Shai-Hulud: سافٹ ویئر پائپ لائنز کے ذریعے پھیلنے والے میلویئر کے بارے میں کیا جاننا ہے۔

مختصراً

Shai-Hulud میلویئر کو تقریباً 300 npm اور PyPI پیکیج اندراجات سے منسلک کیا گیا ہے۔

OpenAI، Microsoft، اور Mistral AI نے حالیہ شائی-ہولد سے متعلق واقعات کا انکشاف کیا۔

میلویئر نے GitHub ایکشنز اور قابل اعتماد سافٹ ویئر پبلشنگ ورک فلو کا غلط استعمال کیا۔

"Shai-Hulud" کے نام سے جانا جاتا ایک میلویئر مہم سافٹ ویئر پائپ لائنوں کے ذریعے پھیل رہی ہے جو ڈویلپرز کوڈ بنانے اور تقسیم کرنے کے لیے استعمال کرتے ہیں، اس بارے میں نئے خدشات پیدا کر رہے ہیں کہ جدید انٹرنیٹ کا اب کتنا حصہ خودکار نظاموں پر منحصر ہے جو بہت کم براہ راست انسانی نگرانی کے ساتھ کام کر رہے ہیں۔

محققین نے Shai-Hulud میلویئر مہم کو Node Package Manager (NPM) اور PyPI میں تقریباً 320 پیکج اندراجات سے منسلک کیا، جو دو سب سے بڑے آن لائن ریپوزٹری ڈویلپر جاوا اسکرپٹ اور پائتھون سافٹ ویئر پیکجز کو ڈاؤن لوڈ اور شیئر کرنے کے لیے استعمال کرتے ہیں۔ متاثرہ پیکجوں میں مجموعی طور پر 518 ملین سے زیادہ ماہانہ ڈاؤن لوڈز ہوتے ہیں۔

کیلیفورنیا میں قائم سیکیورٹی فرم کنٹراسٹ سیکیورٹی کے سی ٹی او جیف ولیمز نے ڈیکرپٹ کو بتایا، "شائی-ہولد اہم ہے کیونکہ یہ ایک ایسے مسئلے کو بے نقاب کرتا ہے جسے ہم مکمل طور پر دور نہیں کر سکتے: جدید سافٹ ویئر دوسرے لوگوں کے کوڈ کو چلا کر بنایا گیا ہے۔" "ڈویلپرز لائبریریوں کو محض 'ڈاؤن لوڈ' نہیں کرتے۔ وہ انہیں انسٹال کرتے ہیں، ان کے ساتھ بناتے ہیں، ان کے ساتھ ٹیسٹ کرتے ہیں، ان کے ساتھ تعینات کرتے ہیں، اور آخر کار ان پر عمل درآمد کرتے ہیں۔ اور اگر آپ ایک بدنیتی پر مبنی لائبریری چلاتے ہیں، تو یہ تقریباً وہ کچھ بھی کر سکتی ہے جو آپ کر سکتے ہیں۔"

ولیمز نے کہا کہ مصنوعی ذہانت میں پیشرفت خطرے کو پیچیدہ بناتی ہے، کمپیوٹر کو ڈبل ایجنٹ بنانے سے شائی-ہولد کا موازنہ کرتا ہے۔

کے

"خوفناک حصہ فائدہ اٹھانا ہے۔ اگر کوئی حملہ آور ایک غیر واضح پیکج سے سمجھوتہ کرتا ہے، تو وہ صرف وہ پیکیج حاصل نہیں کرتے،" ولیمز نے کہا۔ انہوں نے مزید کہا کہ "انہیں ہر بہاو والے منصوبے کے لیے راستہ ملتا ہے جو اس پر بھروسہ کرتا ہے۔ پھر وہ مزید ٹوکن چرا سکتے ہیں، مزید زہریلے پیکجز شائع کر سکتے ہیں، اور سائیکل کو دہرا سکتے ہیں۔ سافٹ ویئر سپلائی چین اب کوئی سلسلہ نہیں ہے- یہ ایک پروپیگیشن نیٹ ورک ہے،" انہوں نے مزید کہا۔

اس مہینے کے شروع میں، مائیکروسافٹ تھریٹ انٹیلی جنس نے انکشاف کیا کہ حملہ آوروں نے PyPI کے ذریعے تقسیم کیے گئے Mistral AI سافٹ ویئر پیکج میں بدنیتی پر مبنی کوڈ داخل کیا۔ مائیکروسافٹ نے کہا کہ میلویئر نے ایک اضافی فائل ڈاؤن لوڈ کی ہے جو ہگنگ فیس کی وسیع پیمانے پر استعمال ہونے والی ٹرانسفارمرز لائبریری سے مشابہت رکھتی ہے تاکہ یہ مشین لرننگ ڈیولپمنٹ ماحول میں گھل مل جائے۔

Mistral نے بعد میں کہا کہ ایک متاثرہ ڈویلپر ڈیوائس اس واقعے میں ملوث تھی، لیکن مزید کہا کہ اس میں "کوئی اشارہ نہیں ہے کہ Mistral کے بنیادی ڈھانچے سے سمجھوتہ کیا گیا تھا۔"

