- مایکروسافٹ نے ہگنگ فیس API کا غلط استعمال کرنے والے دو مضر npm پیکیجز کو نشان زد کیا۔
- پیکیجز نے کی بورڈ کی کلکس، اسکرین شاٹس، اور والٹ ڈیٹا چوری کرنے کے لیے ایک RAT منتقل کیا۔
- ایک واقعہ کرپٹو صارفین کو ہدف بنانے والے جاری npm سپلائی چین کے خطرات کو ظاہر کرتا ہے۔
3 جون، 2026 کو، مائیکروسافٹ تھریٹ انٹیلی جنس نے رپورٹ کیا کہ دو متعلقہ npm پیکیجز Hugging Face ریپوزٹریز (ریپوز) کا استعمال کرتے ہوئے کی اسٹروکس، اسکرین شاٹس، اور کرپٹو والٹ کے اعتمادی تفصیلات چوری کرنے کے لیے ایک ریموٹ ایکسیس ٹروجن (RAT) ڈپلوی کر رہے تھے۔
مائیکروسافٹ نے دو مضر npm پیکیجز کو نشان زد کیا
مایکروسافٹ تھریٹ انٹیلی جنس نے تشخیص کیا دو مضر npm پیکیجز، [email protected] اور [email protected]، جو متاثر ہو چکے ہیں یا برائی کے ارادے سے شائع کیے گئے ہیں۔ یہ پیکیجز ایک RAT ڈپلوی کرتے ہیں جو کی اسٹروکس کو کیپچر کر سکتا ہے، اسکرین شاٹس لے سکتا ہے، اور کرپٹو کرنسی والٹ کے اعتمادی تفصیلات چوری کر سکتا ہے۔
پیکجز Hugging Face ریپوزٹریز کو ڈیٹا نکالنے کے لیے استعمال کرتے ہیں، بری بھیج کر مالیشس ٹریفک کو قانونی ماشین لرننگ ورک لوڈز کے ساتھ ملا کر تشخیص سے بچتے ہیں۔ یہ پیکجز npm صارف hexalpha10 (مصنف: toskypi) نے شائع کیے۔
RAT کیسے والٹ کے اعتمادی تفصیلات چوری کرتا ہے
جب ڈویلپرز یا بِلڈ پائپ لائنز متاثرہ npm پیکیجز install کرتے ہیں، تو یہ پیکیجز ایک مکمل فیچر والے RAT کو خاموشی سے ڈپلوی کرتے ہیں۔ یہ RAT پس منظر میں چلنا ڈیزائن کیا گیا ہے اور حساس معلومات کو فعال طور پر چوری کرتا ہے۔ اس کا مقصد انفیکٹڈ سسٹمز پر صارف کی سرگرمیوں کو مانیٹر کرنا، ان پٹ کو کیپچر کرنا ہے جس میں اکثر والٹ پاس ورڈز، خفیہ عبارتیں یا پرائیویٹ کلیدیں شamil ہوتی ہیں، اور مقبول کرپٹو والٹ ایپلیکیشنز اور براؤزر ایکسٹینشنز سے محفوظ شدہ رسائی کے تفصیلات استخراج کرنا۔
طویل مدتی رسائی کو برقرار رکھنے کے لیے، میلوری نے انسٹال کے فوراً بعد پلیٹ فارم کے مطابق طریقے استعمال کیے:
- وینڈوز پر: یہ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 پر ایک Run کی بناتا ہے اور MicrosoftSystem64 نام کا ایک شیڈولڈ ٹاسک تیار کرتا ہے۔
- لینکس پر: یہ MicrosoftSystem64.service نامی ایک systemd سروس انسٹال کرتا ہے۔
پیلوزڈ ایک مخصوص ڈائریکٹری میں ڈال دیا جاتا ہے (MicrosoftSystem64/payload.js)، جس سے RAT اصل npm پیکیج کے بغیر خودمختار طور پر کام کر سکتا ہے۔ RAT دو کمانڈ اینڈ کنٹرول (C2) سرورز، 195.201.194.107:8010 (WebSocket) اور c2-toskypi.onrender.com (HTTP) کا استعمال کرتا ہے، اور اپنے ڈیٹا کی نکالی جانے کے انجن کے طور پر مجاز Hugging Face ریپوزٹریز کا غلط استعمال کرتے ہوئے چوری شدہ ڈیٹا کو چھپا کر نکالتا ہے (huggingface.co/api)۔
تبدیل ہوتی ہوئے AI سپورٹڈ سپلائی چین کے خطرات
مضر npm پیکیجز کی دریافت نے دوبارہ واضح طور پر یاد دلایا ہے کہ سافٹ ویئر سپلائی چین حملے کتنے جلدی ترقی کر رہے ہیں، خاص طور پر وہ حملے جو Hugging Face جیسے بھروسہ مند AI انفراسٹرکچر کو چپکے سے آپریشنز کے لیے ہتھیار بناتے ہیں۔
فوری اثر واضح ہے کہ npm ڈیپینڈنسیز پر انحصار کرنے والے ڈویلپرز اور ادارے اب کریڈنشل چوری اور لمبے عرصے تک مُ compromising کے بڑھے ہوئے خطرے کا سامنا کر رہے ہیں، خاص طور پر ان ماحولوں میں جہاں کرپٹو کرنسی یا حساس ڈویلپر ٹوکنز کا انتظام کیا جاتا ہے۔ جو معیاری سیکورٹی ٹولز Hugging Face ٹریفک کو “بینign ML سرگرمی” کے طور پر وائٹ لسٹ کرتے ہیں، وہ مزید سیاق و سباق کے بغیر اب قابلِ اعتماد نہیں رہے۔
آگے بڑھتے ہوئے، Microsoft تھریٹ انٹیلی جنس ڈیفینڈرز کو مشورہ دیتی ہے کہ وہ huggingface.co/api پر غیر ML ورک لوڈز سے آنے والی کسی بھی غیر متوقع ٹریفک کو مختل ہونے کا اشارہ سمجھیں۔ یہ مہم AI سے سجھائے گئے میلویئر کی بڑھتی ہوئی پیچیدگی کو ظاہر کرتی ہے اور روایتی تشخیص کی بجائے رویے پر مبنی تشخیص، لگاتار آؤٹ باؤنڈ API مانیٹرنگ، مضبوط npm سپلائی چین کنٹرولز، اور اوپن سورس انحصاروں کی زیرو ٹرس تصدیق کی طرف رجحان کو فروغ دیتی ہے۔
متعلقہ:TrapDoor میلویئر کی مہم Aptos، Solana، اور Sui ڈویلپر ایکو سسٹمز کو ہدف بناتی ہے
احاطہ: اس مضمون میں پیش کی گئی معلومات صرف معلوماتی اور تعلیمی مقاصد کے لیے ہیں۔ اس مضمون میں مالی مشورہ یا کسی بھی قسم کا مشورہ نہیں ہے۔ کوائن ایڈیشن کسی بھی نقصان کے لیے ذمہ دار نہیں جو مذکورہ مواد، مصنوعات یا خدمات کے استعمال کے نتیجے میں ہو۔ پڑھنے والوں کو کمپنی سے متعلق کوئی بھی کارروائی کرنے سے پہلے احتیاط کرنے کی تجویز کی جاتی ہے۔