Cryptonews

کوڈ کے تعینات ہونے سے پہلے اگلا بڑا ڈی فائی استحصال شروع ہو جائے گا۔

Source
CryptoNewsTrend
Published
کوڈ کے تعینات ہونے سے پہلے اگلا بڑا ڈی فائی استحصال شروع ہو جائے گا۔

ساکٹ کے 24 مئی کو TrapDoor کے انکشاف میں 34 سے زیادہ بدنیتی پر مبنی پیکجز اور 384 سے زیادہ متعلقہ ورژنز پائے گئے جو npm، PyPI، اور Crates.io میں پھیلے ہوئے ہیں، جن میں سے ہر ایک ان ڈویلپرز کو نشانہ بناتا ہے جو پروٹوکول بناتے اور برقرار رکھتے ہیں، اور ان اسناد کو جو اپنے ارد گرد کے سسٹمز تک رسائی کو کنٹرول کرتے ہیں۔

TrapDoor نے جو بنایا ہے وہ واحد ڈویلپر کی سمجھوتہ شدہ مشین سے ریپوزٹریز، CI/CD پائپ لائنز، کلاؤڈ اکاؤنٹس، اور تعیناتی کیز میں جانے والا راستہ ہے جو اس بات کو کنٹرول کرتا ہے کہ پروٹوکول مین نیٹ تک کیسے پہنچتے ہیں اور ایک بار تعیناتی کے بعد اپ ڈیٹ رہتے ہیں۔

ساکٹ کی رپورٹ مہم کے دستاویزی دائرہ کار کے طور پر اسناد کی چوری اور انفراسٹرکچر کی نمائش کی تصدیق کرتی ہے، جس سے سلسلہ وار کارناموں کو قیاس شدہ بہاو کے نتیجے کے طور پر چھوڑ دیا گیا ہے۔

چھ مراحل کا فلو چارٹ دکھاتا ہے کہ کس طرح ایک بدنیتی پر مبنی پیکج ڈویلپر مشین سے سمجھوتہ کر کے اسناد کی چوری کے ذریعے صارف کے فنڈز کو خطرے میں ڈالتا ہے۔

حملے کی سطح کے ڈویلپرز آڈٹ نہیں کرتے ہیں۔

مہم نے عام ڈویلپر ورک فلوز کے ذریعے پے لوڈز فراہم کیے، جیسے کہ npm پیکجز جو پوسٹ انسٹال ہکس کے ذریعے نقصان دہ کوڈ کو چلاتے ہیں، PyPI پیکجز ریموٹ جاوا اسکرپٹ کو بازیافت کرتے وقت درآمد پر پے لوڈ کو متحرک کرتے ہیں، اور تالیف کے دوران build.rs اسکرپٹ کو چلانے والے Rust کریٹس۔

عام ڈویلپر کا رویہ حملہ کی سطح ہے، کیونکہ ان میں سے کسی بھی عمل کے راستے کو پیکیج انسٹال، امپورٹ، یا بلڈ کمانڈ سے آگے کسی چیز کی ضرورت نہیں ہے۔

لائیو پروٹوکول کے آس پاس کے ماحول میں، ان میں سے کوئی بھی اسنادی کلاس صارف کے فنڈز کے راستے کی نمائندگی کر سکتی ہے جس کا کوئی بھی سمارٹ کنٹریکٹ آڈٹ کبھی جانچ نہیں کرتا ہے۔

ساکٹ نے واضح طور پر چوری شدہ SSH کیز کو لیٹرل موومنٹ کو فعال کرنے کے طور پر، اور کلاؤڈ اور GitHub کی اسناد کو ریپوزٹریز، CI/CD سسٹمز، پرائیویٹ پیکجز، اور تعیناتی ماحول کے طور پر تیار کیا۔

وہ سلسلہ، جس میں بدنیتی پر مبنی پیکیج، ڈویلپر سمجھوتہ، اسناد کی چوری، ریپو اور کلاؤڈ تک رسائی، اور بدنیتی پر مبنی اپ ڈیٹ شامل ہے، یہ بتاتا ہے کہ کس طرح کمزور سالڈٹی کی ایک لائن کے بغیر ڈی فائی استحصال پیدا ہوسکتا ہے۔

اے آئی انسٹرکشن انجیکشن

ساکٹ کو پتہ چلا کہ TrapDoor مہم نے فائلوں کے اندر پوشیدہ ہدایات جیسے .cursorrules اور CLAUDE.md لگانے کی کوشش کی ہے، جو کہ کنفیگریشن فائلیں ہیں جنہیں AI کوڈنگ اسسٹنٹ جیسے کرسر اور کلاڈ کوڈ یہ سمجھنے کے لیے پڑھتے ہیں کہ پروجیکٹ کے اندر کیسے برتاؤ کیا جائے۔

انجکشن شدہ ہدایات میں خفیہ دریافت اور اخراج کی طرف AI کی مدد سے کام کے بہاؤ کو چلانے کے لیے چھپی ہوئی یونی کوڈ تکنیکوں کا استعمال کیا گیا تھا۔

ساکٹ کو AI اور ڈویلپر ٹولنگ پروجیکٹس کو جمع کردہ پل کی درخواستیں بھی ملیں جنہوں نے سومی آواز والے لیبلز کے تحت ہدایات کی فائلوں کو متعارف کرانے کی کوشش کی۔

