ਮਿਆਸਮਾ ਸਪਲਾਈ ਚੇਨ ਹਮਲਾ
ਇੱਕ ਨਵੀਂ ਖੋਜੀ ਗਈ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਅਟੈਕ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ ਮਿਆਸਮਾ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ ਕਈ @redhat-cloud-services npm ਪੈਕੇਜਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ। ਇਹ ਓਪਰੇਸ਼ਨ ਡਿਵੈਲਪਰ ਵਾਤਾਵਰਣਾਂ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਦੋਂ ਕਿ ਇੱਕ ਸਵੈ-ਪ੍ਰਚਾਰ ਕਰਨ ਵਾਲੇ ਕੀੜੇ ਨੂੰ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਈਕੋਸਿਸਟਮ ਦੁਆਰਾ ਅੱਗੇ ਫੈਲਣ ਦੇ ਸਮਰੱਥ ਹੈ।
ਇਹ ਮੁਹਿੰਮ ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਦ ਨਾਲ ਪਹਿਲਾਂ ਜੁੜੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਨੇੜਿਓਂ ਦਰਸਾਉਂਦੀ ਹੈ, ਇੰਸਟਾਲੇਸ਼ਨ-ਟਾਈਮ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਕ੍ਰੇਡੈਂਸ਼ੀਅਲ ਚੋਰੀ, CI/CD ਸਮਝੌਤਾ, ਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਅਤੇ ਉਹ ਵਿਧੀਆਂ ਜੋ ਡਾਊਨਸਟ੍ਰੀਮ ਪ੍ਰਸਾਰ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀਆਂ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਵਿਸ਼ੇਸ਼ਤਾ ਅਨਿਸ਼ਚਿਤ ਰਹਿੰਦੀ ਹੈ
ਮਿਆਸਮਾ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਦੀ ਅਜੇ ਤੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਪਛਾਣ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ। ਐਟ੍ਰਬਿਊਸ਼ਨ ਇਸ ਤੱਥ ਦੁਆਰਾ ਗੁੰਝਲਦਾਰ ਹੈ ਕਿ TeamPCP, ਜਿਸਨੂੰ ਰਿਪਲੀਕੇਟਿੰਗ ਮਾਰਾਡਰ, TGR-CRI-1135, ਅਤੇ UNC6780 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ ਪਹਿਲਾਂ ਸ਼ਾਈ-ਹੁਲੁਦ ਵਰਮ ਨਾਲ ਜੁੜੇ ਹਮਲੇ ਦੇ ਟੂਲਸ ਨੂੰ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੋਜੈਕਟਾਂ ਵਜੋਂ ਜਾਰੀ ਕੀਤਾ ਸੀ। ਇਸ ਵਿਕਾਸ ਨੇ ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਨੂੰ ਸਮਾਨ ਤਕਨੀਕਾਂ ਦੀ ਨਕਲ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਹੈ, ਜਿਸ ਨਾਲ ਨਿਸ਼ਚਿਤ ਐਟ੍ਰਬਿਊਸ਼ਨ ਕਾਫ਼ੀ ਮੁਸ਼ਕਲ ਹੋ ਗਿਆ ਹੈ।
ਸਮਝੌਤਾ ਕੀਤੇ npm ਪੈਕੇਜ
ਹੇਠ ਲਿਖੇ npm ਪੈਕੇਜਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਵਜੋਂ ਪਛਾਣਿਆ ਗਿਆ ਹੈ:
@redhat-cloud-services/ਕਮਜ਼ੋਰੀਆਂ-ਕਲਾਇੰਟ
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediation-client
@redhat-cloud-services/rbac-client
ਅਸਪਸ਼ਟ ਇੰਸਟਾਲੇਸ਼ਨ ਤਰਕ ਰਾਹੀਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਦੀ ਕਟਾਈ
ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਕਿ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਵਿੱਚ ਇੱਕ ਅਸਪਸ਼ਟ ਪ੍ਰੀ-ਇੰਸਟਾਲ ਹੁੱਕ ਹੁੰਦਾ ਹੈ ਜੋ ਪੈਕੇਜ ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ ਆਪਣੇ ਆਪ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਮਾਲਵੇਅਰ ਸੰਵੇਦਨਸ਼ੀਲ ਸੰਪਤੀਆਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ GitHub ਐਕਸ਼ਨ ਸੀਕਰੇਟ, npm ਪ੍ਰਮਾਣੀਕਰਨ ਟੋਕਨ, ਕਲਾਉਡ ਕ੍ਰੇਡੇੰਸ਼ਿਅਲ, Kubernetes ਅਤੇ HashiCorp Vault ਸੀਕਰੇਟ, SSH ਕੁੰਜੀਆਂ, Git ਕ੍ਰੇਡੇੰਸ਼ਿਅਲ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਸਟੋਰ ਕੀਤੀਆਂ ਹੋਰ ਗੁਪਤ ਫਾਈਲਾਂ ਸ਼ਾਮਲ ਹਨ।
ਜਿਵੇਂ ਕਿ ਪਹਿਲਾਂ ਦੀਆਂ ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਡ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ, ਮਾਲਵੇਅਰ ਵਿੱਚ ਏਨਕ੍ਰਿਪਟਡ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਰੁਟੀਨ ਸ਼ਾਮਲ ਹਨ। ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ api.anthropic.com:443/v1/api ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜਦੋਂ ਕਿ GitHub ਇੱਕ ਵਿਕਲਪਿਕ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਚੈਨਲ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਦੋਹਰਾ-ਉਦੇਸ਼ ਵਾਲੀ ਰਣਨੀਤੀ ਨਾ ਸਿਰਫ਼ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਸਗੋਂ ਹੋਰ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਸਮਝੌਤਾ ਲਈ ਉਹਨਾਂ ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਵੀ ਦਰਸਾਉਂਦੀ ਹੈ।
ਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਪੈਕੇਜ GitHub API ਰਾਹੀਂ ਵਚਨਬੱਧ ਹੁੰਦੇ ਹਨ, ਅਤੇ ਵਚਨਬੱਧ ਸੁਨੇਹਿਆਂ ਵਿੱਚ ਇਹ ਸਤਰ ਹੋ ਸਕਦੀ ਹੈ:
'ਜੇਕਰ ਤੁਸੀਂ ਇਸ ਟੋਕਨ ਨੂੰ ਅਯੋਗ ਕਰਦੇ ਹੋ ਤਾਂ ਇਹ ਮਾਲਕ ਦੇ ਕੰਪਿਊਟਰ ਨੂੰ ਨਿਊਕਲੀ ਬਣਾ ਦੇਵੇਗਾ:'
ਸਟੀਲਥ ਤਕਨੀਕਾਂ ਅਤੇ ਪ੍ਰਸਾਰ ਵਿਧੀਆਂ
ਇਸ ਮਾਲਵੇਅਰ ਵਿੱਚ ਦ੍ਰਿੜਤਾ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ, ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਕਈ ਉਪਾਅ ਸ਼ਾਮਲ ਹਨ। ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ੇਸ਼ਤਾ ਰੂਸੀ-ਭਾਸ਼ਾ ਪ੍ਰਣਾਲੀਆਂ 'ਤੇ ਜਾਣਬੁੱਝ ਕੇ ਚੱਲਣ ਤੋਂ ਬਚਣਾ ਹੈ, ਇੱਕ ਵਿਵਹਾਰ ਜੋ ਪਹਿਲਾਂ ਗਲਾਸਵਰਮ ਸਪਲਾਈ ਚੇਨ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ।
