Shai Hulud v2 ਮਾਲਵੇਅਰ

ਸ਼ਾਈ-ਹੁਲੁਦ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਦੀ ਦੂਜੀ ਲਹਿਰ ਹੁਣ ਮਾਵੇਨ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਦਾਖਲ ਹੋ ਗਈ ਹੈ, npm ਰਜਿਸਟਰੀ ਵਿੱਚ 830 ਤੋਂ ਵੱਧ ਪੈਕੇਜਾਂ ਦੇ ਸਮਝੌਤੇ ਤੋਂ ਬਾਅਦ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਮਾਵੇਨ ਸੈਂਟਰਲ ਪੈਕੇਜ, org.mvnpm:posthog-node:4.18.1 ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ ਪਹਿਲਾਂ ਦੇ npm ਹਮਲਿਆਂ ਵਰਗੇ ਹੀ ਖਤਰਨਾਕ ਹਿੱਸੇ ਹਨ: ਲੋਡਰ setup_bun.js ਅਤੇ ਪੇਲੋਡ bun_environment.js। ਵਰਤਮਾਨ ਵਿੱਚ, ਇਹ ਇੱਕੋ ਇੱਕ ਜਾਣਿਆ ਜਾਂਦਾ ਜਾਵਾ ਪੈਕੇਜ ਹੈ ਜੋ ਪ੍ਰਭਾਵਿਤ ਹੋਇਆ ਹੈ।

ਖਾਸ ਤੌਰ 'ਤੇ, Maven ਪੈਕੇਜ PostHog ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਿਤ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸਦੀ ਬਜਾਏ, ਇਹ ਇੱਕ ਸਵੈਚਾਲਿਤ mvnpm ਪ੍ਰਕਿਰਿਆ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ ਜੋ npm ਪੈਕੇਜਾਂ ਨੂੰ Maven ਕਲਾਕ੍ਰਿਤੀਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਦੁਬਾਰਾ ਬਣਾਉਂਦਾ ਹੈ। Maven Central ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ 25 ਨਵੰਬਰ, 2025 ਤੱਕ ਸਾਰੀਆਂ ਮਿਰਰਡ ਕਾਪੀਆਂ ਨੂੰ ਸਾਫ਼ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ npm ਹਿੱਸਿਆਂ ਨੂੰ ਦੁਬਾਰਾ ਪ੍ਰਕਾਸ਼ਿਤ ਹੋਣ ਤੋਂ ਰੋਕਣ ਲਈ ਵਾਧੂ ਸੁਰੱਖਿਆ ਲਾਗੂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।

ਗਲੋਬਲ ਡਿਵੈਲਪਰ ਪ੍ਰਭਾਵ ਅਤੇ ਹਮਲੇ ਦੇ ਟੀਚੇ

ਇਹ ਨਵੀਨਤਮ ਲਹਿਰ ਦੁਨੀਆ ਭਰ ਦੇ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਚੋਰੀ ਕਰਨਾ ਹੈ ਜਿਵੇਂ ਕਿ:

• API ਕੁੰਜੀਆਂ
• ਕਲਾਉਡ ਕ੍ਰੀਡੈਂਸ਼ੀਅਲ
• npm ਅਤੇ GitHub ਟੋਕਨ

ਇਹ ਕੀੜੇ ਵਰਗੇ, ਸਵੈ-ਨਕਲ ਕਰਨ ਵਾਲੇ ਤਰੀਕੇ ਨਾਲ ਡੂੰਘੇ ਸਪਲਾਈ ਚੇਨ ਸਮਝੌਤੇ ਦੀ ਸਹੂਲਤ ਵੀ ਦਿੰਦਾ ਹੈ। ਸ਼ਾਈ-ਹੁਲੁਦ ਦਾ ਇਹ ਦੁਹਰਾਓ ਸ਼ੁਰੂਆਤੀ ਸਤੰਬਰ ਵੇਰੀਐਂਟ ਨਾਲੋਂ ਵਧੇਰੇ ਗੁਪਤ, ਹਮਲਾਵਰ ਅਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਹੈ। npm ਮੇਨਟੇਨਰ ਖਾਤਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ, ਹਮਲਾਵਰ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਪੈਕੇਜ ਪ੍ਰਕਾਸ਼ਤ ਕਰ ਸਕਦੇ ਹਨ ਜੋ ਬੈਕਡੋਰ ਡਿਵੈਲਪਰ ਮਸ਼ੀਨਾਂ ਨੂੰ ਚਲਾਉਂਦੇ ਹਨ ਅਤੇ GitHub ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਫੈਲਣ ਲਈ ਆਪਣੇ ਆਪ ਰਾਜ਼ਾਂ ਲਈ ਸਕੈਨ ਕਰਦੇ ਹਨ।

