ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਦ ਕੀੜਾ
TeamPCP ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਐਕਟਰ ਇੱਕ ਸੂਝਵਾਨ ਸਪਲਾਈ ਚੇਨ ਅਟੈਕ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ ਜੋ ਟੈਨਸਟੈਕ, UiPath, Mistral AI, OpenSearch, Guardrails AI, ਅਤੇ ਕਈ ਹੋਰ ਈਕੋਸਿਸਟਮ ਨਾਲ ਜੁੜੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ npm ਅਤੇ PyPI ਪੈਕੇਜਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ, ਵਿਕਸਤ ਹੋ ਰਹੀ ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਡ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ, ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਦੁਰਵਰਤੋਂ ਅਤੇ ਪਛਾਣ-ਅਧਾਰਤ ਸਮਝੌਤਾ ਤਕਨੀਕਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਾਧਾ ਦਰਸਾਉਂਦੀ ਹੈ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਛਾਣ ਕੀਤੀ ਕਿ ਖਤਰਨਾਕ npm ਪੈਕੇਜਾਂ ਨੂੰ router_init.js ਨਾਮਕ ਇੱਕ ਅਸਪਸ਼ਟ JavaScript ਕੰਪੋਨੈਂਟ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਸੋਧਿਆ ਗਿਆ ਸੀ। ਇਹ ਪੇਲੋਡ ਪ੍ਰੋਫਾਈਲਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਵਾਤਾਵਰਣ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਕਲਾਉਡ ਪ੍ਰਦਾਤਾਵਾਂ, ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ, AI ਵਿਕਾਸ ਟੂਲਸ, ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ, CI/CD ਸਿਸਟਮ, ਅਤੇ GitHub ਐਕਸ਼ਨ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਇੱਕ ਉੱਨਤ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਸਟੀਲਰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਐਕਸਫਿਲਟਰੇਟਿਡ ਡੇਟਾ ਮੁੱਖ ਤੌਰ 'ਤੇ filev2.getsession.org ਡੋਮੇਨ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਸੈਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਤੋਂ ਬਚਣ ਦੀ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਕਿਉਂਕਿ ਡੋਮੇਨ ਇੱਕ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਗੋਪਨੀਯਤਾ-ਕੇਂਦ੍ਰਿਤ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ ਨਾਲ ਸਬੰਧਤ ਹੈ, ਇਸ ਲਈ ਇਸਨੂੰ ਰਵਾਇਤੀ ਨੈੱਟਵਰਕ ਰੱਖਿਆ ਦੁਆਰਾ ਬਲੌਕ ਕੀਤੇ ਜਾਣ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਹੈ। ਇੱਕ ਸੈਕੰਡਰੀ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਵਿਧੀ ਦੇ ਤੌਰ 'ਤੇ, ਏਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਲੇਖਕ ਪਛਾਣ claude@users.noreply.github.com ਦੇ ਤਹਿਤ ਚੋਰੀ ਕੀਤੇ GitHub ਪ੍ਰਮਾਣੀਕਰਨ ਟੋਕਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ GitHub GraphQL API ਰਾਹੀਂ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਰਿਪੋਜ਼ਟਰੀਆਂ ਲਈ ਵਚਨਬੱਧ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਥਿਰਤਾ ਵਿਧੀ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਦਾ ਵਿਸਥਾਰ
ਇਹ ਮਾਲਵੇਅਰ ਕਈ ਸਥਿਰਤਾ ਅਤੇ ਨਿਗਰਾਨੀ ਸਮਰੱਥਾਵਾਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਵਿਕਾਸ ਵਾਤਾਵਰਣਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਕਲਾਉਡ ਕੋਡ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿਜ਼ੂਅਲ ਸਟੂਡੀਓ ਕੋਡ ਦੇ ਅੰਦਰ ਸਥਿਰਤਾ ਹੁੱਕ ਸਥਾਪਤ ਕੀਤੇ ਗਏ ਹਨ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਸਿਸਟਮ ਰੀਬੂਟ ਤੋਂ ਬਚ ਸਕਦਾ ਹੈ ਅਤੇ ਜਦੋਂ ਵੀ IDE ਖੋਲ੍ਹੇ ਜਾਂਦੇ ਹਨ ਤਾਂ ਆਪਣੇ ਆਪ ਮੁੜ ਲਾਂਚ ਹੋ ਜਾਂਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, GitHub ਟੋਕਨਾਂ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਅਤੇ ਮੁੜ-ਐਕਸਫਿਲਟਰੇਟ ਕਰਨ ਲਈ ਇੱਕ gh-token-monitor ਸੇਵਾ ਤਾਇਨਾਤ ਕੀਤੀ ਗਈ ਹੈ। ਦੋ ਖਤਰਨਾਕ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਵੀ ਸਮਝੌਤਾ ਕੀਤੇ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਹ ਵਰਕਫਲੋ ਰਿਪੋਜ਼ਟਰੀ ਸੀਕਰੇਟਸ ਨੂੰ JSON ਫਾਰਮੈਟ ਵਿੱਚ ਸੀਰੀਅਲਾਈਜ਼ ਕਰਦੇ ਹਨ ਅਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰੀ ਐਂਡਪੁਆਇੰਟ api.masscan.cloud 'ਤੇ ਅਪਲੋਡ ਕਰਦੇ ਹਨ।
ਨਵੀਨਤਮ ਟੈਨਸਟੈਕ ਸਮਝੌਤਾ ਪਹਿਲਾਂ ਦੀਆਂ ਸਪਲਾਈ ਚੇਨ ਘਟਨਾਵਾਂ ਤੋਂ ਕਾਫ਼ੀ ਵੱਖਰਾ ਹੈ। ਪ੍ਰੀ-ਇੰਸਟਾਲ ਹੁੱਕ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਖਤਰਨਾਕ JavaScript ਫਾਈਲ ਨੂੰ ਸਿੱਧੇ ਪੈਕੇਜ ਟਾਰਬਾਲਾਂ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤਾ ਜਦੋਂ ਕਿ ਇੱਕ GitHub-ਹੋਸਟਡ ਪੈਕੇਜ ਨਾਲ ਜੁੜੀ ਇੱਕ ਵਿਕਲਪਿਕ ਨਿਰਭਰਤਾ ਪੇਸ਼ ਕੀਤੀ। ਉਸ ਨਿਰਭਰਤਾ ਵਿੱਚ ਇੱਕ ਤਿਆਰੀ ਜੀਵਨ ਚੱਕਰ ਹੁੱਕ ਹੁੰਦਾ ਹੈ ਜੋ ਬਨ ਰਨਟਾਈਮ ਵਾਤਾਵਰਣ ਦੁਆਰਾ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ।
ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਮਿਸਟ੍ਰਲ ਏਆਈ ਪੈਕੇਜਾਂ ਨੇ ਪੈਕੇਜ.ਜੇਸਨ ਫਾਈਲ ਨੂੰ ਇੱਕ ਪ੍ਰੀ-ਇੰਸਟਾਲ ਹੁੱਕ ਨਾਲ ਸੋਧ ਕੇ ਇੱਕ ਪੁਰਾਣੀ ਇਨਫੈਕਸ਼ਨ ਰਣਨੀਤੀ ਅਪਣਾਈ ਜੋ ਨੋਡ setup.mjs ਨੂੰ ਇਨਵੋਕ ਕਰਦੀ ਹੈ। ਇਹ ਪ੍ਰਕਿਰਿਆ ਬਨ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦੀ ਹੈ ਅਤੇ ਉਹੀ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ-ਸਟੀਲਿੰਗ ਮਾਲਵੇਅਰ ਚਲਾਉਂਦੀ ਹੈ।
CVE-2026-45321 ਅਤੇ ਭਰੋਸੇਯੋਗ ਪ੍ਰਕਾਸ਼ਨ ਦੀ ਦੁਰਵਰਤੋਂ
ਟੈਨਸਟੈਕ ਸਮਝੌਤਾ ਅਧਿਕਾਰਤ ਤੌਰ 'ਤੇ CVE-2026-45321 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਇਸਨੂੰ 9.6 ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ CVSS ਸਕੋਰ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ ਟੈਨਸਟੈਕ ਈਕੋਸਿਸਟਮ ਦੇ ਅੰਦਰ 42 ਪੈਕੇਜ ਅਤੇ 84 ਸੰਸਕਰਣ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਸਨ।
ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਇਹ ਸਮਝੌਤਾ ਇੱਕ ਚੇਨਡ GitHub Actions ਹਮਲੇ ਤੋਂ ਹੋਇਆ ਸੀ ਜਿਸ ਵਿੱਚ pull_request_target ਟ੍ਰਿਗਰ, GitHub Actions ਕੈਸ਼ ਪੋਇਜ਼ਨਿੰਗ, ਅਤੇ GitHub Actions ਰਨਰਾਂ ਤੋਂ OIDC ਟੋਕਨਾਂ ਦੇ ਰਨਟਾਈਮ ਐਕਸਟਰੈਕਸ਼ਨ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ NPM ਪੈਕੇਜ ਟਾਰਬਾਲਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ GitHub ਫੋਰਕਸ ਵਿੱਚ ਅਨਾਥ ਕਮਿਟਾਂ ਰਾਹੀਂ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਸਟੇਜ ਕੀਤਾ। ਫਿਰ ਹਮਲਾਵਰਾਂ ਨੇ ਵੈਧ SLSA ਪ੍ਰੋਵਨੈਂਸ ਪ੍ਰਮਾਣੀਕਰਣਾਂ ਵਾਲੇ ਸਮਝੌਤਾ ਕੀਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਪ੍ਰਕਾਸ਼ਤ ਕਰਨ ਲਈ ਜਾਇਜ਼ TanStack/ਰਾਊਟਰ ਵਰਕਫਲੋ ਨੂੰ ਹਾਈਜੈਕ ਕਰ ਲਿਆ।
ਇਹ ਵਿਕਾਸ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਹਮਲਿਆਂ ਵਿੱਚ ਇੱਕ ਇਤਿਹਾਸਕ ਵਾਧਾ ਦਰਸਾਉਂਦਾ ਹੈ। ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਵਿੱਚ ਵੈਧ SLSA ਬਿਲਡ ਲੈਵਲ 3 ਉਤਪਤੀ ਦਸਤਖਤ ਸਨ, ਜਿਸ ਨਾਲ ਇਹ ਪਹਿਲਾ ਦਸਤਾਵੇਜ਼ੀ npm ਵਰਮ ਬਣ ਗਿਆ ਜੋ ਪ੍ਰਮਾਣਿਕ ਬਿਲਡ ਪ੍ਰਮਾਣੀਕਰਣਾਂ ਦੇ ਨਾਲ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਵੰਡਣ ਦੇ ਸਮਰੱਥ ਸੀ। ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਬਾਅਦ ਵਿੱਚ ਟੈਨਸਟੈਕ ਤੋਂ ਪਰੇ ਫੈਲ ਗਈ ਅਤੇ UiPath, DraftLab, ਅਤੇ ਹੋਰ ਡਿਵੈਲਪਰਾਂ ਦੁਆਰਾ ਬਣਾਈ ਰੱਖੀ ਗਈ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਫੈਲ ਗਈ।
ਇਹ ਕਾਰਵਾਈ ਭਰੋਸੇਯੋਗ ਪ੍ਰਕਾਸ਼ਨ ਵਰਕਫਲੋ ਦੀ ਭਾਰੀ ਦੁਰਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਸਿੱਧੇ ਤੌਰ 'ਤੇ npm ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨ ਦੀ ਬਜਾਏ, ਭਰੋਸੇਯੋਗ CI/CD ਪਾਈਪਲਾਈਨਾਂ ਦੇ ਅੰਦਰ ਚੱਲ ਰਹੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਕੋਡ ਨੇ ਬਿਲਡ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਪ੍ਰਕਾਸ਼ਨ ਟੋਕਨਾਂ ਨੂੰ ਜੋੜਨ ਲਈ OIDC ਅਨੁਮਤੀਆਂ ਦਾ ਲਾਭ ਉਠਾਇਆ। ਇਸਨੇ ਰਵਾਇਤੀ ਪ੍ਰਮਾਣੀਕਰਨ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਜਾਇਜ਼ ਰੀਲੀਜ਼ ਪਾਈਪਲਾਈਨਾਂ ਰਾਹੀਂ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ।
ਸਵੈ-ਪ੍ਰਸਾਰਿਤ ਕੀੜੇ ਦਾ ਵਿਵਹਾਰ ਚਿੰਤਾ ਪੈਦਾ ਕਰਦਾ ਹੈ
ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਦ ਮੁਹਿੰਮ ਦੇ ਸਭ ਤੋਂ ਖਤਰਨਾਕ ਪਹਿਲੂਆਂ ਵਿੱਚੋਂ ਇੱਕ ਇਸਦਾ ਕੀੜਾ-ਵਰਗਾ ਪ੍ਰਸਾਰ ਮਾਡਲ ਹੈ। ਮਾਲਵੇਅਰ ਸਰਗਰਮੀ ਨਾਲ ਪ੍ਰਕਾਸ਼ਨਯੋਗ npm ਟੋਕਨਾਂ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ ਜੋ bypass_2fa=true ਨਾਲ ਕੌਂਫਿਗਰ ਕੀਤੇ ਗਏ ਹਨ, ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵੈਲਪਰ ਦੁਆਰਾ ਰੱਖੇ ਗਏ ਪੈਕੇਜਾਂ ਦੀ ਗਿਣਤੀ ਕਰਦਾ ਹੈ, ਅਤੇ ਪ੍ਰਤੀ-ਪੈਕੇਜ ਪ੍ਰਕਾਸ਼ਨ ਟੋਕਨਾਂ ਲਈ GitHub OIDC ਟੋਕਨਾਂ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਹ ਵਿਧੀ ਮਾਲਵੇਅਰ ਨੂੰ ਰਵਾਇਤੀ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਤਕਨੀਕਾਂ 'ਤੇ ਨਿਰਭਰ ਕੀਤੇ ਬਿਨਾਂ ਪੈਕੇਜ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਪਾਸੇ ਵੱਲ ਫੈਲਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।
