৯৩ মিনিটের জন্য, Bitwarden-এর 'অফিসিয়াল' CLI ইনস্টল করা ল্যাপটপগুলিকে GitHub অ্যাকাউন্ট হাইজ্যাক করার লঞ্চপ্যাডে পরিণত করেছিল
২২ এপ্রিল, Bitwarden-এর কমান্ড-লাইন ইন্টারফেসের একটি ক্ষতিকর সংস্করণ npm-এ অফিসিয়াল প্যাকেজ নাম @bitwarden/cli@2026.4.0 হিসেবে প্রকাশিত হয়। ৯৩ মিনিটের জন্য, যে কেউ npm-এর মাধ্যমে CLI ডাউনলোড করেছেন তিনি বৈধ টুলের পরিবর্তে একটি ব্যাকডোরযুক্ত বিকল্প পেয়েছেন।
Bitwarden আপোষটি সনাক্ত করে, প্যাকেজটি সরিয়ে নেয় এবং একটি বিবৃতি জারি করে বলে যে আক্রমণকারীরা শেষ-ব্যবহারকারীর ভল্ট ডেটা অ্যাক্সেস করেছে বা প্রোডাকশন সিস্টেম আপোষ করেছে এমন কোনো প্রমাণ পাওয়া যায়নি।
নিরাপত্তা গবেষণা সংস্থা JFrog ক্ষতিকর পেলোড বিশ্লেষণ করে এবং দেখতে পায় যে এটির Bitwarden ভল্টে কোনো বিশেষ আগ্রহ ছিল না। এটি GitHub টোকেন, npm টোকেন, SSH কী, শেল হিস্ট্রি, AWS ক্রেডেনশিয়াল, GCP ক্রেডেনশিয়াল, Azure ক্রেডেনশিয়াল, GitHub Actions সিক্রেট এবং AI টুলিং কনফিগারেশন ফাইলকে লক্ষ্য করেছিল।
এগুলি হল সেই ক্রেডেনশিয়াল যা দলগুলি কীভাবে তাদের অবকাঠামো তৈরি, স্থাপন এবং পরিচালনা করে তা নিয়ন্ত্রণ করে।
| লক্ষ্যবস্তু সিক্রেট / ডেটার ধরন | এটি সাধারণত কোথায় থাকে | অপারেশনালভাবে কেন এটি গুরুত্বপূর্ণ |
|---|---|---|
| GitHub টোকেন | ডেভেলপার ল্যাপটপ, লোকাল কনফিগ, CI পরিবেশ | রেপো অ্যাক্সেস, ওয়ার্কফ্লো অপব্যবহার, সিক্রেট তালিকা এবং অটোমেশনের মাধ্যমে লেটারাল মুভমেন্ট সক্ষম করতে পারে |
| npm টোকেন | লোকাল কনফিগ, রিলিজ পরিবেশ | ক্ষতিকর প্যাকেজ প্রকাশ করতে বা রিলিজ ফ্লো পরিবর্তন করতে ব্যবহার করা যেতে পারে |
| SSH কী | ডেভেলপার মেশিন, বিল্ড হোস্ট | সার্ভার, অভ্যন্তরীণ রেপো এবং অবকাঠামোতে অ্যাক্সেস খুলতে পারে |
| শেল হিস্ট্রি | লোকাল মেশিন | পেস্ট করা সিক্রেট, কমান্ড, অভ্যন্তরীণ হোস্টনেম এবং ওয়ার্কফ্লো বিবরণ প্রকাশ করতে পারে |
| AWS ক্রেডেনশিয়াল | লোকাল কনফিগ ফাইল, এনভায়রনমেন্ট ভেরিয়েবল, CI সিক্রেট | ক্লাউড ওয়ার্কলোড, স্টোরেজ এবং ডিপ্লয়মেন্ট সিস্টেম প্রকাশ করতে পারে |
| GCP ক্রেডেনশিয়াল | লোকাল কনফিগ ফাইল, এনভায়রনমেন্ট ভেরিয়েবল, CI সিক্রেট | ক্লাউড প্রজেক্ট, সার্ভিস এবং অটোমেশন পাইপলাইন প্রকাশ করতে পারে |
