Mini Shai-Hulud ورم ایک چوری شدہ اکاؤنٹ کے ذریعے 30 منٹ سے کم 323 npm پیکجوں کو ہائی جیک کرتا ہے۔

19 مئی کو، Mini Shai-Hulud ورم نے ایک npm مینٹینر اکاؤنٹ سے سمجھوتہ کیا اور 30 ​​منٹ سے کم وقت میں 323 پیکجوں میں 639 نقصان دہ ورژن کو آگے بڑھایا۔

سمجھوتہ کرنے والا اکاؤنٹ، "atool" (i@hust.cc)، علی بابا کا پورا @antv ڈیٹا ویژولائزیشن اسٹیک شائع کرتا ہے اس کے ساتھ ساتھ کرپٹو ڈیش بورڈز، ڈی فائی فرنٹ اینڈز، اور فنٹیک ایپلی کیشنز میں استعمال ہونے والی اسٹینڈ الون لائبریریوں کے ساتھ۔

سب سے زیادہ ٹریفک کے اہداف: 4.2 ملین ہفتہ وار ڈاؤن لوڈز پر سائز سینسر، 1.1 ملین پر echarts-for-react، @antv/scale 2.2 ملین، اور timeago.js 1.15 ملین پر۔

echarts-for-react کے لیے ^3.0.6 جیسے سیمور رینجز استعمال کرنے والے پروجیکٹس اگلی کلین انسٹال پر بدنیتی پر مبنی ورژن 3.2.7 پر خودکار طریقے سے حل ہو جاتے ہیں۔ دیکھ بھال کرنے والے نے GitHub سیکیورٹی انتباہات کو ایک گھنٹے کے اندر بند کر دیا، انہیں بند مسائل میں دفن کر دیا۔

پے لوڈ کیا چوری کرتا ہے اور یہ کیسے برقرار رہتا ہے۔

میلویئر 20 سے زیادہ اسناد کی اقسام کو حاصل کرتا ہے: EC2 اور ECS میٹا ڈیٹا کے ذریعے AWS کیز، Google Cloud اور Azure ٹوکنز، GitHub اور npm ٹوکنز، SSH کیز، Kubernetes سروس اکاؤنٹس، HashiCorp Vault سیکرٹس، Stripe API کیز، ڈیٹا بیس اور پاس ورڈ سے مقامی کنکشن اور پاسورڈ ورڈ 1، پاس ورڈ۔ فی Socket.dev

Exfiltration دو چینلز کے ذریعے چلتا ہے. چوری شدہ اسناد کو AES-256-GCM کے ساتھ انکرپٹ کیا جاتا ہے اور کمانڈ اینڈ کنٹرول سرور کو بھیجا جاتا ہے۔

فال بیک کے طور پر، کیڑا سمجھوتہ شدہ GitHub ٹوکنز کا استعمال کرتا ہے تاکہ Dune کے تھیم والے ناموں جیسے sardaukar-melange-742 یا fremen-sandworm-315 کے ساتھ عوامی ذخیرے بنائے، پھر چوری شدہ ڈیٹا کو فائلوں کے طور پر ارتکاب کرتا ہے۔ StepSecurity نے اطلاع دی ہے کہ 2,500 GitHub ذخیروں میں پہلے ہی مہم سے منسلک اشارے موجود ہیں۔

مزید برآں، کیڑا HTTPS کے ذریعے منتقل کیے گئے OpenTelemetry ٹریس میں چوری شدہ ڈیٹا پر خفیہ کاری کا استعمال کرتا ہے۔ لینکس پر مبنی مشینوں پر، یہ ایک سسٹمڈ یوزر سروس ترتیب دیتا ہے جو پیکج کو ہٹانے کے بعد بھی گٹ ہب سے ہدایات حاصل کرنے کے قابل ہے۔

کیڑا .vscode اور .claude کنفیگریشن فائلوں میں ترمیم کرتا ہے تاکہ ترقی کے ماحول میں دوبارہ فعال ہونے کو یقینی بنایا جا سکے۔

مہم مسلسل بڑھ رہی ہے۔

یہ تیسری لہر ہے۔ جیسا کہ Cryptopolitan نے جنوری میں رپورٹ کیا، اصل Shai-Hulud ویریئنٹ نے Trust Wallet کے npm پیکجز کو نقصان پہنچایا اور $8.5 ملین کا نقصان پہنچایا۔ دوسری لہر 11 مئی کو Mistral AI، TanStack، UiPath، اور Guardrails AI سے ٹکرا گئی۔

ساکٹ این پی ایم، پی پی آئی، اور کمپوزر کے ذریعے 502 الگ پیکجز کے اندر مجموعی طور پر 1,055 سمجھوتہ شدہ ورژنز کی شناخت کرنے میں کامیاب رہا ہے۔

Datadog محققین کے مطابق، مہم کے پیچھے خطرہ گروپ، TeamPCP، نے زیر زمین ہیکنگ فورمز پر اپنی ٹولنگ کو فروغ دیا ہے۔ کاپی کیٹ ورژن ابھرے ہیں جو مختلف کمانڈ اینڈ کنٹرول سرورز کا استعمال کرتے ہیں، انتساب کو مشکل بناتے ہیں۔

SlowMist کے CEO 23pds نے کہا کہ کوئی بھی ماحول جس نے متاثرہ ورژن انسٹال کیے ہوں اسے مکمل طور پر سمجھوتہ کیا جانا چاہیے۔

کچھ تجویز کردہ اقدامات میں تمام رسائی ٹوکنز کو منسوخ کرنا، AWS، GitHub، npm، اور کلاؤڈ فراہم کنندگان کے لیے اسناد کو گھومنا، اکاؤنٹ کی اشاعت کے لیے ملٹی فیکٹر تصدیق کو لاگو کرنا، اور ذخیرہ خانوں کے اندر کسی بھی مشکوک سرگرمی کا جائزہ لینا شامل ہیں۔