npm ਵਾਤਾਵਰਣਾਂ ਲਈ, ਖਤਰਨਾਕ ਕੋਡ OIDC ਟੋਕਨ ਐਕਸਚੇਂਜ ਅਤੇ whoami ਐਂਡਪੁਆਇੰਟਸ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ, ਸਾਫਟਵੇਅਰ ਆਰਕਾਈਵਜ਼ ਨੂੰ ਅੱਪਡੇਟ ਕੀਤੇ ਟਾਰਬਾਲਾਂ ਵਿੱਚ ਦੁਬਾਰਾ ਪੈਕ ਕਰਦਾ ਹੈ, ਅਤੇ ਸਿਗਸਟੋਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੋਧੀਆਂ ਹੋਈਆਂ ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਸਾਈਨ ਕਰਦਾ ਹੈ। ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਫਿਰ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਜਨਤਕ GitHub ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਐਕਸਫਿਲਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ 'ਮਿਆਸਮਾ: ਦ ਸਪ੍ਰੈਡਿੰਗ ਬਲਾਈਟ' ਵਰਣਨ ਹੁੰਦਾ ਹੈ।
ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ 29 ਮਈ, 2026 ਨੂੰ ਇਸ ਵਰਣਨ ਵਾਲੀ ਸਭ ਤੋਂ ਪੁਰਾਣੀ ਜਾਣੀ-ਪਛਾਣੀ ਵਚਨਬੱਧਤਾ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜੋ ਕਿ ਜਾਂ ਤਾਂ ਸਰਗਰਮ ਕਾਰਜਾਂ ਦੀ ਸ਼ੁਰੂਆਤ ਜਾਂ ਉਸ ਮਿਤੀ ਦੇ ਆਸ-ਪਾਸ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਟੈਸਟਿੰਗ ਪੜਾਅ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।
GitHub ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ, ਮਾਲਵੇਅਰ ਸਮਝੌਤਾ ਕੀਤੇ ਟੋਕਨਾਂ ਤੱਕ ਪਹੁੰਚਯੋਗ ਰਿਪੋਜ਼ਟਰੀਆਂ ਦੀ ਗਿਣਤੀ ਕਰਦਾ ਹੈ, GraphQL ਪੁੱਛਗਿੱਛਾਂ ਰਾਹੀਂ ਵਰਕਫਲੋ ਪਰਿਭਾਸ਼ਾਵਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦਾ ਹੈ, ਅਤੇ createCommitOnBranch ਮਿਊਟੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਖਤਰਨਾਕ ਵਰਕਫਲੋ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਖਤਰਨਾਕ ਤਬਦੀਲੀਆਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਅਤੇ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤੌਰ 'ਤੇ ਦਸਤਖਤ ਕੀਤੇ ਕਮਿਟਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਸ ਅਤੇ ਪ੍ਰਿਵਿਲੇਜ ਐਸਕੇਲੇਸ਼ਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ
ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਮਾਲਵੇਅਰ ਦੇ ਅੰਦਰ ਸ਼ਾਮਲ ਕਈ ਵਾਧੂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਖੁਲਾਸਾ ਹੋਇਆ:
ਹੋਸਟ ਦੀ /etc/sudoers.d ਡਾਇਰੈਕਟਰੀ ਨੂੰ ਬੰਨ੍ਹਣ ਵਾਲੇ ਅਤੇ CI ਰਨਰਾਂ ਨੂੰ ਪਾਸਵਰਡ ਰਹਿਤ sudo ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨ ਵਾਲੇ ਕੰਟੇਨਰਾਂ ਨੂੰ ਲਾਂਚ ਕਰਕੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।
ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ CrowdStrike, SentinelOne, Carbon Black, ਅਤੇ StepSecurity Harden-Runner ਸਮੇਤ ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਦੀ ਖੋਜ।