ਇਸ ਹਮਲੇ ਨੇ GitHub ਦੇ OIDC ਭਰੋਸੇਯੋਗ ਪ੍ਰਕਾਸ਼ਕ ਮਾਡਲ ਦੇ ਅੰਦਰ ਰਿਪੋਜ਼ਟਰੀ-ਪੱਧਰ ਦੇ ਟਰੱਸਟ ਕੌਂਫਿਗਰੇਸ਼ਨਾਂ ਦਾ ਵੀ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਕਿਉਂਕਿ ਟਰੱਸਟ ਨੂੰ ਸੁਰੱਖਿਅਤ ਸ਼ਾਖਾਵਾਂ ਅਤੇ ਖਾਸ ਵਰਕਫਲੋ ਫਾਈਲਾਂ ਤੱਕ ਸੀਮਤ ਕਰਨ ਦੀ ਬਜਾਏ ਰਿਪੋਜ਼ਟਰੀ ਪੱਧਰ 'ਤੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਇਸ ਲਈ ਅਨਾਥ ਕਮਿਟਾਂ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤੇ ਗਏ ਖਤਰਨਾਕ ਵਰਕਫਲੋ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਜਾਇਜ਼ npm ਪ੍ਰਕਾਸ਼ਨ ਟੋਕਨਾਂ ਦੀ ਬੇਨਤੀ ਕਰਨ ਦੇ ਯੋਗ ਸਨ।
ਇੱਕ ਹੋਰ ਪਰੇਸ਼ਾਨ ਕਰਨ ਵਾਲੀ ਸਮਰੱਥਾ ਵਿੱਚ 'ਡੈੱਡ-ਮੈਨ'ਜ਼ ਸਵਿੱਚ' ਦੀ ਤੈਨਾਤੀ ਸ਼ਾਮਲ ਹੈ। ਮਾਲਵੇਅਰ ਇੱਕ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਜੋ ਹਰ 60 ਸਕਿੰਟਾਂ ਵਿੱਚ api.github.com/user ਐਂਡਪੁਆਇੰਟ ਨੂੰ ਵਾਰ-ਵਾਰ ਪੋਲ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾ ਸਕੇ ਕਿ ਹਮਲਾਵਰ ਦੁਆਰਾ ਬਣਾਏ ਗਏ npm ਟੋਕਨ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿੰਦੇ ਹਨ ਜਾਂ ਨਹੀਂ। ਇਹਨਾਂ ਟੋਕਨਾਂ ਵਿੱਚ ਧਮਕੀ ਭਰਿਆ ਵਰਣਨ IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner ਹੁੰਦਾ ਹੈ।
ਜੇਕਰ ਡਿਫੈਂਡਰ npm ਡੈਸ਼ਬੋਰਡ ਰਾਹੀਂ ਟੋਕਨ ਨੂੰ ਰੱਦ ਕਰਦੇ ਹਨ, ਤਾਂ ਮਾਲਵੇਅਰ rm -rf ~/ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ ਵਿਨਾਸ਼ਕਾਰੀ ਰੁਟੀਨ ਲਾਂਚ ਕਰਦਾ ਹੈ, ਜੋ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਇਨਫੈਕਸ਼ਨ ਨੂੰ ਵਾਈਪਰ ਮਾਲਵੇਅਰ ਵਿੱਚ ਬਦਲਦਾ ਹੈ। ਇਹ ਹਮਲਾਵਰ ਵਿਵਹਾਰ TeamPCP ਦੀਆਂ ਸੰਚਾਲਨ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਅਤੇ ਜ਼ਬਰਦਸਤੀ ਨਿਰੰਤਰਤਾ ਦੇ ਤਰੀਕਿਆਂ ਵਿੱਚ ਵਧਦੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਸ ਲਈ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਉਹ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ npm ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਰੱਦ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਨੂੰ ਅਲੱਗ-ਥਲੱਗ ਕਰਨ ਅਤੇ ਚਿੱਤਰ ਬਣਾਉਣ।
ਪ੍ਰਭਾਵਿਤ ਪੈਕੇਜ ਅਤੇ ਫੈਲਦਾ ਈਕੋਸਿਸਟਮ ਪ੍ਰਭਾਵ
ਇਸ ਮੁਹਿੰਮ ਨੇ npm ਅਤੇ PyPI ਦੋਵਾਂ ਵਿੱਚ 170 ਤੋਂ ਵੱਧ ਪੈਕੇਜਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ 518 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਡਾਊਨਲੋਡ ਹੋਏ ਹਨ। ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਣਾਏ ਗਏ ਘੱਟੋ-ਘੱਟ 400 ਰਿਪੋਜ਼ਟਰੀਆਂ ਦੀ ਵੀ ਪਛਾਣ ਕੀਤੀ, ਜਿਨ੍ਹਾਂ ਸਾਰਿਆਂ ਵਿੱਚ 'ਸ਼ਾਈ-ਹੁਲੁਦ: ਹੇਅਰ ਵੀ ਗੋ ਅਗੇਨ' ਵਾਕੰਸ਼ ਹੈ।
