Cryptonews

سافٹ ویئر ایکو سسٹم پر سائبر حملہ 170 سے زیادہ کوڈ ریپوزٹریوں میں کمزوریوں کو ظاہر کرتا ہے جو ٹاپ ٹیک فرموں سے منسلک ہے

Source
CryptoNewsTrend
Published
سافٹ ویئر ایکو سسٹم پر سائبر حملہ 170 سے زیادہ کوڈ ریپوزٹریوں میں کمزوریوں کو ظاہر کرتا ہے جو ٹاپ ٹیک فرموں سے منسلک ہے

11 مئی کو، ایک بڑے پیمانے پر سافٹ ویئر سپلائی چین اٹیک، جسے "Mini Shai-Hulud" کے نام سے جانا جاتا ہے، کو TeamPCP نامی ایک گروپ نے شروع کیا، جس نے npm اور PyPI ریپوزٹریز میں 170 سے زیادہ پیکجوں سے سمجھوتہ کیا۔ قابل ذکر اہداف میں TanStack، Mistral AI، UiPath، اور Guardrails AI شامل ہیں، یہ سبھی ڈویلپر ٹول ایکو سسٹم کے نمایاں کھلاڑی ہیں۔

پانچ گھنٹے کی مدت کے دوران، حملہ آوروں نے کامیابی کے ساتھ پیکجوں کے 373 اور 404 کے داغدار ورژن شائع کیے، چالاکی سے انہیں جائز اپ ڈیٹس کے طور پر چھپاتے ہوئے۔ یہ GitHub ایکشنز ورک فلوز میں کمزوریوں کا فائدہ اٹھا کر حاصل کیا گیا، خاص طور پر ایک غلط کنفیگرڈ pull_request_target ورک فلو، کیش پوائزننگ ہتھکنڈوں کے ساتھ مل کر۔ حملہ آوروں نے GitHub اور پیکج رجسٹریوں جیسے npm کے درمیان پبلشنگ پائپ لائنز کی توثیق کرنے کے لیے OpenID Connect ٹوکنز کا بھی فائدہ اٹھایا۔

بدنیتی پر مبنی پے لوڈ، ایک نفیس ملٹی اسٹیج کریڈینشل اسٹیلنگ ورم، کو کلاؤڈ ماحول اور ڈویلپر ٹولز سے اسناد نکالنے، پاس ورڈ مینیجرز میں دراندازی کرنے، اور پھر اضافی پروجیکٹس سے سمجھوتہ کرنے کے لیے انحصاری زنجیروں کے ذریعے پھیلانے کے لیے ڈیزائن کیا گیا تھا۔ یہ روایتی ویب اور Web3 دونوں ماحول کے لیے ایک اہم خطرہ ہے، کیونکہ سمجھوتہ کرنے والے ٹولز نہ صرف بڑے پیمانے پر استعمال ہوتے ہیں بلکہ ڈیجیٹل اثاثہ کے بنیادی ڈھانچے کے لیے بھی لازمی ہیں۔

کرپٹو اور ویب 3 اسپیسز پر حملے کے اثرات خاص طور پر تشویشناک ہیں، اس لیے کہ ٹارگٹڈ ٹولز عام طور پر دونوں ماحولیاتی نظاموں میں استعمال ہوتے ہیں۔ سمجھوتہ شدہ ڈویلپر کی سند حساس علاقوں تک غیر مجاز رسائی فراہم کر سکتی ہے، بشمول سمارٹ کنٹریکٹ کی تعیناتی پائپ لائنز، والٹ انفراسٹرکچر، اور ایکسچینج بیک اینڈ سسٹم۔ مثال کے طور پر، TanStack، ویب ایپلیکیشنز بنانے کے لیے ٹولز کا ایک مقبول مجموعہ ہے، جبکہ Mistral AI AI انضمام کے لیے ضروری ڈویلپر ٹولنگ فراہم کرتا ہے، اور UiPath ایک بڑا آٹومیشن پلیٹ فارم ہے۔

حملے کے جواب میں، سیکورٹی ماہرین ٹیموں کو مشورہ دے رہے ہیں جنہوں نے پانچ گھنٹے کی ونڈو کے دوران متاثرہ پیکجوں سے اپ ڈیٹس ڈاؤن لوڈ کی ہوں گی تاکہ فوری کارروائی کی جا سکے۔ اس میں ترقیاتی ماحول کو صاف کرنا، رازوں اور اسناد کو گھومنا، اور کسی بھی سمجھوتہ شدہ پیکیج ورژن کے لیے انحصار کے درختوں کی جانچ کرنا شامل ہے۔ خاص طور پر کرپٹو ٹیموں کو متنبہ کیا جا رہا ہے کہ وہ اپنی انحصار کی زنجیروں کے ساتھ اسی سطح کے سختی کے ساتھ برتاؤ کریں جیسا کہ سمارٹ کنٹریکٹ آڈٹ، پیکج کے عین مطابق ورژن کو پن کر کے، پیکج کی سالمیت کی تصدیق کر کے، اور غیرمعمولی انحصار کے رویے کا پتہ لگانے کے لیے بلڈ ٹائم سکیننگ کو لاگو کر کے۔