شائی-ہولود میلویئر NPM/PyPI پیکیجز کو متاثر کرتا ہے، کرپٹو والٹس کو خطرہ

شائی-ہلود: وہ سپلائی چین میل ویئر جو ڈویلپر پائپ لائنز اور کرپٹو والٹس میں اپنا راستہ بنارہا ہے ایک چپکے سے چلنے والی میل ویئر مہم جسے "شائی-ہلود" کہا جاتا ہے، ڈویلپرز کے ذریعہ نرم افزار تعمیر اور شائع کرنے کے لیے انحصار کی جانے والی خودکار ٹول چینز کا استعمال کر رہی ہے، اور اس کا دائرہ کار حیرت انگیز ہے۔ تحقیق کاروں نے نوڈ پیکیج مینیجر (NPM) اور PyPI ریپوزٹریز میں تقریباً 320 براہ راست مضر پیکیجز کو اس مہم سے جوڑ دیا ہے—جس کے مجموعی ماہانہ ڈاؤن لوڈز 518 کروڑ سے زائد ہیں۔ کرپٹو منصوبوں اور ان ایکو سسٹمز پر انحصار کرنے والی تمام ٹیموں کے لیے اس کے نتائج واضح ہیں: ڈویلپر ٹولنگ تک حملہ دار کا تعاون جلد ہی کلاؤڈ کرڈنٹلز اور کرپٹو والٹس کی چوری میں تبدیل ہو سکتا ہے۔ عدوانیت کس طرح پھیلتی ہے شائی-ہلود مستعمل صارفین پر براہ راست حملہ نہیں کرتا۔ بجائے اس کے، یہ بھروسے مند پیکیجز اور بِلڈ پائپ لائنز کو متاثر کرتا ہے تاکہ مضر کوڈ عام ترقی اور ریلیز عمل کے دوران خودکار طور پر نچلے منصوبوں میں شامل ہو جائے۔ کیونکہ مضر کوڈ اکثر قانونی پیکیج رجسٹریز سے آتا ہے، اس میں درست دستخط ہوتے ہیں اور روزمرہ کے چیکس سے گزر جاتا ہے، اس لیے یہ ملا جلا سکتا ہے—جس سے نقصان پہنچنے تک تشخیص مشکل ہو جاتا ہے۔ اس کا کیا مطلب ہے "جدید نرم افزار دوسرے لوگوں کے کوڈ کو چلانے سے بنایا جاتا ہے،" کنٹراسٹ سکیورٹی کے سیٹی او جف وِلیمز نے Decrypt کو بتایا۔ "ڈویلپرز صرف 'لائبریریز' ڈاؤن لوڈ نہیں کرتے۔ وہ انھیں انسٹال کرتے ہیں، ان کے ساتھ بِلڈ کرتے ہیں، ان کے ساتھ ٹیسٹ کرتے ہیں، ان کے ساتھ ڈپلوائ کرتے ہیں، اور آخرکار انھیں اجراء دیتے ہیں۔ اور اگر آپ ایک مضر لائبریری چلاتے ہیں، تو وہ آپ جتنے بھی کر سکتے ہیں، وہ سب کچھ کر سکتی ہے۔" انھوں نے خبردار کیا کہ AI کی ترقیات اس مسئلے کو بدتر بنارہی ہیں، جس کا اثر "ایک کمپیوٹر کو ایک دوہرا جاسوس" بنانا ہے۔ واقعات اور نتائج - اوائل مئی میں، Microsoft Threat Intelligence نے انحصار دار حملہ آوروں نے PyPI پر Mistral AI پیکیج میں مضر کوڈ شامل کردینا ظاہر کیا۔ مضر وائرس نے Hugging Face کی Transformers لائبریری جھلسنے والی فائل بھی حاصل کر لی تاکہ ML ماحول میں ملا جلا سکے۔ Mistral نے بعد میں بتایا کہ متاثرہ ڈویلپر ڈِوائس شامل تھا لेकن اس کا خود کا انفراسٹرکچر متاثر نہीں دکھایا۔ - دو دن بعد OpenAI نے تصدیق کردی کہ دو ملازمین کے ڈِوائس شائی-ہلود سے منسلک مضر وائرس سے متاثر ہوئے، جس نے حملہ آوروں کو تعداد محدود اندرنے کوڈ رپوزٹریز تک رسائ حاصل کرنے دی۔ کمپنی نے رپورٹ دی کہ صارفین کا ڈे�ٹا، پروڈکشن سسٹمز، یا ذخیرۂ علمانہ مالکانہ حقوق متاثر نہीں ہوئے۔ - اس مہم نے May 11 ko TanStack پر حملے کے بعد وسعت حاصل کر لی، جو بڑھتے جارہے اوپن سورس JavaScript فریم ورک ہے جو بڑھتے جارہے ويب اور کلاؤڈ اینڈز پر مشتمل ہوتا ہے۔ دائرۂ عمل اور فعال طاقت تحقیق کاروں نے شائی-ہلود کے پرانے ورژنز کو ستمبر 2025 تک واپس جانچ لینا اور انھيں TeamPCP نام سے جاننے والے سائبر مجرموں سے منسلک قرار دینا۔ مجرموں نے بعد مें دعوٰى کيتا كه انھوں نे تقرีباً 4,000 پرایوٗٹ GitHub رپوزٹرีز چُرا لئيں اور ان ڈे�ٹا كي فروخت كرنे كي دعوت ديتى۔ GitHub نے بتایا كه وہ اندرني رپوزٹريز تك غیرمجاز رسائى كي تحقيق كر رهي هئ۔ في الحال، سکيورٹي فرم OX Security نे بتایا كه كئي نقل كرد شدہ پيكيجز پهچاننे لگي هئ جو كلاؤڈ اور كرپتو والٗٹ كرديينٗتال، SSH كييز، اور ماحول كي متغیرات چُرا رهي هئين، اور بعض ورژنز نे متاثر شدہ مشينز كو DDoS بوٗٹ نيٗٹس ميں شامل كرنे كي كوشش بھي كي هئ۔ فنکنال نوٹس اور شناختِ علامات OX Security نے نوٹ کیا کہ بعض نئے نمونوں میں شائِـي-هُلوُد سورس دونغِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشِدگِشідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішідгішีđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđгiшиđ г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i ш и д г i š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g і š і d g íšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídgíšídg íŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGÍŠÍDGІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГІШІДГ І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г І Ш І Д Г "Shai-Hulud" اس بات کا احاطہ رکھتا ہے جس سے حملۂ آور دائرۂ عمل صرف روایتी اطلاقات تک محدود نہीں بلکہ جدید ترقّى اور تحوّل عملونات کو قوت بخشنے والے اوپن سورس پيكيجز تک پھيل رها هئ،" SecurityBridge كي سكويٗرتى ريسيرچ كي مدير جوريس فان دي فيس نे Decrypt ko بتايا۔ كرپتو بنانى والون كي لئي، يعنى يه كه ڈيولپر پائيپ لائن كي حفاظت اسمارٹ كنٗتريكتس اور والٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗٗ‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‏‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎ خلاصۂ بات: حمله آور قانونى انفراسٹرکچر كو حمله آور طاقت بناره هئ۔ جن منصوبون كي اوپن پيكيجز، خودكار CI/CD، اور شيريد بُلْڈ كيشز پر انحصار هئ، ان كي لئي سخت ضوابط اور فوري تشخيس ضروري هئ تاكيه كود (اور كرپتو) محفوظ رهي۔