Miasma புழு

தொடர்ந்து நடைபெற்று வரும் மியாஸ்மா சுய-நகலெடுக்கும் விநியோகச் சங்கிலித் தாக்குதல் பிரச்சாரமானது, தொகுப்புப் பதிவகங்களைத் தாண்டி விரிவடைந்து, இப்போது கிட்ஹப் களஞ்சியங்களை நேரடியாகப் பாதிக்கிறது. ஓப்பன்சோர்ஸ்மால்வேரின் கண்டுபிடிப்புகளின்படி, இந்தச் சம்பவம் அஸூர், அஸூர்-சாம்பிள்ஸ், மைக்ரோசாஃப்ட் மற்றும் மைக்ரோசாஃப்ட்டாக்ஸ் ஆகிய நான்கு மைக்ரோசாஃப்ட் கிட்ஹப் நிறுவனங்களில் உள்ள 73 களஞ்சியங்களைப் பாதித்துள்ளது. இதன் விளைவாக, கிட்ஹப் தனது சேவை விதிமுறைகளை மீறியதற்காக, பாதிக்கப்பட்ட களஞ்சியங்களுக்கான அணுகலைக் கட்டுப்படுத்தியது.

Azure Functions Host ரெபாசிட்டரி உட்பட, பாதிக்கப்பட்ட ப்ராஜெக்ட்களை அணுக முயற்சிக்கும் பயனர்களுக்கு, GitHub ஊழியர்கள் அணுகலை முடக்கியுள்ளதாகவும், மேலும் தகவல்களுக்கு ரெபாசிட்டரி உரிமையாளர்கள் GitHub ஆதரவைத் தொடர்பு கொள்ள வேண்டும் என்றும் குறிப்பிடும் ஒரு அறிவிப்பு காட்டப்படுகிறது.

இந்த நடவடிக்கையால் பாதிக்கப்பட்ட களஞ்சியங்களில் சில:

azure-search-openai-demo-purviewdatasecurity,
இணைப்பிகள்-நெட்-எல்எஸ்பி,
இணைப்பிகள்-NET-SDK,
நீடித்த பணி,
durabletask-dotnet,
நீடித்த பணி-செல்,
durabletask-js,
நீடித்த பணி-எம்எஸ்எஸ்எல்
செயல்பாடுகள்-கலன்-செயல்,
சுயமாக உருவாக்கும் செயல்பாடுகள்,
llm-நுண் சரிசெய்தல்,
விண்டோஸ் டிரைவர் ஆவணங்கள்

நீடித்த பணிச் சூழலமைப்பு இரண்டாவது சமரசத்தைச் சந்திக்கிறது

சமீபத்திய நடவடிக்கையின் மிக முக்கியமான அம்சங்களில் ஒன்று, 'durabletask' சூழலமைப்பு மீண்டும் ஊடுருவப்பட்டதாகத் தெரிவதாகும். durabletask PyPI தொகுப்பானது, முன்னதாக மே 2026-ல் TeamPCP-ஆல் பாதிக்கப்பட்டு, லினக்ஸ் அமைப்புகளைக் குறிவைத்து தகவல் திருடும் தீம்பொருளைப் பரப்புவதற்குப் பயன்படுத்தப்பட்டது.

ஒரு மாதம் கழித்து, இதன் தாக்கம் மிகவும் பரந்ததாகத் தெரிகிறது. முதன்மை Azure/durabletask களஞ்சியம் மறைந்து போனது மட்டுமல்லாமல், மைக்ரோசாஃப்ட்டின் சூழலமைப்பு முழுவதும் உள்ள தொடர்புடைய களஞ்சியங்களும் பாதிக்கப்பட்டுள்ளன. பாதிக்கப்பட்ட திட்டங்களில் .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf மற்றும் Durable Functions கண்காணிப்புக் கூறுகளுக்கான செயலாக்கங்கள் அடங்கும்.