| Azure ক্রেডেনশিয়াল | লোকাল কনফিগ ফাইল, এনভায়রনমেন্ট ভেরিয়েবল, CI সিক্রেট | ক্লাউড অবকাঠামো, পরিচয় সিস্টেম এবং ডিপ্লয়মেন্ট পথ প্রকাশ করতে পারে |
| GitHub Actions সিক্রেট | CI/CD পরিবেশ | অটোমেশন, বিল্ড আউটপুট, ডিপ্লয়মেন্ট এবং ডাউনস্ট্রিম সিক্রেটে অ্যাক্সেস দিতে পারে |
| AI টুলিং / কনফিগ ফাইল | প্রজেক্ট ডিরেক্টরি, লোকাল ডেভ পরিবেশ | API কী, অভ্যন্তরীণ এন্ডপয়েন্ট, মডেল সেটিংস এবং সংশ্লিষ্ট ক্রেডেনশিয়াল প্রকাশ করতে পারে |
Bitwarden ৫০,০০০-এরও বেশি ব্যবসা এবং ১ কোটি ব্যবহারকারীকে সেবা দেয়, এবং এর নিজস্ব ডকুমেন্টেশন CLI-কে ভল্ট অ্যাক্সেস এবং পরিচালনার একটি "শক্তিশালী, সম্পূর্ণ-বৈশিষ্ট্যযুক্ত" উপায় হিসেবে বর্ণনা করে, যার মধ্যে এনভায়রনমেন্ট ভেরিয়েবল ব্যবহার করে প্রমাণীকরণকারী স্বয়ংক্রিয় ওয়ার্কফ্লোও অন্তর্ভুক্ত।
Bitwarden npm-কে ইতিমধ্যে রেজিস্ট্রির সাথে পরিচিত ব্যবহারকারীদের জন্য সবচেয়ে সহজ এবং পছন্দনীয় ইনস্টলেশন পদ্ধতি হিসেবে তালিকাভুক্ত করে। অটোমেশন ব্যবহার, ডেভেলপার-মেশিন ইনস্টলেশন এবং অফিসিয়াল npm বিতরণের এই সমন্বয় CLI-কে ঠিক সেখানে স্থাপন করে যেখানে উচ্চ-মূল্যের অবকাঠামো সিক্রেটগুলি থাকার প্রবণতা রয়েছে।
JFrog-এর বিশ্লেষণ দেখায় যে ক্ষতিকর প্যাকেজটি preinstall হুক এবং bw বাইনারি এন্ট্রিপয়েন্ট উভয়কেই একটি লোডারের সাথে পুনরায় সংযুক্ত করেছিল যা Bun রানটাইম ফেচ করে এবং একটি অস্পষ্ট পেলোড চালু করে। ইনস্টল সময় এবং রানটাইমে আপোষটি সক্রিয় হয়।
একটি সংস্থা যেকোনো সংরক্ষিত পাসওয়ার্ড না স্পর্শ করেই ব্যাকডোরযুক্ত CLI চালাতে পারে যখন ম্যালওয়্যার পদ্ধতিগতভাবে তার CI পাইপলাইন, ক্লাউড অ্যাকাউন্ট এবং ডিপ্লয়মেন্ট অটোমেশন পরিচালনাকারী ক্রেডেনশিয়াল সংগ্রহ করে।
নিরাপত্তা সংস্থা Socket বলছে যে আক্রমণটি Bitwarden-এর CI/CD পাইপলাইনে একটি আপোষকৃত GitHub Action শোষণ করেছে বলে মনে হচ্ছে, যা Checkmarx গবেষকরা যে প্যাটার্ন ট্র্যাক করছেন তার সাথে সামঞ্জস্যপূর্ণ।
Bitwarden নিশ্চিত করেছে যে ঘটনাটি বৃহত্তর Checkmarx সাপ্লাই চেইন প্রচারণার সাথে সংযুক্ত।
বিশ্বাসের বাধা
