PhantomRaven ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ npm ਈਕੋਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਇੱਕ ਬਹੁਤ ਹੀ ਸਰਗਰਮ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। 100 ਤੋਂ ਵੱਧ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਕਿ ਸੰਵੇਦਨਸ਼ੀਲ ਡਿਵੈਲਪਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹਨ, ਜਿਸ ਵਿੱਚ ਪ੍ਰਮਾਣੀਕਰਨ ਟੋਕਨ, CI/CD ਸੀਕਰੇਟ, ਅਤੇ GitHub ਪ੍ਰਮਾਣ ਪੱਤਰ ਸ਼ਾਮਲ ਹਨ, ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ ਤੋਂ।

ਇਹ ਮੁਹਿੰਮ, ਜਿਸਦਾ ਕੋਡਨੇਮ ਫੈਂਟਮਰੇਵਨ ਸੀ, ਪਹਿਲੀ ਵਾਰ ਅਗਸਤ 2025 ਵਿੱਚ ਉਭਰੀ ਸੀ। ਉਦੋਂ ਤੋਂ, ਇਹ 126 npm ਲਾਇਬ੍ਰੇਰੀਆਂ ਤੱਕ ਫੈਲ ਗਈ ਹੈ ਅਤੇ 86,000 ਤੋਂ ਵੱਧ ਸਥਾਪਨਾਵਾਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਹਨ, ਜੋ ਇਹਨਾਂ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਫੈਲਣ ਅਤੇ ਅਪਣਾਉਣ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਗੁਪਤ ਥਾਵਾਂ 'ਤੇ ਉੱਡ ਰਹੇ ਖਤਰਨਾਕ ਪੈਕੇਜ

ਕਈ ਫਲੈਗ ਕੀਤੇ ਪੈਕੇਜਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• op-cli-ਇੰਸਟਾਲਰ - 486 ਡਾਉਨਲੋਡਸ
• ਅਣਵਰਤੇ-ਆਯਾਤ - 1,350 ਡਾਊਨਲੋਡ
• ਬੈਜਕਿੱਟ-ਏਪੀਆਈ-ਕਲਾਇੰਟ – 483 ਡਾਊਨਲੋਡ
• ਪੌਲੀਫਿਲ-ਕੋਰਜੇਐਸ3 – 475 ਡਾਊਨਲੋਡ
• ਐਸਲਿੰਟ-ਟਿੱਪਣੀਆਂ - 936 ਡਾਊਨਲੋਡ

PhantomRaven ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਧੋਖੇਬਾਜ਼ ਬਣਾਉਣ ਵਾਲੀ ਗੱਲ ਇਹ ਹੈ ਕਿ ਇਸਦਾ ਰਿਮੋਟ ਡਾਇਨਾਮਿਕ ਡਿਪੈਂਡੈਂਸੀ (RDDs) ਦੀ ਵਰਤੋਂ ਹੈ। ਅਧਿਕਾਰਤ npm ਰਜਿਸਟਰੀ ਤੋਂ ਕੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਬਜਾਏ, ਖਤਰਨਾਕ ਪੈਕੇਜ ਇੱਕ ਕਸਟਮ HTTP URL (packages.storeartifact.com) ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਇਹ npm ਨੂੰ ਇੱਕ ਅਵਿਸ਼ਵਾਸਯੋਗ ਬਾਹਰੀ ਸਰੋਤ ਤੋਂ ਨਿਰਭਰਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, npmjs.com ਸੁਰੱਖਿਆ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦਾ ਹੈ।

ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਸਕੈਨਰ ਅਤੇ ਨਿਰਭਰਤਾ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲ ਇਹਨਾਂ RDDs ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੇ ਹਨ, ਕਿਉਂਕਿ ਸਵੈਚਾਲਿਤ ਸਿਸਟਮ ਪੈਕੇਜਾਂ ਨੂੰ '0 ਨਿਰਭਰਤਾ' ਵਜੋਂ ਦੇਖਦੇ ਹਨ।

ਹਮਲਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਹਮਲੇ ਦੀ ਲੜੀ ਉਦੋਂ ਹੀ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦੀ ਹੈ ਜਦੋਂ ਕੋਈ ਡਿਵੈਲਪਰ ਇੱਕ ਅਜਿਹੇ ਪੈਕੇਜ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ ਜੋ ਕਿ ਆਮ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ। ਮੁੱਖ ਤੱਤਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਪ੍ਰੀ-ਇੰਸਟਾਲ ਹੁੱਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ : ਪੈਕੇਜ ਵਿੱਚ ਇੱਕ ਪ੍ਰੀ-ਇੰਸਟਾਲ ਲਾਈਫਸਾਈਕਲ ਸਕ੍ਰਿਪਟ ਹੈ ਜੋ ਮੁੱਖ ਪੇਲੋਡ ਨੂੰ ਆਪਣੇ ਆਪ ਚਲਾਉਂਦੀ ਹੈ।

ਰਿਮੋਟ ਪੇਲੋਡ ਪ੍ਰਾਪਤੀ : ਸਕ੍ਰਿਪਟ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਤੋਂ ਖਤਰਨਾਕ ਨਿਰਭਰਤਾ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ।

ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ : ਇੱਕ ਵਾਰ ਲਾਗੂ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਡਿਵੈਲਪਰ ਦੇ ਵਾਤਾਵਰਣ ਨੂੰ ਈਮੇਲ ਪਤਿਆਂ ਲਈ ਸਕੈਨ ਕਰਦਾ ਹੈ, CI/CD ਵਾਤਾਵਰਣ ਵੇਰਵੇ ਇਕੱਠੇ ਕਰਦਾ ਹੈ, ਸਿਸਟਮ (ਜਨਤਕ IP ਸਮੇਤ) ਦੇ ਫਿੰਗਰਪ੍ਰਿੰਟ ਕਰਦਾ ਹੈ, ਅਤੇ ਡੇਟਾ ਨੂੰ ਰਿਮੋਟ ਸਰਵਰ ਤੇ ਭੇਜਦਾ ਹੈ।

ਹਮਲਾਵਰ ਆਪਣੀ ਮਰਜ਼ੀ ਨਾਲ ਪੇਲੋਡ ਨੂੰ ਸੋਧ ਸਕਦਾ ਹੈ, ਸ਼ੁਰੂ ਵਿੱਚ ਪੈਕੇਜ ਨੂੰ ਅਪਣਾਉਣ ਤੋਂ ਬਾਅਦ ਖਤਰਨਾਕ ਅਪਡੇਟਾਂ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਨੁਕਸਾਨ ਰਹਿਤ ਕੋਡ ਦੀ ਸੇਵਾ ਕਰਦਾ ਹੈ।

ਮਨੁੱਖੀ ਅਤੇ ਏਆਈ ਅੰਨ੍ਹੇ ਸਥਾਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ

ਪੈਕੇਜ ਨਾਵਾਂ ਦੀ ਚੋਣ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਇੱਕ ਰਣਨੀਤੀ ਵਰਤਦਾ ਹੈ ਜਿਸਨੂੰ ਸਲੋਪਸਕਵਾਟਿੰਗ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿੱਥੇ ਵੱਡੇ ਭਾਸ਼ਾ ਮਾਡਲ (LLM) ਗੈਰ-ਮੌਜੂਦ ਪਰ ਮਨਘੜਤ-ਆਵਾਜ਼ ਵਾਲੇ ਪੈਕੇਜ ਨਾਵਾਂ ਨੂੰ ਭਰਮਾਉਂਦੇ ਹਨ। ਡਿਵੈਲਪਰ ਇਹਨਾਂ ਪੈਕੇਜਾਂ 'ਤੇ ਉਹਨਾਂ ਦੇ ਯਥਾਰਥਵਾਦੀ ਨਾਮਕਰਨ ਦੇ ਕਾਰਨ ਭਰੋਸਾ ਕਰ ਸਕਦੇ ਹਨ, ਲੁਕਵੇਂ ਖ਼ਤਰੇ ਤੋਂ ਅਣਜਾਣ।

ਜਿਵੇਂ ਕਿ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਹੈ, ਫੈਂਟਮਰੇਵਨ ਹਮਲਾਵਰਾਂ ਦੀ ਵਧਦੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ:

• ਰਿਮੋਟ ਡਾਇਨਾਮਿਕ ਨਿਰਭਰਤਾ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਦੀਆਂ ਹਨ।
• ਏਆਈ-ਤਿਆਰ ਕੀਤੇ ਪੈਕੇਜ ਨਾਮ ਡਿਵੈਲਪਰਾਂ ਦੇ ਵਿਸ਼ਵਾਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।
• ਲਾਈਫਸਾਈਕਲ ਸਕ੍ਰਿਪਟਾਂ ਉਪਭੋਗਤਾ ਦੀ ਆਪਸੀ ਤਾਲਮੇਲ ਤੋਂ ਬਿਨਾਂ ਆਪਣੇ ਆਪ ਚੱਲਦੀਆਂ ਹਨ।

ਇਹ ਮੁਹਿੰਮ ਇਸ ਗੱਲ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਖਤਰਨਾਕ ਕਾਰਕੁਨ ਓਪਨ-ਸੋਰਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਕੋਡ ਨੂੰ ਲੁਕਾਉਣ ਦੇ ਨਵੇਂ ਤਰੀਕੇ ਲੱਭ ਰਹੇ ਹਨ, ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਟੂਲਿੰਗ ਵਿੱਚ ਪਾੜੇ ਦਾ ਫਾਇਦਾ ਉਠਾ ਰਹੇ ਹਨ।

ਐਨਪੀਐਮ ਇੱਕ ਪ੍ਰਮੁੱਖ ਟੀਚਾ ਕਿਉਂ ਹੈ?

ਪੈਕੇਜਾਂ ਨੂੰ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਲਈ npm ਈਕੋਸਿਸਟਮ ਦਾ ਘੱਟ ਘ੍ਰਿਣਾ, ਪ੍ਰੀ-ਇੰਸਟਾਲ, ਇੰਸਟਾਲ ਅਤੇ ਪੋਸਟ-ਇੰਸਟਾਲ ਸਕ੍ਰਿਪਟਾਂ ਦੇ ਆਟੋਮੈਟਿਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੇ ਨਾਲ, ਇਸਨੂੰ ਇੱਕ ਪ੍ਰਮੁੱਖ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਹਮਲਾਵਰ ਜੀਵਨ-ਚੱਕਰ ਸਕ੍ਰਿਪਟਾਂ ਦੇ ਅੰਦਰ ਖਤਰਨਾਕ ਵਿਵਹਾਰ ਨੂੰ ਛੁਪਾ ਸਕਦੇ ਹਨ, ਅਕਸਰ ਡਿਵੈਲਪਰ ਦੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ, ਆਧੁਨਿਕ ਵਿਕਾਸ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਵਧੀ ਹੋਈ ਚੌਕਸੀ ਅਤੇ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਅਭਿਆਸਾਂ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।