ਮਾਲਵੇਅਰ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ: ਦੋਹਰੇ ਵਰਕਫਲੋ ਅਤੇ ਸਟੀਲਥ ਤਕਨੀਕਾਂ

ਇਹ ਹਮਲਾ ਦੋ ਖਤਰਨਾਕ ਵਰਕਫਲੋ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ:

• ਸਵੈ-ਹੋਸਟਡ ਰਨਰ ਰਜਿਸਟ੍ਰੇਸ਼ਨ: ਜਦੋਂ ਵੀ GitHub ਚਰਚਾ ਖੋਲ੍ਹੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਮਨਮਾਨੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
• ਵਰਕਫਲੋ ਦੀ ਕਟਾਈ ਦੇ ਰਾਜ਼: ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ GitHub ਵੱਲ ਧੱਕਦਾ ਹੈ।
• ਸ਼ਾਈ-ਹੁਲੁਦ v2 ਵਿੱਚ ਮੁੱਖ ਸੁਧਾਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
• ਮੁੱਖ ਤਰਕ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਬਨ ਰਨਟਾਈਮ ਦੀ ਵਰਤੋਂ
• ਇਨਫੈਕਸ਼ਨ ਕੈਪ ਨੂੰ 20 ਤੋਂ 100 ਪੈਕੇਜਾਂ ਤੱਕ ਵਧਾਉਣਾ
• ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ GitHub 'ਤੇ ਬੇਤਰਤੀਬ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀਆਂ

ਹੁਣ ਤੱਕ, 28,000 ਤੋਂ ਵੱਧ ਰਿਪੋਜ਼ਟਰੀਆਂ ਪ੍ਰਭਾਵਿਤ ਹੋਈਆਂ ਹਨ, ਜੋ ਕਿ ਮੁਹਿੰਮ ਦੇ ਵਿਸ਼ਾਲ ਪੈਮਾਨੇ ਅਤੇ ਗੁਪਤਤਾ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।

ਸ਼ੋਸ਼ਿਤ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਸਪਲਾਈ ਚੇਨ ਮਕੈਨਿਕਸ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਨੇ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਵਿੱਚ CI ਗਲਤ ਸੰਰਚਨਾਵਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਇਆ ਹੈ, ਖਾਸ ਕਰਕੇ pull_request_target ਅਤੇ workflow_run ਟ੍ਰਿਗਰ। ਇੱਕ ਗਲਤ ਸੰਰਚਿਤ ਵਰਕਫਲੋ ਇੱਕ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ 'ਮਰੀਜ਼ ਜ਼ੀਰੋ' ਵਿੱਚ ਬਦਲ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਖਤਰਨਾਕ ਕੋਡ ਦਾ ਤੇਜ਼ੀ ਨਾਲ ਪ੍ਰਸਾਰ ਸੰਭਵ ਹੋ ਸਕਦਾ ਹੈ।

ਇਸ ਹਮਲੇ ਨੇ AsyncAPI, PostHog, ਅਤੇ Postman ਨਾਲ ਜੁੜੇ ਪ੍ਰੋਜੈਕਟਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ, ਜੋ ਕਿ ਅਗਸਤ 2025 ਦੇ S1ngularity ਹਮਲੇ ਨਾਲ ਸ਼ੁਰੂ ਹੋਈ ਇੱਕ ਵਿਆਪਕ ਮੁਹਿੰਮ ਨੂੰ ਜਾਰੀ ਰੱਖਦਾ ਹੈ, ਜਿਸਨੇ npm 'ਤੇ ਕਈ Nx ਪੈਕੇਜਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ।