Npm তার বিশ্বস্ত পাবলিশিং মডেল তৈরি করেছিল এই ধরনের ঝুঁকি মোকাবেলা করতে।
দীর্ঘস্থায়ী npm পাবলিশ টোকেনকে OIDC-ভিত্তিক CI/CD প্রমাণীকরণ দিয়ে প্রতিস্থাপন করে, সিস্টেমটি আক্রমণকারীরা রেজিস্ট্রি রিলিজ হাইজ্যাক করতে যে সবচেয়ে সাধারণ পথ ব্যবহার করে তার একটি সরিয়ে দেয়, এবং npm বিশ্বস্ত পাবলিশিংকে সুপারিশ করে এবং এটিকে একটি অর্থবহ পদক্ষেপ হিসেবে বিবেচনা করে।
কঠিনতর পৃষ্ঠটি হল রিলিজ লজিক নিজেই, যেমন ওয়ার্কফ্লো এবং অ্যাকশন যা পাবলিশ স্টেপ আহ্বান করে। Npm-এর নিজস্ব ডকুমেন্টেশন OIDC-এর বাইরে নিয়ন্ত্রণের সুপারিশ করে, যেমন ম্যানুয়াল অনুমোদনের প্রয়োজনীয়তা সহ ডিপ্লয়মেন্ট পরিবেশ, ট্যাগ সুরক্ষা নিয়ম এবং শাখা বিধিনিষেধ।
| বিশ্বাস চেইনের স্তর | এটি কী গ্যারান্টি দেওয়ার কথা | তবুও কী ভুল হতে পারে |
|---|---|---|
| সোর্স রিপোজিটরি | প্রত্যাশিত রেপোতে উদ্দেশ্যকৃত কোডবেস বিদ্যমান | আক্রমণকারীদের কখনই সরাসরি মূল কোডবেস পরিবর্তন করার প্রয়োজন নাও হতে পারে |
| CI/CD ওয়ার্কফ্লো | রেপো থেকে বিল্ড এবং রিলিজ স্বয়ংক্রিয় করে | আপোষ হলে, এটি একটি ক্ষতিকর আর্টিফ্যাক্ট তৈরি এবং প্রকাশ করতে পারে |
| GitHub Actions / রিলিজ লজিক | সফটওয়্যার বিল্ড এবং প্রকাশ করার ধাপগুলি সম্পাদন করে | একটি বিষাক্ত অ্যাকশন বা অপব্যবহৃত ওয়ার্কফ্লো একটি বৈধ রিলিজ পথকে ক্ষতিকর করে তুলতে পারে |
| OIDC বিশ্বস্ত পাবলিশিং | দীর্ঘস্থায়ী রেজিস্ট্রি টোকেনকে স্বল্পস্থায়ী পরিচয়-ভিত্তিক অথ দিয়ে প্রতিস্থাপন করে | এটি প্রমাণ করে যে একটি অনুমোদিত ওয়ার্কফ্লো প্যাকেজ প্রকাশ করেছে, কিন্তু ওয়ার্কফ্লোটি নিজেই নিরাপদ ছিল কি না তা নয় |
| npm অফিসিয়াল প্যাকেজ রুট | প্রত্যাশিত প্যাকেজ নামের অধীনে সফটওয়্যার বিতরণ করে | অফিসিয়াল পাবলিশ পথ আপোষ হলে ব্যবহারকারীরা এখনও ম্যালওয়্যার পেতে পারেন |
| ডেভেলপার মেশিন / CI রানার | অফিসিয়াল প্যাকেজ ব্যবহার করে | ইনস্টল-টাইম বা রানটাইম ম্যালওয়্যার লোকাল, ক্লাউড এবং অটোমেশন সিক্রেট সংগ্রহ করতে পারে |
GitHub-এর এনভায়রনমেন্ট সেটিংস সংস্থাগুলিকে একটি ওয়ার্কফ্লো ডিপ্লয় করার আগে পর্যালোচকদের সাইন-অফ প্রয়োজন করতে দেয়। SLSA ফ্রেমওয়ার্ক আরও এগিয়ে যায় গ্রাহকদের প্রত্যাশিত প্যারামিটারের সাথে প্রভেন্যান্স মিলছে কিনা তা যাচাই করতে বলে, যেমন সঠিক রিপোজিটরি, শাখা, ট্যাগ, ওয়ার্কফ্লো এবং বিল্ড কনফিগারেশন।
