8 ستمبر کو، NPM ایکو سسٹم میں ایک اہم سافٹ ویئر سپلائی چین اٹیک کا انکشاف ہوا، جس نے کئی بڑے پیمانے پر استعمال ہونے والی جاوا اسکرپٹ لائبریریوں کو متاثر کیا۔ یہ واقعہ سب سے پہلے اس وقت منظر عام پر آیا جب لیجر کے چیف ٹیکنالوجی آفیسر، چارلس گِلیمیٹ نے خبردار کیا کہ ایک قابل اعتماد ڈویلپر کے نوڈ پیکج مینیجر اکاؤنٹ سے سمجھوتہ کیا گیا ہے۔ ابتدائی جائزوں سے پتہ چلتا ہے کہ ایک ارب سے زیادہ ڈاؤن لوڈز کو کرپٹو کرنسی چوری کرنے کے لیے تیار کیے گئے پوشیدہ میلویئر سے بے نقاب کیا گیا تھا۔ تاہم، بعد کی تحقیقات سے پتہ چلا کہ سمجھوتہ شدہ پیکجز اجتماعی طور پر 2.6 بلین سے زیادہ ہفتہ وار ڈاؤن لوڈز کی نمائندگی کرتے ہیں۔
Supply Chain Attack Exposes Over 2 Billion
Supply Chain Attack Exposes Over 2 Billion
اس حملے کا مرکز "qix" کے نام سے جانے جانے والے ایک ڈویلپر کے اکاؤنٹ پر تھا، جو کئی مقبول جاوا اسکرپٹ لائبریریوں کو برقرار رکھتا ہے۔ ان میں چاک، اسٹرپ-انسی، کلر-کنورٹ، اور ڈیبگ شامل ہیں، جن سبھی کو سرور سائیڈ اور فرنٹ اینڈ دونوں ماحول میں بے شمار پروجیکٹس میں استعمال کیا جاتا ہے۔ حملہ آوروں نے ایک جعلی سپورٹ ای میل کے ذریعے اکاؤنٹ تک رسائی حاصل کی اور تقریباً 18 پیکجز میں نقصان دہ اپ ڈیٹس شامل کیں۔ خودکار انحصار انسٹال کی وجہ سے، میلویئر نے خلاف ورزی کے چند گھنٹوں کے اندر تیزی سے پھیل گیا۔
گِلیمیٹ نے وضاحت کی کہ نقصان دہ کوڈ کو لین دین کے دوران خاموشی سے کرپٹو کرنسی والیٹ کے پتوں کو بدلنے کے لیے ڈیزائن کیا گیا تھا۔ اس نے سافٹ ویئر والیٹس پر انحصار کرنے والے صارفین کو فنڈز کھونے کے خطرے سے دوچار کیا اگر وہ لین دین کی منظوری دیتے وقت وصول کنندہ کے پتے میں تبدیلی کو نوٹس نہ کریں۔
Malware Crypto Clipper and MetaMask
سیکیورٹی محققین نے میلویئر کی شناخت "کرپٹو کلیپر" کی ایک قسم کے طور پر کی۔ یہ لین دین کے مختلف مراحل میں والیٹ کے پتوں کو بدل کر کام کرتا ہے۔ ایسے معاملات میں جہاں کوئی والیٹ نہیں پایا جاتا، میلویئر براؤزر کے فنکشنز جیسے fetch اور XMLHttpRequest میں ہک کر کے وکندریقرت ایپلی کیشنز کے اندر آؤٹ گوئنگ ڈیٹا کو تبدیل کرتا ہے۔ یہ اسے ایپلی کیشن ڈیٹا کے اندر پتوں کو اسکین اور تبدیل کرنے کی اجازت دیتا ہے۔
اگر MetaMask جیسے والیٹ ایکسٹینشن کا پتہ چلتا ہے، تو میلویئر دستخط کرنے سے پہلے لین دین کو روک کر زیادہ براہ راست ہو جاتا ہے۔ یہ میموری میں والیٹ کے پتے کو تبدیل کرتا ہے تاکہ جب صارف لین دین کا جائزہ لے، تو دھوکہ دہی کا پتہ پہلے سے موجود ہو۔ میلویئر Levenshtein الگورتھم پر انحصار کرتا ہے، جو ایسے پتے تیار کرتا ہے جو اصل سے بہت ملتے جلتے ہیں۔ یہ مماثلت تبدیلی کی شناخت کو کم امکان بناتی ہے۔
Supply Chain Attack Exposes Over 2 Billion
First Signs of the Attack
ڈویلپرز کو سب سے پہلے حملے کی علامات کا سامنا اس وقت ہوا جب بلڈ سسٹمز نے ایک غیر متوقع خرابی کا پیغام دیا۔ error-ex نامی ایک انحصار کا مزید معائنہ کرنے پر مبہم کوڈ کا انکشاف ہوا جس میں checkethereumw نامی ایک مشکوک فنکشن تھا، جو ایتھریم والیٹس کو نشانہ بنانے کی نشاندہی کرتا تھا۔ تجزیہ کاروں نے بعد میں تصدیق کی کہ میلویئر میں بٹ کوائن، ایتھریم، سولانا، ٹرون، لائٹ کوائن، اور بٹ کوائن کیش سمیت متعدد بلاک چینز پر والیٹ کے پتوں کے حوالے شامل تھے۔