ਪ੍ਰਭਾਵਿਤ ਪੈਕੇਜਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
ਗਾਰਡਰੇਲ-ai@0.10.1 (PyPI)
ਮਿਸਟ੍ਰਾਲਈ@2.4.6 (ਪੀਵਾਈਪੀਆਈ)
@opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0, 3.8.0
@ਸਕੁਆਕ/ਐਮਸੀਪੀ@0.9.5
@squawk/ਮੌਸਮ@0.5.10
@squawk/flightplan@0.5.6
@tallyui/ਕਨੈਕਟਰ-ਮੇਡੂਸਾ@1.0.1, 1.0.2, 1.0.3
@tallyui/ਕਨੈਕਟਰ-ਵੇਂਡਰ@1.0.1, 1.0.2, 1.0.3
ਇਹ ਮਾਲਵੇਅਰ ਕਈ ਰਿਡੰਡੈਂਟ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਚੈਨਲਾਂ ਨੂੰ ਵੀ ਵਰਤਦਾ ਹੈ। ਸੈਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ GitHub ਡੈੱਡ ਡ੍ਰੌਪਸ ਤੋਂ ਇਲਾਵਾ, ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਟਾਈਪੋਸਕੈਟਡ ਡੋਮੇਨ git-tanstack.com ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
PyPI ਮਾਲਵੇਅਰ ਜੀਓਫੈਂਸਡ ਵਿਨਾਸ਼ਕਾਰੀ ਤਰਕ ਪੇਸ਼ ਕਰਦਾ ਹੈ
ਖਤਰਨਾਕ Mistral AI ਅਤੇ Guardrails AI ਪੈਕੇਜਾਂ ਨਾਲ ਜੁੜੇ Python-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ ਰੂਪ npm ਦੁਆਰਾ ਵੰਡੇ ਗਏ JavaScript ਪੇਲੋਡਾਂ ਤੋਂ ਕਾਫ਼ੀ ਵੱਖਰੇ ਹਨ। ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ misstralai PyPI ਪੈਕੇਜ ਰਿਮੋਟ ਹੋਸਟ 83.142.209.194 ਤੋਂ ਇੱਕ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਸਟੀਲਰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਕਿ ਪਾਈਥਨ ਮਾਲਵੇਅਰ ਵਿੱਚ ਦੇਸ਼-ਜਾਗਰੂਕ ਤਰਕ ਹੈ ਜੋ ਰੂਸੀ-ਭਾਸ਼ਾ ਦੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਵਿੱਚ ਇੱਕ ਭੂ-ਵਾੜ ਵਾਲਾ ਵਿਨਾਸ਼ਕਾਰੀ ਵਿਧੀ ਵੀ ਸ਼ਾਮਲ ਹੈ ਜੋ rm -rf / ਨੂੰ ਚਲਾਉਣ ਦੀ ਛੇ ਵਿੱਚੋਂ ਇੱਕ ਸੰਭਾਵਨਾ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜੇਕਰ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਇਜ਼ਰਾਈਲ ਜਾਂ ਈਰਾਨ ਵਿੱਚ ਸਥਿਤ ਜਾਪਦਾ ਹੈ।
ਇਹ ਵਿਵਹਾਰ ਓਪਨ-ਸੋਰਸ ਪੈਕੇਜ ਈਕੋਸਿਸਟਮ ਦੇ ਅੰਦਰ ਖੇਤਰ-ਜਾਗਰੂਕ ਵਿਨਾਸ਼ਕਾਰੀ ਪੇਲੋਡ ਤੈਨਾਤੀ ਵੱਲ ਇੱਕ ਚਿੰਤਾਜਨਕ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
ਪਛਾਣ-ਅਧਾਰਤ ਸਪਲਾਈ ਚੇਨ ਹਮਲਿਆਂ ਦਾ ਵਧਦਾ ਖ਼ਤਰਾ