ਨਤੀਜਾ: ਭੇਤ ਲੀਕ ਅਤੇ ਪ੍ਰਣਾਲੀਗਤ ਜੋਖਮ

ਮੁਹਿੰਮ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ:

• AWS, Google Cloud, ਅਤੇ Microsoft Azure ਤੋਂ ਸੈਂਕੜੇ GitHub ਐਕਸੈਸ ਟੋਕਨ ਅਤੇ ਕਲਾਉਡ ਪ੍ਰਮਾਣ ਪੱਤਰ ਐਕਸਫਿਲਟ ਕੀਤੇ ਗਏ ਸਨ।
• ਗਿੱਟਹੱਬ 'ਤੇ 5,000 ਤੋਂ ਵੱਧ ਗੁਪਤ ਫਾਈਲਾਂ ਅਪਲੋਡ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ।
• 4,645 ਭੰਡਾਰਾਂ ਵਿੱਚ ਪਛਾਣੇ ਗਏ 11,858 ਵਿਲੱਖਣ ਰਾਜ਼ਾਂ ਵਿੱਚੋਂ, 2,298 24 ਨਵੰਬਰ, 2025 ਤੱਕ ਵੈਧ ਅਤੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪ੍ਰਗਟ ਰਹੇ।

ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕਿਵੇਂ ਇੱਕ ਸਿੰਗਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਰੱਖ-ਰਖਾਅ ਕਰਨ ਵਾਲਾ ਕੈਸਕੇਡ ਪ੍ਰਭਾਵ ਨੂੰ ਚਾਲੂ ਕਰ ਸਕਦਾ ਹੈ, ਹਜ਼ਾਰਾਂ ਡਾਊਨਸਟ੍ਰੀਮ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰ ਸਕਦਾ ਹੈ।

ਡਿਵੈਲਪਰਾਂ ਲਈ ਸਿਫ਼ਾਰਸ਼ਾਂ

ਐਕਸਪੋਜਰ ਨੂੰ ਘਟਾਉਣ ਲਈ, ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਇਹ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ:

• ਸਾਰੀਆਂ API ਕੁੰਜੀਆਂ, ਟੋਕਨਾਂ, ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਘੁੰਮਾਓ
• ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਨਿਰਭਰਤਾਵਾਂ ਦਾ ਆਡਿਟ ਕਰੋ ਅਤੇ ਹਟਾਓ
• ਸਾਫ਼ ਪੈਕੇਜ ਵਰਜਨਾਂ ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰੋ
• ਘੱਟ ਤੋਂ ਘੱਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪਹੁੰਚ, ਗੁਪਤ ਸਕੈਨਿੰਗ, ਅਤੇ ਸਵੈਚਾਲਿਤ ਨੀਤੀ ਲਾਗੂ ਕਰਨ ਵਾਲੇ CI/CD ਵਾਤਾਵਰਣ ਨੂੰ ਸਖ਼ਤ ਬਣਾਓ।

ਸ਼ਾਈ-ਹੁਲੁਦ ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ ਕਿ ਆਧੁਨਿਕ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕਮਜ਼ੋਰ ਬਣੀ ਹੋਈ ਹੈ। ਹਮਲਾਵਰ ਓਪਨ-ਸੋਰਸ ਸਾਫਟਵੇਅਰ ਨੂੰ ਪ੍ਰਕਾਸ਼ਿਤ, ਪੈਕ ਕੀਤੇ ਅਤੇ ਤੈਨਾਤ ਕੀਤੇ ਜਾਣ ਦੇ ਤਰੀਕੇ ਵਿੱਚ ਪਾੜੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਰਹਿੰਦੇ ਹਨ, ਅਕਸਰ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ 'ਤੇ ਨਿਰਭਰ ਕੀਤੇ ਬਿਨਾਂ। ਸਭ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਬਚਾਅ ਲਈ ਸਾਫਟਵੇਅਰ ਨੂੰ ਕਿਵੇਂ ਬਣਾਇਆ, ਸਾਂਝਾ ਕੀਤਾ ਅਤੇ ਖਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਸ ਬਾਰੇ ਮੁੜ ਵਿਚਾਰ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।