ஆரம்பத்தில் நடந்த பாதுகாப்பு மீறலுக்கும் தற்போதைய முடக்கத்திற்கும் இடையிலான தொடர்பு தற்செயலானதாக இருக்க வாய்ப்பில்லை என்று பாதுகாப்பு ஆராய்ச்சியாளர்கள் நம்புகிறார்கள். இந்தத் தொடர் நிகழ்வு, முந்தைய சம்பவத்தின் போது மீறப்பட்ட அணுகல் சான்றுகள் ஒருபோதும் முழுமையாகப் பாதுகாக்கப்படாமல் இருந்திருக்கலாம் என்பதைக் காட்டுகிறது. இது, தாக்குதல் நடத்தியவர்கள் மீண்டும் அணுகலைப் பெற அல்லது தக்கவைத்துக் கொள்ள அனுமதித்துள்ளது.

மினி ஷாய்-ஹுலுட் புழுவிலிருந்து மியாஸ்மா உருவாகிறது

2026 ஆம் ஆண்டு மே மாத நடுப்பகுதியில் TeamPCP பொதுவெளியில் வெளியிட்ட மினி ஷாய்-ஹுலுட் புழுவின் ஒரு மாறுபாடாக மியாஸ்மாவை ஆராய்ச்சியாளர்கள் மதிப்பிடுகின்றனர். அன்று முதல், இந்த தீம்பொருள் தொடர்ந்து பரிணாம வளர்ச்சி அடைந்து, தனது பரவல் நுட்பங்களைச் செம்மைப்படுத்தியதோடு, கூடுதல் தொகுப்புகள் மற்றும் களஞ்சியங்களையும் பாதித்து வருகிறது.

திருடப்பட்ட இரகசியங்களை அம்பலப்படுத்தும் பொதுக் களஞ்சியங்களை உருவாக்கும்போது, இந்தப் பிரச்சாரமானது 'மியாஸ்மா: பரவும் சாபம்,' 'மியாஸ்மா : பரவும் சாபம்,' 'மியாஸ்மா - பரவும் சாபம்,' மற்றும் 'ஹேடிஸ் - சபிக்கப்பட்டவர்களின் முடிவு' உள்ளிட்ட பல களஞ்சிய விளக்கங்களைப் பயன்படுத்தியுள்ளது. தற்போதைய அவதானிப்புகள், 'ஹேடிஸ்' என்ற விளக்கத்தைக் கொண்ட 13 களஞ்சியங்களையும், மியாஸ்மா தொடர்பான பெயரிடல் மாறுபாடுகளில் ஒன்றைப் பயன்படுத்தும் 82 களஞ்சியங்களையும் சுட்டிக்காட்டுகின்றன.

நேரடி களஞ்சியத் தொற்றுகள் ஒரு புதிய தாக்குதல் உத்தியைக் குறிக்கின்றன.

தந்திரோபாயங்களில் ஒரு குறிப்பிடத்தக்க மாற்றமாக, மியாஸ்மா npm ரெஜிஸ்ட்ரியை முழுவதுமாகத் தவிர்ப்பது அவதானிக்கப்பட்டுள்ளது. பாரம்பரிய விநியோக வழிகள் மூலம் தொகுப்புகளை விஷமாக்குவதற்குப் பதிலாக, அச்சுறுத்தல் செய்பவர்கள் 'icflorescu/mantine-datatable' என்ற GitHub களஞ்சியத்தையும், அதனுடன் தொடர்புடைய நான்கு திட்டங்களான mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6, மற்றும் mantine-contextmenu-v6 ஆகியவற்றையும் நேரடியாக மாற்றியமைத்துள்ளனர்.

தீங்கிழைக்கும் கமிட் எந்தவொரு கூடுதல் சார்புகளையும் அறிமுகப்படுத்தாததால், அதைக் கண்டறிவது மிகவும் கடினமாக இருந்தது. அதற்குப் பதிலாக, தாக்குதல் நடத்தியவர்கள் பரவலாகப் பயன்படுத்தப்படும் ஐந்து டெவலப்பர் கருவிகளான கிளாட் கோட், ஜெமினி சிஎல்ஐ, கர்சர், விஷுவல் ஸ்டுடியோ கோட் மற்றும் என்.பி.எம் டெஸ்ட் ஸ்கிரிப்ட் ஆகியவற்றின் மூலம் தானாகவே இயங்குமாறு கட்டமைக்கப்பட்ட 4.3 MB பேலோட் ரன்னரை உட்பொதித்திருந்தனர். டெவலப்பர்கள் பாதிக்கப்பட்ட ஒரு ரெபாசிட்டரியை குளோன் செய்து, அதை ஒரு AI-உதவியுடன் கூடிய கோடிங் சூழலில் திறக்கும்போது இந்தத் தொற்று செயல்படுகிறது. ஆய்வாளர்கள் இந்த பேலோடை, முன்பு ரெஜிஸ்ட்ரி-மையப்படுத்தப்பட்ட தாக்குதல்களில் பயன்படுத்தப்பட்ட அதே ஸ்டேஜ்டு பன் லோடர் என்றும், ஆனால் அது சோர்ஸ் ரெபாசிட்டரிகளுக்குள் நீண்ட கால நிலைத்தன்மைக்காக மாற்றியமைக்கப்பட்டுள்ளது என்றும் அடையாளம் கண்டனர்.

