ایک نیا سپلائی چین اٹیک جسے شائی ہولُد کہا جا رہا ہے، نے 180 سے زیادہ NPM پیکجز کو متاثر کیا ہے۔ یہ اٹیک ایک خود پھیلنے والا وائرس (worm) استعمال کرتا ہے جو سیکرٹس چرا کر پبلک ریپوزٹریز پر اپ لوڈ کرتا ہے اور پرائیویٹ ریپوزٹریز کو پبلک کر دیتا ہے۔
اٹیک کیسے شروع ہوا؟
یہ حملہ 14 ستمبر 2025 کو شروع ہوا جب NPM پر چند خفیہ طور پر متاثرہ پیکجز شائع کیے گئے۔ دن کے آخر تک تقریباً 50 متاثرہ ورژنز شائع ہو چکے تھے۔ 15 ستمبر کو ایک سینیئر سافٹ ویئر انجینئر ڈینیئل ڈوس سانتوس پیریرا نے اس پر توجہ دلائی۔ 16 ستمبر تک یہ حملہ 180 سے زائد پیکجز کو متاثر کر چکا تھا۔
حملہ آوروں نے 40 سے زیادہ ڈویلپر اکاؤنٹس ہیک کیے اور 700 سے زیادہ متاثرہ پیکجز شائع کیے۔
متاثرہ پیکجز
کچھ مشہور پیکجز بھی اس حملے کی زد میں آئے، مثلاً:
•@ctrl/tinycolor – 20 لاکھ سے زائد ڈاؤن لوڈ ہر ہفتے
•ngx-bootstrap – تقریباً 3 لاکھ ڈاؤن لوڈ ہر ہفتے
•ng2-file-upload – تقریباً 1 لاکھ ڈاؤن لوڈ ہر ہفتے
•کچھ CrowdStrike پیکجز (جو فوری ہٹا دیے گئے)
میلویئر کس طرح کام کرتا ہے؟
ان پیکجز میں ایک post-install script شامل کیا گیا جو یہ کام کرتا ہے:
1.TruffleHog ٹول ڈاؤن لوڈ کرتا ہے تاکہ سیکرٹس تلاش کیے جا سکیں۔
2.ماحول کے variables اور cloud keys چرا لیتا ہے۔
3.چراۓ گئے credentials کو validate کرتا ہے۔
4.اگر GitHub tokens مل جائیں تو ایک پبلک ریپوزٹری بنا کر ان میں سیکرٹس ڈال دیتا ہے۔
5.GitHub Actions workflow شامل کرتا ہے جو مزید سیکرٹس چرا کر ایک webhook پر بھیجتا ہے۔
6.پرائیویٹ ریپوزٹریز کو پبلک بنا کر ان پر “Shai-Hulud Migration” کا لیبل لگا دیتا ہے۔
سیکیورٹی فرم Socket کے مطابق 700 سے زائد ایسی پبلک ریپوزٹریز GitHub پر دیکھی گئیں۔
خود پھیلنے والا وائرس
اس اٹیک کی سب سے خطرناک بات یہ ہے کہ یہ خود ہی پھیلتا ہے۔
•اگر کسی سسٹم میں مزید NPM tokens مل جائیں تو یہ اُن کے ذریعے بھی متاثرہ پیکجز شائع کر دیتا ہے۔
•ہر متاثرہ پیکج دوسروں تک وائرس پہنچانے کا ذریعہ بن جاتا ہے۔
•سیکیورٹی کمپنی Wiz کے مطابق یہ جاوا اسکرپٹ کے لیے اب تک کے سب سے سنگین سپلائی چین اٹیک میں سے ایک ہے۔
یہ وائرس صرف Linux اور macOS کو ٹارگٹ کرتا ہے اور Windows کو نظرانداز کرتا ہے۔
مختلف ورژنز
JFrog کے مطابق اس وائرس کے کئی ورژنز سامنے آئے ہیں جن کا مقصد مختلف سیکرٹس چرا نا ہے۔ ان میں شامل ہیں:
•GitHub اور NPM tokens
•AWS اور Google Cloud keys
•Atlassian keys
•Datadog API keys
•کچھ ورژنز میں Azure credentials بھی چراۓ گئے
لیک ہونے والے سیکرٹس
GitGuardian کے مطابق اب تک 278 سیکرٹس لیک ہو چکے ہیں جن میں شامل ہیں:
•90 مقامی مشینوں سے چراۓ گئے
•188 malicious workflows کے ذریعے چراۓ گئے
زیادہ تر کو فوری طور پر بلاک کر دیا گیا، لیکن کچھ GitHub tokens اب بھی فعال ہیں۔
کون کون متاثر ہوا؟
ReversingLabs کے مطابق متاثرین میں شامل ہیں:
•ٹیکنالوجی کمپنیوں کے بانی اور CTOs
•سافٹ ویئر ڈویلپمنٹ سروس فراہم کرنے والی کمپنیاں
•غیر منافع بخش اداروں کے ڈویلپرز
•گیمنگ اور آفس سافٹ ویئر بنانے والے ٹیک لیڈز
•AI پر کام کرنے والے ڈویلپرز
•سیکیورٹی وینڈرز (جن میں ایک بڑا EDR فراہم کنندہ شامل ہے)
•اسٹوڈنٹ ڈویلپرز
نقصان چیک کرنے کا طریقہ
NPM صارفین کو اپنے GitHub اکاؤنٹس پر غیر معمولی سرگرمی دیکھنی چاہیے:
•نئی ریپوزٹریز یا برانچز جو خود بخود بن گئی ہوں۔
•“Shai-Hulud” یا “Shai-Hulud Migration” کے نام والی ریپوزٹریز۔
•GitHub audit logs میں مشکوک سرگرمیاں۔
•عجیب API کالز۔
اگر کسی کو شک ہو کہ اس کا اکاؤنٹ متاثر ہوا ہے تو وہ یہ اقدامات کرے:
•GitHub اور NPM tokens کو دوبارہ جاری کرے۔
•SSH اور API keys تبدیل کرے۔
•environment variables نئے بنائے۔
•اپنی ریپوزٹریز میں تمام پیکجز دوبارہ انسٹال کرے۔
نتیجہ
شائی ہولُد 2025 کا تیسرا بڑا NPM سپلائی چین اٹیک ہے، جو اس سے پہلے کے s1ngularity اٹیک اور Josh Junon (Qix) کے پیکجز کے ہیک ہونے کے بعد سامنے آیا۔
یہ واقعہ ظاہر کرتا ہے کہ اوپن سورس ایکو سسٹمز کتنے نازک ہیں۔ تنظیموں کو چاہیے کہ وہ اپنی dependencies کا باقاعدگی سے آڈٹ کریں، SBOMs کا استعمال کریں، مضبوط authentication اور access controls لگائیں، مشکوک سرگرمی کی نگرانی کریں، اور سیکرٹس کو محفوظ رکھیں تاکہ چراۓ گئے credentials مزید نقصان نہ پہنچا سکیں۔
سورس
https://www.securityweek.com/shai-hulud-supply-chain-attack-worm-used-to-steal-secrets-180-npm-packages-hit/