Bitwarden ঘটনা দেখায় যে কঠিনতর সমস্যাটি ওয়ার্কফ্লো স্তরে রয়েছে। যদি একজন আক্রমণকারী রিলিজ ওয়ার্কফ্লো নিজেই শোষণ করতে পারে, তাহলে "অফিসিয়াল" ব্যাজটি এখনও ক্ষতিকর প্যাকেজের সাথে থাকে।
বিশ্বস্ত পাবলিশিং বিশ্বাসের বোঝাকে উপরে সরিয়ে দেয় ওয়ার্কফ্লো এবং অ্যাকশনের অখণ্ডতার দিকে যা এটি আহ্বান করে, এমন একটি স্তর যা সংস্থাগুলি মূলত অপরীক্ষিত রেখেছে।
একটি টোকেন, অনেক দরজা
ডেভেলপার এবং অবকাঠামো দলগুলির জন্য, একটি আপোষকৃত রিলিজ ওয়ার্কফ্লো CI পাইপলাইন, অটোমেশন অবকাঠামো এবং সেগুলি পরিচালনাকারী ক্রেডেনশিয়াল প্রকাশ করে।
JFrog-এর বিশ্লেষণ দেখায় যে একবার ম্যালওয়্যার একটি GitHub টোকেন পেলে, এটি টোকেন যাচাই করতে, লেখার যোগ্য রিপোজিটরি গণনা করতে, GitHub Actions সিক্রেট তালিকা করতে, একটি শাখা তৈরি করতে, একটি ওয়ার্কফ্লো কমিট করতে, এটি সম্পাদনের জন্য অপেক্ষা করতে, ফলাফলের আর্টিফ্যাক্ট ডাউনলোড করতে এবং তারপর পরিষ্কার করতে পারে।
টোকেন পাওয়া একটি স্বয়ংক্রিয় চেইন তৈরি করে যা একটি একক চুরি করা ক্রেডেনশিয়ালকে একটি সংস্থার অটোমেশন অবকাঠামো জুড়ে স্থায়ী অ্যাক্সেসে রূপান্তরিত করে।
একটি ডেভেলপারের ল্যাপটপ যা একটি বিষাক্ত অফিসিয়াল প্যাকেজ ইনস্টল করে হোস্টের লোকাল ক্রেডেনশিয়াল স্টোর থেকে GitHub অ্যাক্সেস পর্যন্ত এবং সেই GitHub টোকেন যা পৌঁছাতে পারে তার একটি সেতু হয়ে ওঠে।
Bybit ঘটনা একটি ঘনিষ্ঠ কাঠামোগত সাদৃশ্য। একটি আপোষকৃত ডেভেলপার ওয়ার্কস্টেশন আক্রমণকারীদের একটি বিশ্বস্ত আপস্ট্রিম ইন্টারফেস বিষাক্ত করতে দিয়েছিল, যা তখন ভিকটিমের অপারেশনাল প্রক্রিয়ায় পৌঁছেছিল।
পার্থক্য হল যে Bybit-এ একটি টেম্পার করা Safe ওয়েব UI জড়িত ছিল, যখন Bitwarden-এ একটি টেম্পার করা অফিসিয়াল npm প্যাকেজ জড়িত ছিল।
ক্রিপ্টো, ফিনটেক বা কাস্টডি পরিবেশে, সেই পথটি একটি ক্রেডেনশিয়াল স্টোর থেকে রিলিজ সাইনার, ক্লাউড অ্যাক্সেস এবং ডিপ্লয়মেন্ট সিস্টেম পর্যন্ত কোনো ভল্ট এন্ট্রি স্পর্শ না করেই চলতে পারে।