ਮਿੰਨੀ ਸ਼ਾਈ-ਹੁਲੁਦ ਮੁਹਿੰਮ ਆਧੁਨਿਕ ਸਪਲਾਈ ਚੇਨ ਹਮਲਿਆਂ ਵਿੱਚ ਇੱਕ ਵਿਆਪਕ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਸਿਰਫ਼ ਪੈਕੇਜ ਸਮਝੌਤੇ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦੀ ਬਜਾਏ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕ ਭਰੋਸੇਯੋਗ CI/CD ਪਛਾਣਾਂ, ਪ੍ਰਕਾਸ਼ਨ ਵਰਕਫਲੋ, ਅਤੇ ਕਲਾਉਡ-ਅਧਾਰਿਤ ਆਟੋਮੇਸ਼ਨ ਪਾਈਪਲਾਈਨਾਂ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੇ ਹਨ।
ਇੱਕ ਵਾਰ ਜਦੋਂ ਹਮਲਾਵਰ ਸਾਫਟਵੇਅਰ ਪ੍ਰਕਾਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਲੈਂਦੇ ਹਨ, ਤਾਂ ਵਿਕਾਸ ਪਾਈਪਲਾਈਨ ਖੁਦ ਮਾਲਵੇਅਰ ਵੰਡ ਵਿਧੀ ਬਣ ਜਾਂਦੀ ਹੈ। ਕਿਉਂਕਿ ਬਹੁਤ ਸਾਰੀਆਂ ਖਤਰਨਾਕ ਕਾਰਵਾਈਆਂ ਜਾਇਜ਼ ਵਰਕਫਲੋ, ਭਰੋਸੇਯੋਗ ਤਸਦੀਕੀਕਰਨ, ਅਤੇ ਪ੍ਰਮਾਣਿਕ ਰੀਲੀਜ਼ ਪ੍ਰਣਾਲੀਆਂ ਰਾਹੀਂ ਹੁੰਦੀਆਂ ਹਨ, ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣ ਖਤਰਨਾਕ ਵਿਵਹਾਰ ਦੀ ਪਛਾਣ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਹੋ ਸਕਦੇ ਹਨ।
ਸਪਲਾਈ ਚੇਨ ਹਮਲਿਆਂ ਦੀ ਇਸ ਨਵੀਂ ਪੀੜ੍ਹੀ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਵਾਲੀਆਂ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਭਰੋਸੇਯੋਗ ਪ੍ਰਕਾਸ਼ਨ ਅਤੇ OIDC ਟੋਕਨ ਐਕਸਚੇਂਜ ਵਿਧੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ
- ਜਾਇਜ਼ CI/CD ਵਰਕਫਲੋ ਅਤੇ ਬਿਲਡ ਸਿਸਟਮ ਰਾਹੀਂ ਪ੍ਰਸਾਰ
- ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਲੁਕਾਉਣ ਲਈ ਵੈਧ SLSA ਤਸਦੀਕਾਂ ਦੀ ਵਰਤੋਂ
- ਮਲਟੀ-ਚੈਨਲ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਪਰਸਿਸਟੈਂਸ ਓਪਰੇਸ਼ਨ
- ਬਚਾਅ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਡਰਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਵਿਨਾਸ਼ਕਾਰੀ ਬਦਲਾ ਲੈਣ ਦੇ ਢੰਗ
ਏਆਈ ਟੂਲਿੰਗ, ਐਂਟਰਪ੍ਰਾਈਜ਼ ਆਟੋਮੇਸ਼ਨ, ਸਰਚ ਬੁਨਿਆਦੀ ਢਾਂਚੇ, ਫਰੰਟਐਂਡ ਵਿਕਾਸ, ਹਵਾਬਾਜ਼ੀ ਨਾਲ ਸਬੰਧਤ ਟੂਲਿੰਗ, ਅਤੇ ਸੀਆਈ/ਸੀਡੀ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਮੁਹਿੰਮ ਦਾ ਵਿਸਥਾਰ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਕਿੰਨੀ ਡੂੰਘਾਈ ਨਾਲ ਆਪਸ ਵਿੱਚ ਜੁੜੀਆਂ ਹੋਈਆਂ ਹਨ। ਪੈਕੇਜ ਸਥਾਪਨਾ ਅਤੇ ਬਿਲਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੌਰਾਨ ਵਿਵਹਾਰਕ ਨਿਗਰਾਨੀ ਹੁਣ ਪਹਿਲੀ ਨਜ਼ਰ ਵਿੱਚ ਜਾਇਜ਼ ਜਾਪਦੇ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਵੱਧਦੀ ਮਹੱਤਵਪੂਰਨ ਹੈ।
