گھر
خبریں
تفصیلات

مینی شائی-ہولود ورم نے TanStack، OpenSearch اور Mistral کلائنٹس کو متاثر کر دیا

icon MarsBit
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconخلاصہ

expand icon
ایک سیکورٹی بریچ، جس میں مینی شائی-ہولود ورم شامل ہے، نے TanStack، OpenSearch، اور Mistral کے صارفین کو متاثر کیا ہے۔ حملہ آوروں نے گٹھبیک ایکشنز کی کمزوریوں کا استعمال کرتے ہوئے 12 مئی، 3:20 بجے صبح سے 3:26 بجے صبح تک (UTC+8) کے درمیان 84 برائے مالی پیکیجز کو شائع کیا۔ یہ ورم درست SLSA دستخط استعمال کرتا ہے اور VS Code اور Claude Code جیسے ٹولز میں پائے جاتا ہے۔ ڈویلپرز کو اپنے کریڈنٹیلز بدلنے اور پروجیکٹ ڈائرکٹریز کو اسکین کرنے کی ترغیب دی جا رہی ہے۔ یہ کرپٹو خبر اوپن سورس ایکو سسٹم میں جاری خطرات پر روشنی ڈالتی ہے۔

ڈیٹا کی بحالی کے مطابق، "Mini Shai-Hulud" (شیو کے شی-ہولود کیڑے) نامی ایک چوری کرنے والی کیڑی سامنے کے اور AI بیک اینڈ ایکوسسٹم میں پھیل رہی ہے۔ حملہ آور ٹیمPCP نے 12 مئی کو صبح 3:20 سے 3:26 (UTC+8) تک TanStack کے آفیشل ریلیز پائپ لائن کو ہک کرکے npm پر 42 آفیشل پیکجز کے 84 بری بھیج دیے، جن میں لاکھوں ہفتہ وار ڈاؤن لوڈز والے `@tanstack/react-router` بھی شامل ہیں۔ اس کے بعد کیڑی PyPI تک پھیل گئی، جس کے نئے متاثرہ فہرست میں امازون کا `@opensearch-project/opensearch` (npm، ہفتہ وار 1.3 ملین ڈاؤن لوڈ)، Mistral کا آفیشل کلائنٹ `mistralai` اور AI گارڈ ریلز ٹول `guardrails-ai` (دونوں PyPI) شامل ہیں۔ بری پیکجز بالکل اصل ریلیز جیسے نظر آتے ہیں۔ حملہ آوروں نے کوئی طویل مدتی اعتماد کا ادارہ حاصل نہیں کیا، بلکہ GitHub Actions کنفگریشن کے خلل کا فائدہ اٹھا کر آفیشل پائپ لائن کو ہک کرکے قانونی عارضی ریلیز اجازت حاصل کر لی۔ اس طرح بری پیکجز کو حقیقی SLSA بِلڈ سورس سائنچر (provenance) ملا، جو "پیکج حقیقی طور پر آفیشل پائپ لائن سے بنایا گیا ہے" کا ثبوت دینے والا انتظامات ہے۔ ڈوولپرز کا پرانا اعتماد "سائنچر = محفوظ" کا منطق بالکل ختم ہو گیا۔ اور مزید خطرناک بات یہ ہے کہ بری پیکجز کو ہٹانا کافی نہیں۔ Socket.dev کے روسٹر تجزیہ سے پتہ چلا کہ کیڑی نصب ہونے کے بعد اپنے آپ کو Claude Code کے اجرا ہُک (`.claude/settings.json`) اور VS Code کے ٹاسک کنفگریشن (`.vscode/tasks.json`) میں لکھ دیتی ہے۔ جب تک بری پیکجز حذف نہ ہو جائیں، جب بھی ڈوولپر منصوبہ فولڈر کھولے گا یا AI مددگار کو فعال کرے گا، بری کوڈ خود بخود دوبارہ فعال ہو جائے گا۔ Python طرف سے فعال ہونے کا دروازہ زائد آسان ہے: ڈوولپرز کو صرف اس بات کا خيال رکھنا ہوگا کہ وہ متاثرہ پیکج `import` کر دے، تو شپتِ شدہ کوڈ خاموش طور پر فعال ہو جائے گا۔ TeamPCP نے اپنے جعلساز ڈومین `git-tanstack[.]com` پر مزاح بھرا پيغام لگا دیا: "ہم دو سے زائد گھنٹوں تک اعتماد کا حصول کر رہے ہیں، لیکن میرا صرف سلام دینا تھا :^)"۔ کیڑی اب بھی خود بخود پھیل رہی ہے۔ اوپر والے ونڈو مدت میں متاثرہ پیکجز نصب کرنے والے مشینز کو متاثرہ سمجھنا چاہئے: فوراً AWS، GitHub، npm، SSH سميت تمام اعتماد کا ادارہ تبدیل کر دیں، `.claude/` اور `.vscode/` فولڈرز کو مکمل طور پر جانچ لیں، اور صاف lockfile سے دوبارہ نصب کر دیں۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