Miasma ਕੀੜਾ

ਚੱਲ ਰਹੀ ਮਿਆਸਮਾ ਸਵੈ-ਨਕਲ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਪੈਕੇਜ ਰਜਿਸਟਰੀਆਂ ਤੋਂ ਪਰੇ ਫੈਲ ਗਈ ਹੈ ਅਤੇ ਹੁਣ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਗਿੱਟਹੱਬ ਰਿਪੋਜ਼ਟਰੀਆਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਰਹੀ ਹੈ। ਓਪਨਸੋਰਸ ਮਾਲਵੇਅਰ ਤੋਂ ਪ੍ਰਾਪਤ ਨਤੀਜਿਆਂ ਅਨੁਸਾਰ, ਇਸ ਘਟਨਾ ਨੇ ਚਾਰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਗਿੱਟਹੱਬ ਸੰਗਠਨਾਂ ਵਿੱਚ 73 ਰਿਪੋਜ਼ਟਰੀਆਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ: ਅਜ਼ੂਰ, ਅਜ਼ੂਰ-ਸੈਂਪਲ, ਮਾਈਕ੍ਰੋਸਾਫਟ, ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟਡੌਕਸ। ਨਤੀਜੇ ਵਜੋਂ, ਗਿੱਟਹੱਬ ਨੇ ਆਪਣੀਆਂ ਸੇਵਾ ਦੀਆਂ ਸ਼ਰਤਾਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਰਿਪੋਜ਼ਟਰੀਆਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰ ਦਿੱਤਾ।

ਪ੍ਰਭਾਵਿਤ ਪ੍ਰੋਜੈਕਟਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ, ਜਿਸ ਵਿੱਚ Azure Functions Host ਰਿਪੋਜ਼ਟਰੀ ਵੀ ਸ਼ਾਮਲ ਹੈ, ਨੂੰ ਇੱਕ ਨੋਟਿਸ ਦੇ ਨਾਲ ਸਵਾਗਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ GitHub ਸਟਾਫ ਨੇ ਪਹੁੰਚ ਨੂੰ ਅਯੋਗ ਕਰ ਦਿੱਤਾ ਹੈ ਅਤੇ ਰਿਪੋਜ਼ਟਰੀ ਮਾਲਕਾਂ ਨੂੰ ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ GitHub ਸਹਾਇਤਾ ਨਾਲ ਸੰਪਰਕ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਮੁਹਿੰਮ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਭੰਡਾਰਾਂ ਵਿੱਚੋਂ ਇਹ ਹਨ:

ਅਜ਼ੂਰ-ਸਰਚ-ਓਪਨਾਈ-ਡੈਮੋ-ਪਰਵਿਊ ਡੇਟਾ ਸੁਰੱਖਿਆ,
ਕਨੈਕਟਰ-ਨੈੱਟ-ਐਲਐਸਪੀ,
ਕਨੈਕਟਰ-ਨੈੱਟ-ਐਸਡੀਕੇ,
ਟਿਕਾਊ ਕੰਮ,
ਟਿਕਾਊਟਾਸਕ-ਡੌਟਨੈੱਟ,
ਟਿਕਾਊ ਕੰਮ-ਗੋ,
ਟਿਕਾਊਟਾਸਕ-ਜੇਐਸ,
ਟਿਕਾਊਟਾਸਕ-ਐਮਐਸਐਸਕਿਊਐਲ
ਫੰਕਸ਼ਨ-ਕੰਟੇਨਰ-ਐਕਸ਼ਨ,
ਹੋਮਬਰੂ-ਫੰਕਸ਼ਨ,
ਐਲਐਲਐਮ-ਫਾਈਨ-ਟਿਊਨਿੰਗ,
ਵਿੰਡੋਜ਼-ਡਰਾਈਵਰ-ਡੌਕਸ

ਟਿਕਾਊ ਕਾਰਜ ਈਕੋਸਿਸਟਮ ਦੂਜੀ ਵਾਰ ਸਮਝੌਤਾ ਝੱਲਦਾ ਹੈ

ਨਵੀਨਤਮ ਗਤੀਵਿਧੀ ਦੇ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਪਹਿਲੂਆਂ ਵਿੱਚੋਂ ਇੱਕ 'ਡਿਊਰੇਬਲਟਾਸਕ' ਈਕੋਸਿਸਟਮ ਦਾ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਦੁਬਾਰਾ ਸਮਝੌਤਾ ਹੈ। ਡੂਰੇਬਲਟਾਸਕ PyPI ਪੈਕੇਜ ਪਹਿਲਾਂ ਮਈ 2026 ਵਿੱਚ TeamPCP ਦੁਆਰਾ ਸੰਕਰਮਿਤ ਹੋਇਆ ਸੀ ਅਤੇ ਲੀਨਕਸ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਜਾਣਕਾਰੀ-ਚੋਰੀ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਸੀ।