৬০ দিনের মধ্যে, Checkmarx আপোষকৃত GitHub Actions ওয়ার্কফ্লো এবং OpenVSX প্লাগইন প্রকাশ করেছে, যখন Cloud Security Alliance সতর্ক করেছে যে TeamPCP প্রচারণা সক্রিয়ভাবে ওপেন-সোর্স প্রজেক্ট এবং CI/CD অটোমেশন কম্পোনেন্ট আপোষ করছে।
JFrog নথিভুক্ত করেছে যে কীভাবে একটি আপোষকৃত Trivy GitHub Action LiteLLM-এর পাবলিশ টোকেন এক্সফিল্ট্রেট করেছে এবং ক্ষতিকর PyPI রিলিজ সক্ষম করেছে, এবং Axios প্রকাশ করেছে যে দুটি ক্ষতিকর npm সংস্করণ একটি আপোষকৃত মেইনটেইনার অ্যাকাউন্টের মাধ্যমে প্রায় তিন ঘন্টা প্রচলিত ছিল।
Sonatype ২০২৫ সালে একাই ৪,৫৪,৬০০-এরও বেশি নতুন ক্ষতিকর প্যাকেজ গণনা করেছে, সঞ্চিত মোট ১২ লক্ষেরও বেশিতে নিয়ে এসেছে। Bitwarden ঘটনার একটি শৃঙ্খলে যোগ দেয় যা রিলিজ ওয়ার্কফ্লো এবং প্যাকেজ রেজিস্ট্রিকে প্রাথমিক আক্রমণ পৃষ্ঠ হিসেবে নিশ্চিত করে।
| তারিখ / সময়কাল | ঘটনা | আপোষকৃত বিশ্বাস পয়েন্ট | কেন এটি গুরুত্বপূর্ণ |
|---|---|---|---|
| ২৩ মার্চ, ২০২৬ | Checkmarx আপোষকৃত GitHub Actions ওয়ার্কফ্লো এবং OpenVSX প্লাগইন প্রকাশ করেছে | GitHub Actions ওয়ার্কফ্লো, ডেভেলপার টুলিং বিতরণ | আক্রমণকারীরা আপস্ট্রিম অটোমেশন এবং বিশ্বস্ত টুলিং চ্যানেলকে লক্ষ্য করছে তা দেখায় |
| একই প্রচারণা উইন্ডোর মধ্যে | JFrog দ্বারা নথিভুক্ত Trivy / LiteLLM চেইন | টোকেন চুরি এবং ক্ষতিকর PyPI রিলিজের দিকে নিয়ে যাওয়া আপোষকৃত GitHub Action | দেখায় কীভাবে একটি বিষাক্ত অটোমেশন কম্পোনেন্ট প্যাকেজ পাবলিকেশন অপব্যবহারে ক্যাসকেড করতে পারে |
| ৩১ মার্চ, ২০২৬ | Axios ক্ষতিকর npm সংস্করণ | আপোষকৃত মেইনটেইনার অ্যাকাউন্ট | দেখায় অফিসিয়াল প্যাকেজ নামগুলি অ্যাকাউন্ট-স্তরের আপোষের মাধ্যমে আক্রমণ ভেক্টর হয়ে উঠতে পারে |
| ২২ এপ্রিল, ২০২৬ | Bitwarden CLI ক্ষতিকর npm রিলিজ | একটি নিরাপত্তা টুলের জন্য অফিসিয়াল npm বিতরণ পথ | দেখায় একটি বিশ্বস্ত প্যাকেজ ভল্ট বিষয়বস্তু স্পর্শ না করেই অবকাঠামো সিক্রেট প্রকাশ করতে পারে |
| ২০২৫ মোট | Sonatype ম্যালওয়্যার গণনা | ওপেন-সোর্স প্যাকেজ ইকোসিস্টেম ব্যাপকভাবে | ক্ষতিকর-প্যাকেজ কার্যকলাপের মাত্রা এবং কেন রেজিস্ট্রি বিশ্বাস এখন একটি কৌশলগত ঝুঁকি তা নির্দেশ করে |