ਸਥਿਰਤਾ ਵਿਧੀ ਜੋ ਐਂਥ੍ਰੋਪਿਕ ਕਲਾਉਡ ਕੋਡ ਵਿੱਚ ਇੱਕ ਸੈਸ਼ਨਸਟਾਰਟ ਹੁੱਕ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੀ ਹੈ ਅਤੇ ਖਤਰਨਾਕ ਟਾਸਕ ਬਣਾਉਂਦੀ ਹੈ। ਜੇਸਨ ਫਾਈਲਾਂ ਨੂੰ 'runOn' ਨਾਲ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ: ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿਜ਼ੂਅਲ ਸਟੂਡੀਓ ਕੋਡ ਪ੍ਰੋਜੈਕਟਾਂ ਲਈ 'folderOpen', ਭਵਿੱਖ ਦੇ ਵਿਕਾਸ ਸੈਸ਼ਨਾਂ ਦੌਰਾਨ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਕਲਾਉਡ ਪਛਾਣ ਸਮਝੌਤੇ 'ਤੇ ਵਧਿਆ ਹੋਇਆ ਧਿਆਨ
ਮਿਆਸਮਾ ਵੇਰੀਐਂਟ ਵਿੱਚ ਇੱਕ ਵੱਡਾ ਵਿਕਾਸ ਕਲਾਉਡ ਪਛਾਣ ਸੰਗ੍ਰਹਿ 'ਤੇ ਇਸਦਾ ਵਿਸਤ੍ਰਿਤ ਫੋਕਸ ਹੈ। ਗੂਗਲ ਕਲਾਉਡ ਪਲੇਟਫਾਰਮ (GCP) ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਅਜ਼ੁਰ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਨਵੇਂ ਮੋਡੀਊਲ ਇੱਕ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ ਤੋਂ ਪਹੁੰਚਯੋਗ ਸਾਰੀਆਂ ਕਲਾਉਡ ਪਛਾਣਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦੇ ਹਨ।
ਪਿਛਲੇ ਰੂਪ ਮੁੱਖ ਤੌਰ 'ਤੇ ਕਲਾਉਡ ਵਾਤਾਵਰਣਾਂ ਤੋਂ ਰਾਜ਼ ਕੱਢਣ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸਨ। ਪਛਾਣ-ਕੇਂਦ੍ਰਿਤ ਕੁਲੈਕਟਰਾਂ ਦਾ ਜੋੜ ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਸਿੱਧੀ ਕਲਾਉਡ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪਛਾਣਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵੱਲ ਇੱਕ ਰਣਨੀਤਕ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
ਖੋਜ ਦੇ ਯਤਨਾਂ ਨੂੰ ਹੋਰ ਵੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੇ ਹੋਏ, ਹਰੇਕ ਇਨਫੈਕਸ਼ਨ ਇੱਕ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਏਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਪੈਦਾ ਕਰਦਾ ਹੈ। ਇਹ ਅਨੁਕੂਲਤਾ ਦਸਤਖਤ-ਅਧਾਰਤ ਖੋਜ, ਮਾਲਵੇਅਰ ਟਰੈਕਿੰਗ, ਅਤੇ ਘਟਨਾਵਾਂ ਵਿੱਚ ਸੰਸਕਰਣ ਸਬੰਧ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਰੋਕਦੀ ਹੈ।
ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ ਅਤੇ ਸਪਲਾਈ ਚੇਨ ਘੁਸਪੈਠ
ਉਪਲਬਧ ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਇਹ ਮੁਹਿੰਮ ਇੱਕ Red Hat ਕਰਮਚਾਰੀ ਦੇ GitHub ਖਾਤੇ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ ਸ਼ੁਰੂ ਹੋਈ ਸੀ। ਜਾਂਚਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਖਾਤਾ ਸ਼ੁਰੂਆਤੀ ਇਨਫੈਕਸ਼ਨ ਪੁਆਇੰਟ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਸੀ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਪ੍ਰਭਾਵਿਤ ਪੈਕੇਜਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਇੰਜੈਕਟ ਕਰਨ ਦੇ ਯੋਗ ਹੁੰਦੇ ਸਨ।