ਇੱਕ ਮਹੀਨੇ ਬਾਅਦ, ਪ੍ਰਭਾਵ ਬਹੁਤ ਜ਼ਿਆਦਾ ਵਿਆਪਕ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ। ਨਾ ਸਿਰਫ਼ ਪ੍ਰਾਇਮਰੀ Azure/durabletask ਰਿਪੋਜ਼ਟਰੀ ਗਾਇਬ ਹੋ ਗਈ ਹੈ, ਸਗੋਂ Microsoft ਦੇ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਸੰਬੰਧਿਤ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵੀ ਪ੍ਰਭਾਵਿਤ ਹੋਈਆਂ ਹਨ। ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਪ੍ਰੋਜੈਕਟਾਂ ਵਿੱਚ .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf, ਅਤੇ Durable Functions ਨਿਗਰਾਨੀ ਭਾਗਾਂ ਲਈ ਲਾਗੂਕਰਨ ਸ਼ਾਮਲ ਹਨ।

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਅਸਲ ਸਮਝੌਤਾ ਅਤੇ ਮੌਜੂਦਾ ਟੇਕਡਾਊਨ ਵਿਚਕਾਰ ਸਬੰਧ ਦੁਰਘਟਨਾਪੂਰਨ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੈ। ਇਹ ਦੁਹਰਾਓ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਪਹਿਲਾਂ ਵਾਲੀ ਘਟਨਾ ਦੌਰਾਨ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕਦੇ ਵੀ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਹੋਏ ਹੋਣਗੇ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪਹੁੰਚ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਜਾਂ ਬਰਕਰਾਰ ਰੱਖਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਮਿਅਸਮਾ ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਦ ਕੀੜੇ ਤੋਂ ਵਿਕਸਤ ਹੁੰਦੀ ਹੈ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮੀਆਸਮਾ ਦਾ ਮੁਲਾਂਕਣ ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਡ ਕੀੜੇ ਦੇ ਇੱਕ ਰੂਪ ਵਜੋਂ ਕੀਤਾ ਹੈ ਜਿਸਨੂੰ ਟੀਮਪੀਸੀਪੀ ਨੇ ਮਈ 2026 ਦੇ ਅੱਧ ਵਿੱਚ ਜਨਤਕ ਤੌਰ 'ਤੇ ਜਾਰੀ ਕੀਤਾ ਸੀ। ਉਦੋਂ ਤੋਂ, ਮਾਲਵੇਅਰ ਲਗਾਤਾਰ ਵਿਕਸਤ ਹੋਇਆ ਹੈ, ਵਾਧੂ ਪੈਕੇਜਾਂ ਅਤੇ ਰਿਪੋਜ਼ਟਰੀਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦੇ ਹੋਏ ਆਪਣੀਆਂ ਪ੍ਰਸਾਰ ਤਕਨੀਕਾਂ ਨੂੰ ਸੁਧਾਰਦਾ ਰਿਹਾ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਨੇ ਜਨਤਕ ਭੰਡਾਰ ਬਣਾਉਂਦੇ ਸਮੇਂ ਕਈ ਭੰਡਾਰ ਵਰਣਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ ਜੋ ਚੋਰੀ ਕੀਤੇ ਰਾਜ਼ਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ 'ਮਿਆਸਮਾ: ਦ ਸਪ੍ਰੈਡਿੰਗ ਬਲਾਈਟ', 'ਮਿਆਸਮਾ: ਦ ਸਪ੍ਰੈਡਿੰਗ ਬਲਾਈਟ', 'ਮਿਆਸਮਾ - ਦ ਸਪ੍ਰੈਡਿੰਗ ਬਲਾਈਟ', ਅਤੇ 'ਹੇਡਜ਼ - ਦ ਐਂਡ ਫਾਰ ਦ ਡੈਮਡ' ਸ਼ਾਮਲ ਹਨ। ਮੌਜੂਦਾ ਨਿਰੀਖਣ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ 13 ਭੰਡਾਰ 'ਹੇਡਜ਼' ਵਰਣਨ ਨੂੰ ਲੈ ਕੇ ਹਨ ਅਤੇ 82 ਭੰਡਾਰ 'ਮਿਆਸਮਾ-ਸਬੰਧਤ ਨਾਮਕਰਨ ਭਿੰਨਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਡਾਇਰੈਕਟ ਰਿਪੋਜ਼ਟਰੀ ਇਨਫੈਕਸ਼ਨ ਇੱਕ ਨਵੀਂ ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ ਦਾ ਸੰਕੇਤ ਦਿੰਦੇ ਹਨ

ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀ ਵਿੱਚ, ਮਿਆਸਮਾ ਨੂੰ npm ਰਜਿਸਟਰੀ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬਾਈਪਾਸ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਰਵਾਇਤੀ ਵੰਡ ਚੈਨਲਾਂ ਰਾਹੀਂ ਪੈਕੇਜਾਂ ਨੂੰ ਜ਼ਹਿਰ ਦੇਣ ਦੀ ਬਜਾਏ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਸਿੱਧੇ ਤੌਰ 'ਤੇ GitHub ਰਿਪੋਜ਼ਟਰੀ 'icflorescu/mantine-datatable' ਨੂੰ ਚਾਰ ਸੰਬੰਧਿਤ ਪ੍ਰੋਜੈਕਟਾਂ ਦੇ ਨਾਲ ਸੋਧਿਆ: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6, ਅਤੇ mantine-contextmenu-v6।

ਖਤਰਨਾਕ ਕਮਿਟ ਨੇ ਕੋਈ ਵਾਧੂ ਨਿਰਭਰਤਾ ਪੇਸ਼ ਨਹੀਂ ਕੀਤੀ, ਜਿਸ ਨਾਲ ਖੋਜ ਹੋਰ ਵੀ ਮੁਸ਼ਕਲ ਹੋ ਗਈ। ਇਸ ਦੀ ਬਜਾਏ, ਹਮਲਾਵਰਾਂ ਨੇ ਪੰਜ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਡਿਵੈਲਪਰ ਟੂਲਸ: ਕਲਾਉਡ ਕੋਡ, ਜੈਮਿਨੀ CLI, ਕਰਸਰ, ਵਿਜ਼ੂਅਲ ਸਟੂਡੀਓ ਕੋਡ, ਅਤੇ npm ਟੈਸਟ ਸਕ੍ਰਿਪਟ ਦੁਆਰਾ ਆਪਣੇ ਆਪ ਚਲਾਉਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤੇ ਇੱਕ 4.3 MB ਪੇਲੋਡ ਰਨਰ ਨੂੰ ਏਮਬੇਡ ਕੀਤਾ। ਇਨਫੈਕਸ਼ਨ ਉਦੋਂ ਸਰਗਰਮ ਹੋ ਜਾਂਦੀ ਹੈ ਜਦੋਂ ਡਿਵੈਲਪਰ ਇੱਕ ਪ੍ਰਭਾਵਿਤ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਕਲੋਨ ਕਰਦੇ ਹਨ ਅਤੇ ਇਸਨੂੰ AI-ਸਹਾਇਤਾ ਪ੍ਰਾਪਤ ਕੋਡਿੰਗ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਖੋਲ੍ਹਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੇਲੋਡ ਦੀ ਪਛਾਣ ਉਸੇ ਸਟੇਜਡ ਬਨ ਲੋਡਰ ਵਜੋਂ ਕੀਤੀ ਜੋ ਪਹਿਲਾਂ ਰਜਿਸਟਰੀ-ਕੇਂਦ੍ਰਿਤ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾਂਦਾ ਸੀ, ਪਰ ਸਰੋਤ ਰਿਪੋਜ਼ਟਰੀਆਂ ਦੇ ਅੰਦਰ ਲੰਬੇ ਸਮੇਂ ਦੀ ਸਥਿਰਤਾ ਲਈ ਅਨੁਕੂਲਿਤ ਸੀ।

ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਬਜਾਏ ਭਰੋਸੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ

ਮਿਆਸਮਾ ਮੁਹਿੰਮ ਆਧੁਨਿਕ ਓਪਨ-ਸੋਰਸ ਸਾਫਟਵੇਅਰ ਵੰਡ ਨੂੰ ਆਧਾਰ ਬਣਾਉਣ ਵਾਲੇ ਟਰੱਸਟ ਮਾਡਲ ਵਿੱਚ ਬੁਨਿਆਦੀ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਸਪਲਾਈ ਚੇਨ ਹਮਲਿਆਂ ਦੇ ਉਲਟ ਜੋ ਸਾਫਟਵੇਅਰ ਖਾਮੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਇਹ ਕਾਰਵਾਈ ਜਾਇਜ਼ ਵਿਕਾਸ ਅਤੇ ਪ੍ਰਕਾਸ਼ਨ ਵਿਧੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ ਸਫਲ ਹੁੰਦੀ ਹੈ।

ਇਸਦੀ ਡਾਊਨਸਟ੍ਰੀਮ ਉਪਭੋਗਤਾਵਾਂ ਦੁਆਰਾ ਵਾਰ-ਵਾਰ ਫੈਲਣ ਅਤੇ ਨਵੇਂ ਟੀਚਿਆਂ ਨਾਲ ਵਾਰ-ਵਾਰ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਯੋਗਤਾ ਨੇ ਇਸਨੂੰ ਅੱਜ ਤੱਕ ਦੇਖੇ ਗਏ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਅਤੇ ਨਿਰੰਤਰ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਖਤਰਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਬਣਾ ਦਿੱਤਾ ਹੈ। ਮੁਹਿੰਮ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਇਸਦੀ ਸਮਰੱਥਾ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀ ਹੈ ਕਿ ਉਹ ਪੂਰੇ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਫੈਲ ਸਕਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਕਰਮਿਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਮਝੌਤਾ ਦੇ ਨਵੇਂ ਵੈਕਟਰ ਬਣ ਜਾਂਦੇ ਹਨ।

ਅੰਡਰਲਾਈੰਗ ਸ਼ਾਈ-ਹੁਲੁਦ ਵਿਧੀ npm ਜਾਂ GitHub ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਨਹੀਂ ਬਣਾਉਂਦੀ। ਇਸ ਦੀ ਬਜਾਏ, ਇਹ ਇਸ ਮੂਲ ਧਾਰਨਾ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਦੀ ਹੈ ਕਿ ਪ੍ਰਮਾਣਿਤ ਰੱਖ-ਰਖਾਅ ਕਰਨ ਵਾਲਿਆਂ ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਿਤ ਅਤੇ ਵੈਧ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਦਸਤਖਤ ਕੀਤੇ ਗਏ ਸੌਫਟਵੇਅਰ 'ਤੇ ਭਰੋਸਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਰੱਖ-ਰਖਾਅ ਕਰਨ ਵਾਲੇ ਖਾਤਿਆਂ ਅਤੇ ਉਹਨਾਂ ਨਾਲ ਸੰਬੰਧਿਤ ਦਸਤਖਤ ਕੁੰਜੀਆਂ ਦੋਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ, ਹਮਲਾਵਰ ਖਤਰਨਾਕ ਪ੍ਰਕਾਸ਼ਨ ਗਤੀਵਿਧੀਆਂ ਕਰ ਸਕਦੇ ਹਨ ਜੋ ਪੂਰੀ ਤਰ੍ਹਾਂ ਜਾਇਜ਼ ਜਾਪਦੀਆਂ ਹਨ।

ਪੈਕੇਜ ਰਜਿਸਟਰੀਆਂ ਅਤੇ ਰਿਪੋਜ਼ਟਰੀ ਪਲੇਟਫਾਰਮਾਂ ਦੇ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ, ਇਹ ਖਤਰਨਾਕ ਰੀਲੀਜ਼ਾਂ ਰੁਟੀਨ ਸੌਫਟਵੇਅਰ ਅਪਡੇਟਾਂ ਤੋਂ ਲਗਭਗ ਵੱਖ ਨਹੀਂ ਕੀਤੀਆਂ ਜਾ ਸਕਦੀਆਂ। ਭਰੋਸੇਮੰਦ ਵਰਕਫਲੋ ਦੇ ਅੰਦਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰਨ ਦੀ ਇਹ ਯੋਗਤਾ ਦੱਸਦੀ ਹੈ ਕਿ ਬਹੁਤ ਸਾਰੇ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਮੁਹਿੰਮ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਰੋਕਣ ਲਈ ਕਿਉਂ ਸੰਘਰਸ਼ ਕਰਨਾ ਪਿਆ ਹੈ।