دو دن بعد، OpenAI نے تصدیق کی کہ اسی مہم سے منسلک میلویئر نے ملازمین کے دو آلات کو متاثر کیا اور حملہ آوروں کو محدود تعداد میں داخلی کوڈ ریپوزٹری تک رسائی دی۔ کمپنی نے کہا کہ اسے کوئی ثبوت نہیں ملا کہ کسٹمر ڈیٹا، پروڈکشن سسٹم، یا دانشورانہ املاک سے سمجھوتہ کیا گیا ہے۔

شَی الحُود آتا ہے۔

فرینک ہربرٹ کے "Dune" میں دیوہیکل سینڈ ورمز کے نام سے منسوب، محققین نے ستمبر 2025 تک میلویئر کے پہلے ورژن اور ٹیم پی سی پی کے نام سے مشہور سائبر کرائمینلز کا سراغ لگایا۔ تاہم، مہم نے 11 مئی کو ٹین اسٹیک کو نشانہ بنانے والے ایک بڑے حملے کے بعد وسیع تر توجہ مبذول کرائی، جو ویب اور کلاؤڈ ایپلی کیشنز میں استعمال ہونے والا اوپن سورس جاوا اسکرپٹ فریم ورک ہے۔

Shai-Hulud سپلائی چین حملے کی ایک بڑھتی ہوئی قسم کا حصہ ہے جس میں ہیکرز قابل اعتماد سافٹ ویئر ٹولز یا خدمات سے سمجھوتہ کرتے ہیں جو دوسری کمپنیاں پہلے سے استعمال کرتی ہیں۔ متاثرین کو براہ راست نشانہ بنانے کے بجائے، حملہ آور ان بھروسہ مند سسٹمز کو بدنیتی پر مبنی کوڈ پھیلانے یا ڈویلپر کے ماحول تک رسائی حاصل کرنے کے لیے استعمال کرتے ہیں۔

محققین کا کہنا ہے کہ حملوں نے مشترکہ بلڈ کیشز کو زہر دیا ہے تاکہ مستقبل میں سافٹ ویئر کی ریلیز خاموشی سے بدنیتی پر مبنی کوڈ کو کھینچ لے۔ پیکجز ڈاؤن لوڈ کرنے والے ایک ڈویلپر کے لیے، سب کچھ نارمل لگتا ہے کیونکہ سافٹ ویئر قابل اعتماد ذرائع سے آیا ہے، درست دستخط کیے ہوئے ہیں، اور معمول کے حفاظتی چیک پاس کر چکے ہیں۔ جس نے اس حملے کو اتنا پریشان کن بنا دیا۔

اتوار کو، سائبرسیکیوریٹی فرم OX سیکیورٹی نے اطلاع دی کہ اصل میلویئر کی نقل کرنے والے نئے نقصان دہ پیکجز پہلے ہی کلاؤڈ اور کرپٹو والیٹ کی اسناد، SSH کیز، اور ماحولیاتی متغیرات چوری کر رہے ہیں۔ ایک ہی وقت میں، کچھ مختلف حالتوں نے متاثرہ مشینوں کو DDoS بوٹنیٹس میں تبدیل کرنے کی کوشش کی۔

OX سیکیورٹی نے لکھا، "ایک مجرمانہ ثبوت یہ ہے کہ یہ ٹیم پی سی پی سے مختلف اداکار ہے کہ Shai-Hulud میلویئر کوڈ لیک ہونے والے سورس کوڈ کی تقریباً ایک درست کاپی ہے، جس میں کوئی مبہم تکنیک نہیں ہے، جو حتمی ورژن کو اصل سے بصری طور پر مختلف بناتی ہے،" OX Security نے لکھا۔ "ہمارے بریک ڈاؤن میں، ہم چاک ٹیمپلیٹ شائی-ہولد ورژن کا اصل سورس کوڈ لیک کے ساتھ ساتھ ساتھ موازنہ کرتے ہوئے دکھاتے ہیں کہ وہ ایک جیسے ہیں۔"

Shai-Hulud کے ارد گرد خبریں اس وقت آتی ہیں جب جدید سافٹ ویئر ڈویلپر GitHub ایکشن جیسے خودکار پلیٹ فارمز پر زیادہ سے زیادہ انحصار کرتے ہیں۔ ایک ہی وقت میں، اوپن سورس انفراسٹرکچر کو نشانہ بنانے والے سپلائی چین کے حملے زیادہ عام ہو گئے ہیں کیونکہ حملہ آور براہ راست اختتامی صارف کے نظام کے بجائے ڈویلپر ٹولنگ اور خودکار پبلشنگ سسٹم پر توجہ مرکوز کرتے ہیں۔

"[Shai-Hulud] ایک یاد دہانی ہے کہ [سسٹم، ایپلی کیشنز، اور پروڈکٹس] حملے کی سطح اب روایتی ایپلیکیشن کی تہوں سے آگے اور اوپن سورس پیکجوں تک پھیلی ہوئی ہے جو جدید ترقی اور تعیناتی کے ورک فلو کو طاقت دیتے ہیں،" Joris Van De Vis، ڈائریکٹر سیکیورٹی ریسرچ نیتھ