন্ট প্ল্যাটফর্ম Vercel-এর নিরাপত্তা ঘটনা ক্রিপ্টো শিল্পে উদ্বেগ সৃষ্টি করেছে, কোম্পানির প্রকাশের পর যে আক্রমণকারীরা একটি তৃতীয় পক্ষের AI টুলের মাধ্যমে এর অভ্যন্তরীণ সিস্টেমের কিছু অংশ আপস করেছে।

যেহেতু অনেক ক্রিপ্টো প্রকল্প তাদের ইউজার ইন্টারফেস হোস্ট করতে Vercel-এর উপর নির্ভর করে, এই লঙ্ঘন তুলে ধরে যে Web3 টিমগুলি কেন্দ্রীভূত ক্লাউড অবকাঠামোর উপর কতটা নির্ভরশীল। এই নির্ভরতা একটি প্রায়শই উপেক্ষিত আক্রমণের পৃষ্ঠ তৈরি করে—যা DNS মনিটরিংয়ের মতো ঐতিহ্যবাহী প্রতিরক্ষা এড়িয়ে যেতে এবং সরাসরি ফ্রন্টএন্ড অখণ্ডতা আপস করতে পারে।

Vercel রবিবার জানিয়েছে যে অনুপ্রবেশটি একটি Google Workspace OAuth অ্যাপের সাথে সংযুক্ত তৃতীয় পক্ষের AI টুল থেকে উৎপন্ন হয়েছিল। কোম্পানি জানিয়েছে যে এই টুলটি একটি বৃহত্তর ঘটনায় লঙ্ঘিত হয়েছিল যা একাধিক সংস্থার শত শত ব্যবহারকারীকে প্রভাবিত করেছিল। Vercel নিশ্চিত করেছে যে গ্রাহকদের একটি সীমিত উপসেট প্রভাবিত হয়েছিল এবং এর সেবাগুলি কার্যকর ছিল।

কোম্পানিটি বাহ্যিক ঘটনা প্রতিক্রিয়াকারীদের নিযুক্ত করেছে এবং পুলিশকে সতর্ক করেছে এবং সেই সাথে তদন্ত করছে কীভাবে ডেটা অ্যাক্সেস করা হতে পারে।

অ্যাকাউন্টের জন্য অ্যাক্সেস কী, সোর্স কোড, ডাটাবেস রেকর্ড এবং ডিপ্লয়মেন্ট ক্রেডেনশিয়াল (NPM এবং GitHub টোকেন) তালিকাভুক্ত ছিল। কিন্তু এগুলি স্বাধীনভাবে প্রতিষ্ঠিত দাবি নয়।

প্রমাণ হিসাবে, সেই নমুনা আইটেমগুলির মধ্যে একটিতে নাম, কর্পোরেট ইমেল ঠিকানা, অ্যাকাউন্ট স্ট্যাটাস এবং কার্যকলাপের টাইমস্ট্যাম্প সহ প্রায় ৫৮০টি কর্মচারী রেকর্ড অন্তর্ভুক্ত ছিল, একটি অভ্যন্তরীণ ড্যাশবোর্ডের স্ক্রিনশট সহ।

অ্যাট্রিবিউশন অস্পষ্ট রয়ে গেছে। রিপোর্ট অনুযায়ী, মূল ShinyHunters গ্রুপের সাথে সংযুক্ত ব্যক্তিরা জড়িত থাকার কথা অস্বীকার করেছেন। বিক্রেতা আরও বলেছেন যে এটি Vercel-এর সাথে যোগাযোগ করেছিল, মুক্তিপণ দাবি করে, যদিও কোম্পানি প্রকাশ করেনি যে আলোচনা পরিচালিত হয়েছিল কিনা।

তৃতীয় পক্ষের AI আপস লুকানো অবকাঠামো ঝুঁকি উন্মোচন করে

Vercel-কে সরাসরি আক্রমণ করার পরিবর্তে, আক্রমণকারীরা Google Workspace-এর সাথে সংযুক্ত OAuth অ্যাক্সেস ব্যবহার করেছে। এই ধরনের সাপ্লাই-চেইন দুর্বলতা চিহ্নিত করা আরও জটিল, কারণ এটি সুস্পষ্ট দুর্বলতার পরিবর্তে বিশ্বস্ত ইন্টিগ্রেশনের উপর নির্ভর করে।

সফটওয়্যার সম্প্রদায়ে পরিচিত একজন ডেভেলপার Theo Browne বলেছেন যে পরামর্শদাতারা ইঙ্গিত করেছেন যে Vercel-এর অভ্যন্তরীণ Linear এবং GitHub ইন্টিগ্রেশন সমস্যার ভার বহন করেছে।

তিনি লক্ষ্য করেছেন যে Vercel-এ সংবেদনশীল হিসাবে চিহ্নিত এনভায়রনমেন্ট ভেরিয়েবলগুলি সুরক্ষিত; অন্যান্য ভেরিয়েবল যা ফ্ল্যাগ করা হয়নি সেই একই পরিণতি এড়াতে ঘোরাতে হবে।

Vercel এই নির্দেশনার ফলো-আপ করেছে, গ্রাহকদের তাদের এনভায়রনমেন্ট ভেরিয়েবল পর্যালোচনা করতে এবং প্ল্যাটফর্মের সংবেদনশীল ভেরিয়েবল বৈশিষ্ট্য ব্যবহার করতে অনুরোধ করেছে। এই ধরনের আপস বিশেষভাবে উদ্বেগজনক কারণ এনভায়রনমেন্ট ভেরিয়েবলগুলিতে প্রায়শই API কী, প্রাইভেট RPC এন্ডপয়েন্ট এবং ডিপ্লয়মেন্ট ক্রেডেনশিয়ালের মতো গোপনীয়তা থাকে।

