शै-हुलुद मैलवेयर NPM/PyPI पैकेजेस को संक्रमित करता है, क्रिप्टो वॉलेट्स को खतरे में डालता है

शै-हुलुद: वह सप्लाई-चेन मैलवेयर जो डेवलपर पाइपलाइन्स—और क्रिप्टो वॉलेट्स में—अपना रास्ता बना रहा है एक चुपचाप फैलने वाली मैलवेयर अभियान, जिसे "शै-हुलुद" कहा जाता है, डेवलपर्स द्वारा सॉफ्टवेयर बनाने और शिप करने के लिए निर्भर किए जाने वाले स्वचालित टूलचेन्स का दुरुपयोग कर रही है, और इसकी पहुंच चिंताजनक है। शोधकर्ताओं ने NPM (Node Package Manager) और PyPI रिपॉजिटरीज़ में लगभग 320 दुष्ट पैकेज प्रविष्टियों को इस अभियान से जोड़ा है—जो मिलकर 518 करोड़ से अधिक मासिक डाउनलोड्स का हिस्सा हैं। क्रिप्टो प्रोजेक्ट्स और इन परितंत्रों पर निर्भर करने वाली किसी भी टीम के लिए, परिणाम स्पष्ट हैं: डेवलपर टूलिंग पर हमलावर की पहुंच जल्द ही क्लाउड क्रेडेंशियल्स और क्रिप्टो वॉलेट्स की चोरी में बदल सकती है। संक्रमण कैसे फैलता है शै-हुलुद सीधे अंतिम उपयोगकर्ताओं पर हमला नहीं करता। इसके बजाय, यह विश्वसनीय पैकेजों और बिल्ड पाइपलाइन्स को संक्रमित करता है, ताकि मैलवेयर सामान्य विकास और प्रकाशन प्रक्रियाओं के दौरान स्वचालित रूप से डाउनस्ट्रीम प्रोजेक्ट्स में शामिल हो जाए। क्योंकि दुष्ट कोड अक्सर मान्य पैकेज रजिस्ट्रीज़ से आता है, मान्य साइनेचर होते हैं, और सामान्य जांचों से गुजरता है, इसलिए यह मिल जाता है—जिससे क्षति होने तक पता लगाना मुश्किल होता है। इसका क्यों महत्व है "आधुनिक सॉफ्टवेयर को दूसरों के कोड को चलाकर बनाया जाता है," कॉन्ट्रास्ट सिक्योरिटी के CTO, जेफ़ विलियम्स, ने Decrypt को बताया। "डेवलपर्स केवल 'डाउनलोड' करते ही नहीं हैं। वे उन्हें स्थापित करते हैं, उनके साथ बनाते हैं, परीक्षण करते हैं, प्रकाशित करते हैं, और अंततः उन्हें निष्पादित करते हैं। और अगर आप कोई दुष्ट पुस्तकालय (library) चलाते हैं, तो यह आपके सभी कार्यों को कर सकता है।" उन्होंने सचेत किया कि AI की प्रगति समस्या को खराब करती है, और प्रभाव की तुलना "एक कंप्यूटर को डबल-एजेंट" बना देने से की है। वास्तविक मामले और परिणाम - मई की شुरुआत में, Microsoft Threat Intelligence ne प्रकट किया कि हमलावरों ne PyPI पर Mistral AI पैकेज में मैलवेयर कोड सम्मिलित किया है। मैलवेयर ne Hugging Face की Transformers पुस्तकालय (library) के समान प्रतीत होने वाला एक फ़ाइल bhi fetch ki, taki ML परिवेश में मिल सके। Mistral ne baad mein kaha ki ek prabhavit developer device shamil tha, lekin iske apne infrahstruktur par koi prabhav nahi pada. - Do din baad, OpenAI ne confirm kiya ki do karmachari devices Shai-Hulud-sambandhit malware se sainfected hue, jisne hamlavaron ko kuch limited internal code repositories tak pahunch diya. Kumbhakon ne ye bhi kaha ki koi praman nahi mila ki grahak data, production systems ya intellectual property compromised hue hain. - May 11 ko TanStack par hua hamla, jo bahut saare web aur cloud apps ko chalane wala ek widely used open-source JavaScript framework hai, ne is abhiyan ko aur bhi prasiddh kiya. पैमाना aur actor शोधकर्ता ne Shai-Hulud ke pahle ke variants ko September 2025 tak trace kiya aur unhe TeamPCP naam se jaane jaane wale cybercriminals se jod diya. Aapne criminal group ne baad mein dawa kiya ki unhone lagbhag 4000 private GitHub repositories chura liye hain aur data bechne ke liye prasiddh kiya hai—GitHub ka kahna hai ki ye unke internal repos tak anadhikarit pahunch ke janch kar raha hai. Jabki security firm OX Security ne report kiya hai ki copycat packages pehle se hi circulation mein hain jo cloud aur crypto wallet credentials, SSH keys aur environment variables chura rahe hain, aur kuch variants DDoS botnets mein infected machines ko recruit karne ki koshish bhi kar rahe hain. तकनीकी notes aur attribution clues OX Security ne note kiya ki kuch naye samples Shai-Hulud ke leaked source code ke almost identical hain bina obfuscation ke, jisse lagta hai ki alag-alag actors code ko repackaging kar rahe hain, naye variants develop nahi kar rahe. Aise reuse se phailav tez hota hai: ek chhote ya anjaan package ka compromise attacker ko har downstream project tak pahunchne ka rasta deta hai jo ispar vishwas rakhta hai, jisse token chori, malicious publishing aur repeated poisoning ke chakkar chal sakte hain. Crypto projects ko dhyan kyun dena chahiye Blockchain aur crypto teams ke liye, हमले का सतह (attack surface) developer machines, CI/CD, package registries aur automated publishing systems shamil hain—jinko attackers increasingly target kar rahe hain kyunki yeh high leverage provide karte hain. Jab wallet credentials, environment variables ya cloud API keys compromised dependency ya build cache ke zariye expose ho jaate hain, to attackers developer environments se production systems aur financial assets tak move kar sakte hain. व्यवहारिक सुरक्षा विशेषज्ञ महत्वपूर्ण मानते hain ki software supply chain ab ek simple chain nahi balki ek propagation network hai, aur defenses iske anusaar honi chahiye. Sujhaye gaye upay: - Tighter dependency controls aur strict version pinning. - Stronger publishing safeguards aur signed, verified releases. - Least-privilege credentials for CI/CD aur regularly rotating tokens. - Isolated build environments aur immutable build caches. - Automated scanning for dependency tampering aur threat intelligence feeds taki malicious packages jaldi pakde ja sake. "शै-हुलुद हमें सचेत करता है कि हमले की सतह पारंपरिक application layers se bahut aage bhi phaili hui hai—aur modern development aur deployment workflows ko chalane wale open-source packages tak," SecurityBridge ke Director of Security Research, Joris Van De Vis, ne Decrypt ko kaha. Crypto builders ke liye, iska matlab hai ki smart contracts aur wallets ko secure karne jitna hi important hai developer pipeline ko secure karna—kyunki ek poisoned build compromised funds tak pahunchne ka sabse tez rasta ho sakta hai। अंतिम संदेश: हमलावर प्रभावशाली infrahstruktur ko हथियार के طور पर use kar rahe hain। Public packages, automated CI/CD aur shared build caches par nirbhar projects ko stricter controls aur rapid detection adopt karna chahiye taki code—aur crypto—surakshit rahe।