خطرے میں 822K ڈاؤن لوڈز: نقصان دہ نوڈ آئی پی سی ورژنز اسپاٹڈ اسٹیلنگ AWS اور پرائیویٹ کیز
Node-ipc کے تین بدنیتی پر مبنی ورژن، ایک بنیادی Node.js لائبریری جو Web3 بلڈ پائپ لائنوں میں استعمال ہوتی ہے، 14 مئی کو سمجھوتہ کرنے کی تصدیق کی گئی تھی، سیکیورٹی فرم سلومسٹ نے خبردار کیا تھا کہ پیکیج پر انحصار کرنے والے کرپٹو ڈویلپرز کو فوری طور پر اسناد کی چوری کے خطرے کا سامنا ہے۔
اہم نکات:
Slowmist نے 14 مئی کو 822,000 ہفتہ وار npm ڈاؤن لوڈز کو نشانہ بناتے ہوئے تین نقصان دہ نوڈ-ipc ورژن کو جھنڈا لگایا۔
80KB پے لوڈ 90+ اسناد کے زمرے چوری کرتا ہے، بشمول AWS کیز اور .env فائلیں DNS ٹنلنگ کے ذریعے۔
ڈویلپرز کو نوڈ-آئی پی سی ورژن کو صاف کرنے کے لیے فوری طور پر پن کرنا چاہیے اور تمام ممکنہ طور پر بے نقاب ہونے والے رازوں کو گھمانا چاہیے۔
ڈویلپر کے راز داؤ پر
Blockchain سیکورٹی فرم Slowmist نے اپنے Misteye تھریٹ انٹیلی جنس سسٹم کے ذریعے حملے کو جھنڈا لگایا، جس میں تین بدمعاش ریلیز کی نشاندہی کی گئی، یعنی ورژن 9.1.6، 9.2.3، اور 12.0.1۔ نوڈ-آئی پی سی پیکیج، جو Node.js ماحول میں انٹر پروسیس کمیونیکیشن (IPC) کو فعال کرنے کے لیے استعمال کیا جاتا ہے، پورے کرپٹو ایکو سسٹم میں وکندریقرت ایپلی کیشن (dApp) بلڈ پائپ لائنز، CI/CD سسٹمز، اور ڈویلپر ٹولنگ میں سرایت کرتا ہے۔
بدنیتی پر مبنی ریلیز کی شناخت ورژن 9.1.6، 9.2.3، اور 12.0.1 کے طور پر کی گئی۔
پیکیج کی اوسطاً 822,000 ہفتہ وار ڈاؤن لوڈز ہیں، جس سے حملے کی سطح کافی زیادہ ہے۔ تینوں میں سے ہر ایک بدنیتی پر مبنی ورژن پیکج کے CommonJS بنڈل میں شامل ایک جیسا 80 KB غیر واضح پے لوڈ رکھتا ہے۔ کوڈ ہر ضرورت ('node-ipc') کال پر غیر مشروط طور پر فائر ہوتا ہے، یعنی کوئی بھی پروجیکٹ جس نے داغدار ریلیز کو انسٹال یا اپ ڈیٹ کیا ہو وہ خود بخود اسٹیلر کو چلاتا ہے، بغیر کسی صارف کی بات چیت کی ضرورت ہوتی ہے۔
میلویئر کیا چوری کرتا ہے۔
ایمبیڈڈ پے لوڈ ڈویلپر اور کلاؤڈ اسناد کی 90 سے زیادہ اقسام کو نشانہ بناتا ہے، بشمول Amazon Web Services (AWS) ٹوکن، Google Cloud اور Microsoft Azure راز، SSH کیز، Kubernetes کنفیگریشنز، Github CLI ٹوکنز، اور شیل ہسٹری فائلیں۔ کریپٹو اسپیس سے متعلق، میلویئر .env فائلوں کو نشانہ بناتا ہے، جو اکثر پرائیویٹ کیز، RPC نوڈ کی اسناد، اور API رازوں کا تبادلہ کرتے ہیں۔ چوری شدہ ڈیٹا کو DNS ٹنلنگ کے ذریعے نکالا جاتا ہے، معیاری نیٹ ورک مانیٹرنگ ٹولز سے بچنے کے لیے ڈومین نیم سسٹم کے سوالات کے ذریعے فائلوں کو روٹنگ کیا جاتا ہے۔
Stepsecurity کے محققین نے تصدیق کی کہ حملہ آور نے node-ipc کے اصل کوڈبیس کو کبھی نہیں چھوا۔ اس کے بجائے، انہوں نے ایک غیر فعال مینٹینر اکاؤنٹ کو اس کے ختم شدہ ای میل ڈومین کو دوبارہ رجسٹر کر کے استحصال کیا۔
ڈومین atlantis-software.net کی میعاد 10 جنوری 2025 کو ختم ہو گئی، حملہ آور نے اسے Namecheap کے ذریعے 7 مئی 2026 کو دوبارہ رجسٹر کرایا۔ اس کے بعد انہوں نے ایک معیاری npm پاس ورڈ ری سیٹ کر دیا، اصل مینٹینر کی معلومات کے بغیر مکمل اشاعت تک رسائی حاصل کی۔
بدنیتی پر مبنی ورژن رجسٹری پر تقریباً دو گھنٹے تک پتہ لگانے اور ہٹانے سے پہلے زندہ رہے۔ کوئی بھی پروجیکٹ جو اس ونڈو کے دوران npm انسٹال یا آٹو اپ ڈیٹ شدہ انحصار چلاتا ہے اسے ممکنہ طور پر سمجھوتہ کیا جانا چاہئے۔ سیکیورٹی ٹیموں نے نوڈ-آئی پی سی کے ورژن 9.1.6، 9.2.3، یا 12.0.1 کے لیے فوری طور پر لاک فائلوں کا آڈٹ کرنے اور آخری تصدیق شدہ کلین ریلیز پر واپس جانے کی سفارش کی ہے۔
npm ماحولیاتی نظام پر سپلائی چین کے حملے 2026 میں ایک مستقل خطرہ بن گئے ہیں، کرپٹو پروجیکٹس اعلیٰ قدر کے اہداف کے طور پر کام کر رہے ہیں جس کی وجہ سے ان کی اسناد براہ راست مالی رسائی فراہم کر سکتی ہیں۔