যদি এই মানগুলি আপস করা হয়, আক্রমণকারীরা বিল্ড পরিবর্তন করতে, দূষিত কোড ইনজেক্ট করতে বা বৃহত্তর শোষণের জন্য সংযুক্ত সেবাগুলিতে অ্যাক্সেস পেতে সক্ষম হতে পারে।

DNS রেকর্ড বা ডোমেইন রেজিস্ট্রারকে লক্ষ্য করে সাধারণ লঙ্ঘনের বিপরীতে, হোস্টিং স্তরে আপস বিল্ড পাইপলাইন স্তরে ঘটে। এটি আক্রমণকারীদের কেবল দর্শকদের পুনঃনির্দেশ করার পরিবর্তে ব্যবহারকারীদের কাছে সরবরাহ করা প্রকৃত ফ্রন্টএন্ড আপস করতে দেয়।

কিছু প্রকল্প এনভায়রনমেন্ট ভেরিয়েবলগুলিতে সংবেদনশীল কনফিগারেশন ডেটা সংরক্ষণ করে, যার মধ্যে রয়েছে ওয়ালেট-সম্পর্কিত সেবা, বিশ্লেষণ প্রদানকারী এবং অবকাঠামো এন্ডপয়েন্ট। যদি সেই মানগুলি অ্যাক্সেস করা হয়, টিমগুলিকে ধরে নিতে হতে পারে যে সেগুলি আপস করা হয়েছে এবং সেগুলি ঘোরাতে হবে।

ফ্রন্টএন্ড আক্রমণ ইতিমধ্যে ক্রিপ্টো স্পেসে একটি পুনরাবৃত্ত চ্যালেঞ্জ হয়েছে। ডোমেইন হাইজ্যাকিংয়ের সাম্প্রতিক ঘটনাগুলি ব্যবহারকারীদের ওয়ালেট নিষ্কাশনের জন্য ডিজাইন করা দূষিত ক্লোনে পুনঃনির্দেশিত করেছে। কিন্তু সেই আক্রমণগুলি সাধারণত DNS বা রেজিস্ট্রার স্তরে আসে। এই পরিবর্তনগুলি প্রায়শই মনিটরিং টুল দিয়ে দ্রুত সনাক্ত করা যায়।

হোস্টিং স্তরে একটি আপস ভিন্ন। ব্যবহারকারীদের একটি জাল সাইটে নির্দেশ করার পরিবর্তে, আক্রমণকারীরা প্রকৃত ফ্রন্টএন্ড পরিবর্তন করে। ব্যবহারকারীরা দূষিত কোড সরবরাহকারী একটি বৈধ ডোমেইনের সম্মুখীন হতে পারে, কিন্তু কী ঘটছে তা জানার কোন ধারণা থাকবে না।

ক্রিপ্টো প্রকল্পগুলি এক্সপোজার পর্যালোচনা করার সাথে সাথে তদন্ত অব্যাহত রয়েছে

লঙ্ঘন কতদূর প্রবেশ করেছিল বা কোন গ্রাহক ডিপ্লয়মেন্ট পরিবর্তিত হয়েছিল কিনা তা অস্পষ্ট। Vercel বলেছে যে এর তদন্ত চলমান রয়েছে এবং আরও তথ্য উপলব্ধ হওয়ার সাথে সাথে এটি স্টেকহোল্ডারদের আপডেট করবে। এটি আরও বলেছে যে প্রভাবিত গ্রাহকদের সরাসরি যোগাযোগ করা হচ্ছে।

প্রকাশনার সময় পর্যন্ত কোন প্রধান ক্রিপ্টো প্রকল্প Vercel থেকে বিজ্ঞপ্তি পাওয়ার বিষয়টি সর্বজনীনভাবে নিশ্চিত করেনি। তবে ঘটনাটি টিমগুলিকে তাদের অবকাঠামো অডিট করতে, ক্রেডেনশিয়াল ঘোরাতে এবং তারা কীভাবে গোপনীয়তা পরিচালনা করে তা পরীক্ষা করতে প্ররোচিত করবে বলে আশা করা হচ্ছে।

বৃহত্তর শিক্ষা হল যে ক্রিপ্টো ফ্রন্টএন্ডে নিরাপত্তা DNS সুরক্ষা বা স্মার্ট কন্ট্র্যাক্ট অডিটে শেষ হয় না। ক্লাউড প্ল্যাটফর্ম, CI/CD পাইপলাইন এবং AI ইন্টিগ্রেশনের উপর নির্ভরতা ঝুঁকি আরও বাড়ায়।

যখন সেই বিশ্বস্ত সেবাগুলির একটি আপস করা হয়, আক্রমণকারীরা একটি চ্যানেল কাজে লাগাতে পারে যা ঐতিহ্যবাহী প্রতিরক্ষা বাইপাস করে এবং সরাসরি ব্যবহারকারীদের প্রভাবিত করে।

Vercel হ্যাক, একটি আপস করা AI টুলের সাথে সংযুক্ত, চিত্রিত করে কীভাবে আধুনিক ডেভেলপমেন্ট স্ট্যাকগুলিতে সাপ্লাই-চেইন দুর্বলতা ক্রিপ্টো ইকোসিস্টেম জুড়ে ক্যাসকেডিং প্রভাব ফেলতে পারে।

আপনার ব্যাংক আপনার অর্থ ব্যবহার করছে। আপনি অবশিষ্টাংশ পাচ্ছেন। নিজের ব্যাংক হওয়ার বিষয়ে আমাদের বিনামূল্যে ভিডিও দেখুন