متاثرہ پیکجز میں جاوا اسکرپٹ ایکو سسٹم میں سب سے زیادہ استعمال ہونے والے کچھ شامل تھے۔ چاک اکیلے 300 ملین سے زیادہ، ڈیبگ 350 ملین سے زیادہ، اور اسٹرپ-انسی 260 ملین سے زیادہ ہفتہ وار ڈاؤن لوڈز حاصل کرتا ہے۔ مجموعی طور پر، سمجھوتہ شدہ لائبریریوں کو ہر ہفتے اجتماعی طور پر 2.6 بلین سے زیادہ بار ڈاؤن لوڈ کیا جاتا ہے، جو ڈویلپر کمیونٹی میں اثر کی گہرائی کو نمایاں کرتا ہے۔
Hardware vs Software Wallets
اگرچہ متاثرہ لائبریریوں میں سے بہت سی براہ راست کرپٹو کرنسی پروجیکٹس سے منسلک نہیں ہیں، لیکن انحصار چین میں ان کا انضمام کا مطلب یہ ہے کہ غیر متعلقہ ایپلی کیشنز بھی بے نقاب ہو سکتی ہیں۔ کرپٹو کرنسی والیٹس اور وکندریقرت ایپلی کیشنز کے ساتھ بات چیت کرنے والے پروجیکٹس کو سب سے زیادہ خطرے میں سمجھا جاتا ہے۔
گِلیمیٹ کے مطابق، کلیئر سائننگ فیچرز والے ہارڈ ویئر والیٹس کے صارفین محفوظ رہتے ہیں کیونکہ ایسے آلات انہیں منظوری سے پہلے ہر لین دین کی تصدیق کرنے کی اجازت دیتے ہیں۔ اس کے برعکس، سافٹ ویئر والیٹس کے صارفین کو زیادہ بے نقابی کا سامنا کرنا پڑتا ہے اور انہیں انحصار کا مکمل طور پر جائزہ لینے اور محفوظ کرنے تک انتہائی احتیاط برتنے کا مشورہ دیا جاتا ہے۔
Finding the Attacker and Funds Stolen
حملہ آور کے کرپٹو کرنسی پتوں کی شناخت کر لی گئی ہے اور عوامی بلاک چینز کی شفافیت کی بدولت ان کی فعال طور پر نگرانی کی جا رہی ہے۔ آپریشن سے منسلک ایک بنیادی ایتھریم پتہ 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 ہے، ساتھ ہی کئی دیگر بیک اپ پتے بھی ہیں۔ رپورٹنگ کے وقت، چوری شدہ فنڈز منتقل نہیں کیے گئے تھے۔ یہ نگرانی مسلسل تجزیہ کا موقع فراہم کرتی ہے، حالانکہ چوری شدہ اثاثوں کا مکمل دائرہ کار واضح نہیں ہے۔
Supply Chain Attack Exposes Over 2 Billion
JavaScript and Community Role
جاوا اسکرپٹ اور web3 کمیونٹیز نے اس واقعے کو قابو میں کرنے کے لیے تیزی سے کام کیا ہے۔ سمجھوتہ شدہ پیکجز کے نقصان دہ ورژن کو رجسٹری سے کافی حد تک ہٹا دیا گیا ہے، لیکن ان پروجیکٹس کے لیے خطرات باقی ہیں جو اب بھی اپنی لاک فائلز میں پرانی ورژن پر انحصار کر سکتے ہیں۔ ڈویلپرز کو اپنے انحصار کا آڈٹ کرنے، محفوظ ورژن لاک کرنے، اور مزید بے نقابی کو روکنے کے لیے صاف بلڈز کو دوبارہ انسٹال کرنے کی ترغیب دی جا رہی ہے۔
سیکیورٹی پروفیشنلز ڈویلپرز کو کریڈینشل روٹیٹ کرنے، NPM اور GitHub جیسے اکاؤنٹس پر ٹو فیکٹر آتھنٹیکیشن کو نافذ کرنے، اور سخت ورژن کنٹرول کو برقرار رکھنے کے لیے npm ci جیسے ڈیٹرمینسٹک انسٹالیشن کے طریقے استعمال کرنے کی بھی سفارش کرتے ہیں۔ اس کے علاوہ، صارفین کو تمام کرپٹو کرنسی لین دین کی احتیاط سے تصدیق کرنے کا مشورہ دیا جاتا ہے، خاص طور پر اگر سافٹ ویئر والیٹس پر انحصار کر رہے ہوں۔
Final Thoughts
اس واقعے کو NPM ایکو سسٹم کو متاثر کرنے والے سب سے وسیع خلاف ورزیوں میں سے ایک قرار دیا گیا ہے۔ اگرچہ کمیونٹی کا ردعمل نسبتاً تیز تھا، لیکن یہ حملہ جدید سافٹ ویئر سپلائی چینز کی نازکیت اور اوپن سورس اجزاء پر وسیع پیمانے پر انحصار سے پیدا ہونے والے خطرات کو اجاگر کرتا ہے۔
جیسا کہ گِلیمیٹ نے زور دیا، دستخط کرنے سے پہلے ہر لین دین کا جائزہ لینا ضروری ہے۔ یہ خلاف ورزی ایک یاد دہانی کے طور پر کام کرتی ہے کہ ایپلی کیشن انفراسٹرکچر میں گہرائی سے جڑے چھوٹے لائبریری بھی سمجھوتہ ہونے پر اہم حملے کے ویکٹر بن سکتے ہیں۔ ڈویلپرز اور صارفین دونوں کے لیے، web3 اور سافٹ ویئر ڈویلپمنٹ ایکو سسٹم میں سیکیورٹی کو برقرار رکھنے کے لیے مسلسل چوکنا رہنا اب ایک اہم حصہ ہے۔