সঠিক মূল কারণ এখনও প্রকাশিত হয়নি, কারণ Bitwarden Checkmarx প্রচারণার সাথে সংযোগ নিশ্চিত করেছে কিন্তু আক্রমণকারী কীভাবে রিলিজ পাইপলাইনে অ্যাক্সেস পেয়েছিল তার বিস্তারিত বিবরণ প্রকাশ করেনি।
আক্রমণের ফলাফল
রক্ষকদের জন্য সবচেয়ে শক্তিশালী ফলাফল হল যে এই ঘটনাটি "অফিসিয়াল" মানে কী তার পুনর্সংজ্ঞার গতি ত্বরান্বিত করে।
আজ, বিশ্বস্ত পাবলিশিং প্রতিটি প্রকাশিত প্যাকেজে প্রভেন্যান্স ডেটা সংযুক্ত করে, এর মাধ্যমে রেজিস্ট্রিতে প্রকাশকের পরিচয় নিশ্চিত করে। SLSA স্পষ্টভাবে যাচাইকারীদের জন্য একটি উচ্চতর মান নথিভুক্ত করে প্রত্যাশিত রিপোজিটরি, শাখা, ওয়ার্কফ্লো এবং বিল্ড প্যারামিটারের সাথে প্রভেন্যান্স মিলছে কিনা পরীক্ষা করতে।
যদি সেই মান ডিফল্ট ভোক্তা আচরণ হয়ে ওঠে, তাহলে "অফিসিয়াল" মানে শুরু হবে "সঠিক সীমাবদ্ধতার অধীনে সঠিক ওয়ার্কফ্লো দ্বারা নির্মিত," এবং যে আক্রমণকারী একটি অ্যাকশন আপোষ করে কিন্তু প্রতিটি প্রভেন্যান্স সীমাবদ্ধতা পূরণ করতে পারে না সে একটি প্যাকেজ তৈরি করে যা স্বয়ংক্রিয় ভোক্তারা অবতরণের আগেই প্রত্যাখ্যান করে।
আরও সম্ভাব্য নিকট-মেয়াদী পথটি বিপরীত দিকে চলে। আক্রমণকারীরা ৬০ দিনে কমপক্ষে ৪টি ঘটনা জুড়ে প্রদর্শন করেছে যে রিলিজ ওয়ার্কফ্লো, অ্যাকশন নির্ভরতা এবং মেইনটেইনার-সংলগ্ন ক্রেডেনশিয়াল তুলনামূলকভাবে কম ঘর্ষণের সাথে উচ্চ-মূল্যের ফলাফল দেয়।
প্রতিটি পরবর্তী ঘটনা অ্যাকশন আপোষ, CI আউটপুট থেকে টোকেন চুরি, মেইনটেইনার অ্যাকাউন্ট হাইজ্যাক এবং বিশ্বস্ত-পাবলিশ-পথ অপব্যবহারের একটি পাবলিক প্লেবুকে আরেকটি নথিভুক্ত কৌশল যোগ করে।
যদি না প্রভেন্যান্স যাচাই একটি ঐচ্ছিক নীতি স্তরের পরিবর্তে ডিফল্ট ভোক্তা আচরণ হয়ে ওঠে, অফিসিয়াল প্যাকেজ নামগুলি তাদের রিলিজ প্রক্রিয়া যা ন্যায্যতা দিতে পারে তার চেয়ে বেশি বিশ্বাস পাবে।
The post For 93 minutes, installing Bitwarden's 'official' CLI turned laptops into launchpads for hijacking GitHub accounts appeared first on CryptoSlate.
আপনি আরও পছন্দ করতে পারেন
PEPE ডেটা দুর্নীতি ট্রেডিং ডেড জোন তৈরি করেছে – এন্ট্রির আগে প্রযুক্তিগত পুনরুদ্ধারের জন্য অপেক্ষা করুন
DeFi কনটেজিয়ন রেসপন্স: Aave-এর এক্সপ্লয়েট-চালিত ব্যাড ডেট অফসেট করতে Mantle-এর পদক্ষেপ
