Cryptonews

نوڈ-آئی پی سی سپلائی چین حملہ کرپٹو ڈیوس کو نشانہ بناتا ہے۔

Source
CryptoNewsTrend
Published
نوڈ-آئی پی سی سپلائی چین حملہ کرپٹو ڈیوس کو نشانہ بناتا ہے۔

سلو مسٹ کے مطابق، نوڈ-آئی پی سی کے تین زہر آلود ورژن 14 مئی کو npm رجسٹری پر لائیو ہوئے۔ حملہ آوروں نے ایک غیر فعال مینٹینر اکاؤنٹ کو ہائی جیک کر لیا اور ڈیولپر کی اسناد، پرائیویٹ کیز، ایکسچینج API راز، کام، براہ راست .env فائلوں سے باہر نکالنے کے لیے ڈیزائن کردہ کوڈ کو آگے بڑھا دیا۔

node-ipc ایک مقبول Node.js پیکیج ہے جو مختلف پروگراموں کو ایک ہی مشین پر، یا کبھی کبھی نیٹ ورک پر ایک دوسرے سے بات کرنے دیتا ہے۔

SlowMist نے خلاف ورزی پکڑ لی

Blockchain سیکورٹی فرم، SlowMist نے اپنے MistEye تھریٹ انٹیل سسٹم کے ذریعے اس خلاف ورزی کو دیکھا۔

ورژن 9.1.6، 9.2.3، اور 12.0.1

MistEye کو تین بدنیتی پر مبنی ورژن ملے جن میں شامل ہیں:

ورژن 9.1.6۔

ورژن 9.2.3۔

ورژن 12.0.1۔

مذکورہ بالا تمام ورژنز میں ایک ہی مبہم 80 KB پے لوڈ تھا۔

Node-ipc Node.js میں انٹر پروسیس کمیونیکیشن کو ہینڈل کرتا ہے۔ یہ بنیادی طور پر Node.js پروگراموں کو آگے پیچھے پیغامات بھیجنے میں مدد کرتا ہے۔ ہر ہفتے 822,000 سے زیادہ لوگ اسے ڈاؤن لوڈ کرتے ہیں۔

نوڈ آئی پی سی پوری کرپٹو اسپیس میں استعمال ہوتا ہے۔ اس کا استعمال ان ٹولز میں ہوتا ہے جو ڈویلپرز dApps بنانے کے لیے استعمال کرتے ہیں، ان سسٹمز میں جو خود بخود کوڈ (CI/CD) کی جانچ اور تعیناتی کرتے ہیں، اور روزمرہ کے ڈویلپر ٹولز میں۔

ہر متاثرہ ورژن میں ایک ہی پوشیدہ بدنیتی پر مبنی کوڈ لگا ہوا تھا۔ جس لمحے کوئی بھی پروگرام نوڈ آئی پی سی کو لوڈ کرتا ہے، کوڈ خود بخود چل جاتا ہے۔

MistyEye کا اسکرین شاٹ بدنیتی پر مبنی node-ipc پیکجز دکھا رہا ہے۔ ماخذ: SlowMist بذریعہ X۔

StepSecurity کے محققین نے اندازہ لگایا کہ حملہ کیسے ہوا۔ نوڈ-آئی پی سی کے اصل ڈویلپر کا ای میل ایڈریس ڈومین atlantis-software[.]net سے منسلک تھا۔ تاہم، ڈومین کی میعاد 10 جنوری 2025 کو ختم ہو گئی۔

7 مئی 2026 کو، حملہ آور نے وہی ڈومین Namecheap کے ذریعے خریدا، جس نے انہیں ڈویلپر کی پرانی ای میل کا کنٹرول دے دیا۔ وہاں سے، انہوں نے صرف npm پر "پاس ورڈ بھول گئے" کو مارا، اسے دوبارہ ترتیب دیا، اور نوڈ-آئی پی سی کے نئے ورژن شائع کرنے کی مکمل اجازت کے ساتھ اندر چلے گئے۔

حقیقی ڈویلپر کو کوئی اشارہ نہیں تھا کہ اس میں سے کوئی بھی ہو رہا ہے۔ بدنیتی پر مبنی ورژن ہٹانے سے پہلے تقریباً دو گھنٹے تک زندہ رہے۔

چوری کرنے والا 90+ اسناد کی اقسام تلاش کرتا ہے۔

ایمبیڈڈ پے لوڈ 90 سے زیادہ اقسام کے ڈویلپر اور کلاؤڈ اسناد کی تلاش کرتا ہے۔ AWS ٹوکنز، Google Cloud اور Azure راز، SSH کیز، Kubernetes configs، GitHub CLI ٹوکنز، سبھی فہرست میں ہیں۔

crypto devs کے لیے، میلویئر خاص طور پر .env فائلوں پر حملہ کرتا ہے۔ وہ عام طور پر نجی کلیدیں، RPC نوڈ کی اسناد اور تبادلہ API راز رکھتے ہیں۔

چوری شدہ ڈیٹا کو چھپانے کے لیے، پے لوڈ DNS ٹنلنگ کا استعمال کرتا ہے۔ یہ بنیادی طور پر عام نظر آنے والی انٹرنیٹ تلاش کی درخواستوں کے اندر فائلوں کو چھپاتا ہے۔ زیادہ تر نیٹ ورک سیکیورٹی ٹولز اس کو نہیں پکڑتے ہیں۔

سیکیورٹی ٹیمیں کہہ رہی ہیں کہ کوئی بھی پروجیکٹ جو این پی ایم انسٹال کرتا ہے یا اس دو گھنٹے کی ونڈو کے دوران خودکار اپ ڈیٹ شدہ انحصار رکھتا ہے اسے سمجھوتہ کرنا چاہئے۔

SlowMist کی ہدایت کے مطابق فوری اقدامات:

نوڈ-آئی پی سی ورژن 9.1.6، 9.2.3، یا 12.0.1 کے لیے لاک فائلوں کو چیک کریں۔

آخری ورژن پر واپس جائیں جسے آپ جانتے ہیں کہ محفوظ ہے۔

ہر اس سند کو تبدیل کریں جو شاید لیک ہو گیا ہو۔

2026 میں npm پر سپلائی چین کے حملے ایک معمول بن گئے ہیں۔ کرپٹو پروجیکٹس زیادہ سے زیادہ متاثر ہوتے ہیں کیونکہ چوری شدہ لاگ ان کو چوری کی رقم میں تیزی سے تبدیل کیا جا سکتا ہے۔

نوڈ-آئی پی سی سپلائی چین حملہ کرپٹو ڈیوس کو نشانہ بناتا ہے۔