ਕਥਿਤ ਤੌਰ 'ਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਖਾਤੇ ਨੇ ਖਤਰਨਾਕ ਅਨਾਥ ਕਮਿਟਾਂ ਨੂੰ ਦੋ Red Hat ਇਨਸਾਈਟਸ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਧੱਕ ਦਿੱਤਾ, ਸਥਾਪਿਤ ਕੋਡ ਸਮੀਖਿਆ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕੀਤਾ ਅਤੇ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਵਿੱਚ ਖਤਰਨਾਕ ਪੇਲੋਡ ਨੂੰ ਪੇਸ਼ ਕੀਤਾ।
ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਅਤੇ ਉਪਚਾਰ ਮਾਰਗਦਰਸ਼ਨ
ਪ੍ਰਭਾਵਿਤ ਪੈਕੇਜ ਸੰਸਕਰਣਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮਾਂ ਨੂੰ ਤੁਰੰਤ ਅਲੱਗ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਹਟਾਉਣਾ ਚਾਹੀਦਾ ਹੈ, ਸਾਰੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਪ੍ਰਗਟ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਘੁੰਮਾਉਣਾ ਚਾਹੀਦਾ ਹੈ, ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੇ ਸੰਕੇਤਾਂ ਲਈ GitHub ਅਤੇ npm ਗਤੀਵਿਧੀ ਦੀ ਜਾਂਚ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਲਈ ਵਾਤਾਵਰਣ ਦੀ ਸਮੀਖਿਆ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ। ਖਾਸ ਧਿਆਨ ਅਣਅਧਿਕਾਰਤ ਸੋਧਾਂ ਵੱਲ ਦਿੱਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, ਅਤੇ .github/setup.js.
ਵਿਕਾਸ ਅਤੇ ਕਲਾਉਡ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਵੀ ਮਜ਼ਬੂਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਲਾਗੂ ਕੀਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ।
ਕਿਉਂਕਿ ਮਾਲਵੇਅਰ ਡਿਵੈਲਪਰ ਟੂਲਸ ਦੇ ਅੰਦਰ ਬੈਕਗ੍ਰਾਊਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਇਸ ਲਈ ਪ੍ਰਭਾਵਿਤ npm ਪੈਕੇਜਾਂ ਨੂੰ ਅਣਇੰਸਟੌਲ ਕਰਨਾ ਜਾਂ node_modules ਡਾਇਰੈਕਟਰੀ ਨੂੰ ਮਿਟਾਉਣਾ ਕਾਫ਼ੀ ਉਪਚਾਰ ਨਹੀਂ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ।
CI/CD ਵਾਤਾਵਰਣਾਂ ਲਈ, ਪ੍ਰਭਾਵਿਤ ਵਰਕਫਲੋ ਐਗਜ਼ੀਕਿਊਸ਼ਨਾਂ ਨੂੰ ਤੁਰੰਤ ਮੁਅੱਤਲ ਕਰ ਦੇਣਾ ਚਾਹੀਦਾ ਹੈ। ਸੰਗਠਨਾਂ ਨੂੰ ਐਕਸਪੋਜ਼ਰ ਪੀਰੀਅਡ ਦੌਰਾਨ ਬਣਾਏ ਗਏ ਬਿਲਡ ਆਰਟੀਫੈਕਟਸ ਨੂੰ ਅਯੋਗ ਕਰ ਦੇਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਚੰਗੀ ਤਰ੍ਹਾਂ ਸਮੀਖਿਆ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ ਕਿ ਕੀ ਰੀਲੀਜ਼, ਕੰਟੇਨਰ ਚਿੱਤਰ, npm ਪੈਕੇਜ, ਤੈਨਾਤੀ ਆਰਟੀਫੈਕਟ, ਜਾਂ ਹੋਰ ਸਾਫਟਵੇਅਰ ਕੰਪੋਨੈਂਟ ਵਾਤਾਵਰਣ ਵਿੱਚ ਖਤਰਨਾਕ ਪੈਕੇਜ ਪੇਸ਼ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ ਤਿਆਰ ਕੀਤੇ ਗਏ ਸਨ।
