Mini Shai-Hulud की वापसी: npm ecosystem पर self-spreading supply chain attack का हमला (5/11)
(stepsecurity.io)अवलोकन
Mini Shai-Hulud वर्म वैध npm packages को सक्रिय रूप से संक्रमित कर रहा है, CI/CD pipeline को hijack करके और डेवलपर्स के secrets (गोपनीय जानकारी) चुराकर। StepSecurity की OSS Package Security Feed ने आधिकारिक @tanstack packages में इस हमले को सबसे पहले detect किया और पूरे ecosystem में इसके प्रसार को real time में track कर रही है.
घटना का समय और पैमाना
11 मई 2026 को लगभग 19:20 UTC पर, आधिकारिक @tanstack/* packages के 10 malicious versions 6 मिनट के भीतर npm registry पर publish किए गए। ये packages TanStack Router framework के core components हैं, जिनका इस्तेमाल सैकड़ों हज़ारों React projects में होता है.
malicious payload
2.3MB आकार का obfuscated credential-stealing payload inject किया गया था, जिसे GitHub tokens, npm tokens और CI/CD secrets इकट्ठा करने के लिए design किया गया था.
मुख्य खतरा — self-spreading mechanism
Shai-Hulud वर्म को repository में सीधे घुसपैठ करने की ज़रूरत नहीं होती; यह सामान्य build process पर सवार होकर user tokens की मदद से खुद को फैलाता है। यानी, SLSA provenance, OIDC-आधारित publishing, और trusted CI/CD pipelines वाले packages तक को weaponize किया जा सकता है — यही इस हमले का सबसे बड़ा संकेत है.
chain infection का जोखिम
npm ecosystem की interconnected संरचना इसे propagation के लिए एक आदर्श माध्यम बनाती है, और अगर एक token compromise हो जाए तो कुछ ही मिनटों में दर्जनों packages में chain infection हो सकता है — इस मामले में भी 6 मिनट के भीतर 5 packages में 10 malicious versions deploy किए गए थे.
अभी कोई टिप्पणी नहीं है.