ہدف AI اسسٹنٹ تھا جو ریپو کو پڑھتا ہے، کوڈ تیار کرتا ہے، اور پروجیکٹ فائلوں کی فراہمی کے حوالے سے کسی بھی تناظر میں کام کرتا ہے۔

اگر حملہ آور چھپی ہوئی یونی کوڈ ہدایات کے ذریعے اس سیاق و سباق کو خاموشی سے توڑ دیتے ہیں، تو AI کی مدد سے کام کا بہاؤ ایک اخراج کا طریقہ کار بن جاتا ہے۔

ایک وسیع تر نمونہ

SafeDep نے 11 مئی کی ایک مہم کو دستاویزی شکل دی جس میں 170 سے زیادہ npm پیکجز اور دو PyPI پیکجوں سے سمجھوتہ کیا گیا، جس نے TanStack، Mistral SDK، UiPath، OpenSearch، اور Guardrails AI سے منسلک 404 نقصان دہ ورژنز کو نشانہ بنایا۔

StepSecurity نے VS کوڈ ایکسٹینشنز، GitHub ایکشنز، npm، اور PyPI میں 48 گھنٹوں میں سپلائی چین کے پانچ بڑے حملوں کو بیان کیا، جس میں 2.2 ملین انسٹالز اور ٹروجنائزڈ Microsoft PyPI پیکجز کے ساتھ زہر آلود VS کوڈ ایکسٹینشن بھی شامل ہے۔

Sonatype نے 2025 میں 454,600 سے زیادہ نئے نقصان دہ پیکجوں کی اطلاع دی، جس سے مجموعی تعداد 1.233 ملین سے اوپر ہو گئی، جس میں نقصان دہ پیکجز اب وسیع تر دخل اندازیوں کے لیے انٹری پوائنٹس کے طور پر کام کر رہے ہیں۔

مہم / ذریعہ

ٹائمنگ

ماحولیاتی نظام متاثر

پیمانے کا حوالہ دیا گیا۔

اس کہانی کے لیے یہ کیوں اہمیت رکھتا ہے۔

ٹریپ ڈور / ساکٹ

مئی 2026

npm، PyPI، Crates.io

34+ بدنیتی پر مبنی پیکجز؛ 384+ ورژن/ نمونے

کوڈ مین نیٹ تک پہنچنے سے پہلے کرپٹو ڈویلپرز کو نشانہ بنایا جا رہا ہے۔

سیف ڈیپ مہم

11 مئی 2026

این پی ایم، پی پی آئی

170+ npm پیکجز؛ 2 PyPI پیکجز؛ 404 بدنیتی پر مبنی ورژن

مین اسٹریم ڈویلپر انحصار کے ذریعے پھیلنے والے نقصان دہ پیکجز کو دکھاتا ہے۔

StepSecurity 48 گھنٹے کی لہر

مئی 2026

وی ایس کوڈ، گٹ ہب ایکشنز، این پی ایم، پی پی آئی

5 بڑے حملے؛ ایک VS کوڈ ایکسٹینشن میں 2.2M انسٹال تھے۔

حملہ آوروں کو ڈویلپر ٹولنگ کی متعدد پرتوں میں منتقل ہوتے دکھاتا ہے۔

سوناٹائپ 2025 ڈیٹا

2025

بڑے اوپن سورس ماحولیاتی نظام

454,600+ نئے نقصان دہ پیکجز؛ 1.233M+ مجموعی

بدنیتی پر مبنی پیکیجز کو صنعتی مداخلت کا چینل بنتا ہوا دکھاتا ہے۔

کنٹرول پلین اٹیک پیٹرن کے نتیجے میں پہلے ہی ساختی طور پر ایک جیسے طریقوں کا استعمال کرتے ہوئے قابل پیمائش DeFi نقصانات ہو چکے ہیں۔

Resolv کا مارچ کا واقعہ $23 ملین کا استحصال تھا جہاں تعینات کردہ کوڈ نے بالکل اسی طرح کام کیا جیسا کہ ڈیزائن کیا گیا تھا، لیکن آف چین انفراسٹرکچر اور قابل اعتماد چابیاں ناکام ہوگئیں۔

اپریل 2026 میں، ڈرفٹ کو $285 ملین کا نقصان ہوا جب حملہ آوروں نے طویل عرصے سے چلنے والی سوشل انجینئرنگ کو درست ایڈمن کے دستخطوں کے ساتھ ملایا۔

KelpDAO کو اسی مہینے تقریباً 292 ملین ڈالر کا نقصان ہوا جب حملہ آوروں نے آف چین RPC اور DVN انفراسٹرکچر سے سمجھوتہ کیا۔

ہر معاملے میں، ناکامی کا نقطہ آپریشنل تھا: قابل اعتماد انفراسٹرکچر، آف چین سسٹم، اور کنٹریکٹ کے ارد گرد ایڈمن تک رسائی کی پرتیں۔

جہاں خطرہ حل ہوجاتا ہے۔

اگر TrapDoor طرز کے پیکجز فوری پتہ لگاتے ہیں، کیونکہ ساکٹ کے سسٹم نے اوسط پتہ لگانے کو 5 منٹ اور 56 سیکنڈ میں لاگ کیا ہے، اور ٹیمیں

کوڈ کے تعینات ہونے سے پہلے اگلا بڑا ڈی فائی استحصال شروع ہو جائے گا۔