பலவீனங்களுக்குப் பதிலாக நம்பிக்கையைப் பயன்படுத்திக் கொள்ளுதல்

மியாஸ்மா தாக்குதலானது, நவீன திறந்த மூல மென்பொருள் விநியோகத்திற்கு அடிப்படையாக உள்ள நம்பிக்கை மாதிரியில் உள்ள அடிப்பட பலவீனங்களை எடுத்துக்காட்டுகிறது. மென்பொருள் குறைபாடுகளைச் சுரண்டுவதை நம்பியிருக்கும் பல விநியோகச் சங்கிலித் தாக்குதல்களைப் போலல்லாமல், இந்தச் செயல்பாடு முறையான உருவாக்கம் மற்றும் வெளியீட்டு வழிமுறைகளைத் தவறாகப் பயன்படுத்துவதன் மூலம் வெற்றி பெறுகிறது.

கீழ்நிலை பயனர்கள் வழியாகத் தொடர்ச்சியாகப் பரவி, புதிய இலக்குகளை மீண்டும் மீண்டும் பாதிக்கும் அதன் திறன், இன்றுவரை அவதானிக்கப்பட்ட மிக முக்கியமான மற்றும் நீடித்த மென்பொருள் விநியோகச் சங்கிலி அச்சுறுத்தல்களில் ஒன்றாக இதை ஆக்கியுள்ளது. இந்தத் தாக்குதலின் செயல்திறன், சூழலமைப்பு முழுவதும் அதிவேகமாகப் பரவி, பாதிக்கப்பட்ட பயனர்களைப் பாதிப்புக்கான புதிய ஊடகங்களாக மாற்றும் அதன் திறனிலிருந்து உருவாகிறது.

ஷாய்-ஹுலுட் வழிமுறையின் அடிப்படையானது, npm அல்லது GitHub போன்ற தளங்களில் உள்ள பாதுகாப்பு குறைபாடுகளைக் குறிவைப்பதில்லை. மாறாக, அங்கீகரிக்கப்பட்ட பராமரிப்பாளர்களால் வெளியிடப்பட்டு, சரியான சான்றுகளுடன் கையொப்பமிடப்பட்ட மென்பொருளை நம்பலாம் என்ற அடிப்படைக் கருத்தையே அது தகர்க்கிறது. பராமரிப்பாளர் கணக்குகள் மற்றும் அவற்றுடன் தொடர்புடைய கையொப்பமிடும் சாவிகள் ஆகிய இரண்டையும் ஊடுருவுவதன் மூலம், தாக்குபவர்களால் முற்றிலும் சட்டப்பூர்வமானவை போலத் தோற்றமளிக்கும் தீங்கிழைக்கும் வெளியீட்டுச் செயல்பாடுகளைச் செய்ய முடிகிறது.

தொகுப்புப் பதிவகங்கள் மற்றும் களஞ்சியத் தளங்களின் கண்ணோட்டத்தில், இந்தத் தீங்கிழைக்கும் வெளியீடுகள் வழக்கமான மென்பொருள் புதுப்பிப்புகளிலிருந்து கிட்டத்தட்ட வேறுபடுத்தி அறிய முடியாதவையாக உள்ளன. நம்பகமான பணிப்பாய்வுகளுக்குள் முழுமையாக இயங்கும் இந்தத் திறன்தான், பல வழக்கமான பாதுகாப்புக் கட்டுப்பாடுகள் இந்தத் தாக்குதல் முறையைக் கண்டறிந்து தடுப்பதில் ஏன் சிரமப்படுகின்றன என்பதை விளக்குகிறது.