مائنی شائی-ہولود کی سپلائی چین حملہ جس سے گٹھبب اور گرافانا کے سیکورٹی واقعات منسلک ہیں

ChainCatcher کی رپورٹ کے مطابق،慢雾 نے جاری کردہ خطرہ کی معلومات کے مطابق، حالیہ وقت میں AntV اور Echarts-for-react سمیت کئی اعلیٰ استعمال والے npm پیکجز اور Python SDK durabletask پر Mini Shai-Hulud "منی شائی-ہولڈ" سپلائی چین حملہ کیا گیا ہے۔ npm اکاؤنٹ atool کو ہیک کر لیا گیا، جس کے نتیجے میں حملہ آور نے 22 منٹ میں 637 بری بھیجے گئے ورژن آٹومیٹک طور پر جاری کردیے، جن میں 317 پیکجز شامل ہیں۔ حملہ آور نے 35 منٹ میں durabletask کے ورژن 1.4.1، 1.4.2 اور 1.4.3 کو لگاتار اپ لوڈ کیا، جس سے عام جاری کرنے کے کنٹرولز کو دور کر دیا گیا اور مائیکروسافٹ کے افسرانی اشتہار دینے کا دعویٰ کیا گیا۔ GitHub token کے بڑے پیمانے پر لیک ہونے اور Grafana Labs پر رانسوم ویئر حملے کا تعلق اس سپلائی چین حملے سے ہوسکتا ہے۔ متاثرہ کمپوننٹس میں npm اکوسسٹم میں AntV، Echarts-for-react جیسے اعلیٰ استعمال والے کمپوننٹس اور Python پیکج durabletask کے ورژن 1.4.1، 1.4.2 اور 1.4.3 شامل ہیں۔ حملہ آور کلاؤڈ اور لوکل اعتماد کے اثبات، غیر اختیاری رسائی، اندر کے رپازٹریز اور حساس کلاؤڈ انفراسٹرکچر، ڈویلپرز کے مشینز اور CI/CD پائپ لائنز تک پھیلنا، لیک ہونے والے GitHub tokens کو فروخت کرنا اور استعمال کرنا، رانسوم ویئر اور ڈیٹا لیک کے خطرات لگانا سکتا ہے۔慢雾 نے تمام exposed اثباتات کو فوراً تبدیل کرنے، متاثرہ پیکجز کو تبدیل کرنے، ممکنہ طور پر انفیکٹڈ سسٹمز کو الگ کرنے اور سخت انحصار جانچ پڑتال کی پالیسی لاگو کرنے کی تجویز دی ہے۔ پہلے کی رپورٹس کے مطابق، "منی شائی-ہولڈ" ورم حالیہ وقت میں اوپن سورس کوڈ بینکس میں بڑے پیمانے پر انفیکشن مکمل کر چکا ہے، جس سے ڈویلپرز کو تلاش کرنے اور چیک کرنے کی ضرورت ہے۔