مائیکروسافٹ کے درجنوں خفیہ طور پر تصدیق شدہ اوپن سورس پیکجز کو پچھلے ہفتے کے آخر میں ایڈوانس کریڈینشل اسٹیلنگ کوڈ شامل کرنے کے لیے سمجھوتہ کیا گیا تھا جو اس وقت شروع ہوا جب ڈویلپرز نے انہیں AI کوڈنگ ایجنٹس میں کھولا۔
مجموعی طور پر، متعدد محققین کہا73 پیکجوں کو نقصان دہ کے طور پر نشان زد کیا گیا جب GitHub پر خودکار سسٹمز نے انہیں پلیٹ فارم پر بلاک کر دیا۔ یہ نوٹ کرنے کے بجائے کہ وہ بدنیتی پر مبنی ہیں — اور یہ کہ ان کے ساتھ کام کرنے کے لیے AI ایجنٹوں کا استعمال کرنے والے ڈویلپرز کو فرض کرنا چاہیے کہ ان کے سسٹم سے سمجھوتہ کیا گیا ہے — مائیکروسافٹ کی ملکیت والے GitHub نے کہا کہ اس نے “GitHub کی سروس کی شرائط کی خلاف ورزی کی وجہ سے” پیکجز کو غیر فعال کر دیا ہے۔ متن پیکیج کے مالک کو GitHub سے رابطہ کرنے کی ترغیب دینے کے لئے آگے بڑھا۔
Devs: سمجھوتہ فرض کریں اور اس کے مطابق آگے بڑھیں۔
یہ پیر تک نہیں تھا کہ مائیکروسافٹ نے پیکجوں کے متاثر ہونے کا امکان بھی بڑھا دیا۔ ایک ای میل میں، کمپنی نے کہا: “ہم نے ممکنہ طور پر بدنیتی پر مبنی مواد کی تحقیقات کے دوران کچھ ریپوزٹریز کو عارضی طور پر ہٹا دیا ہے۔”
یہ واقعہ اتنے مہینوں میں دوسرا سپلائی چین حملہ ہے جس میں مائیکروسافٹ ریپوزٹری اکاؤنٹ کی خلاف ورزی کی گئی ہے۔ مئی کے وسط میں، فرم StepSecurity دستاویزی PyPI پر مائیکروسافٹ کے پائیدار ٹاسک Python SDK کا سمجھوتہ۔ دی پیکج تقسیم شدہ لین دین اور دیگر ورک فلو کو خودکار کرنے کے لیے غلطی برداشت کرنے والے ورک فلو اور آرکیسٹریشن کی تعمیر کا ایک فریم ورک ہے۔ اسے ہر ماہ 400,000 ڈاؤن لوڈز موصول ہوتے ہیں۔
کمپرومائز پیکجز نے 28 KB کا پے لوڈ بنایا جو AWS، Azure، GCP، Kubernetes، پاس ورڈ مینیجرز، اور 90 سے زیادہ ڈویلپر ٹول کنفیگریشنز سے اسناد چراتا ہے۔ اس کے بعد یہ دیگر ڈویلپر مشینوں کو متاثر کرنے کے لیے کلاؤڈ انفراسٹرکچر کے ذریعے بعد میں پھیلتا ہے۔ یہ حملہ، جسے ٹیم پی سی پی کے طور پر ٹریک کیے جانے والے ایک دھمکی آمیز اداکار سے منسلک کیا گیا ہے، پیکج کی اشاعت کے لیے مائیکروسافٹ کی اسناد سے سمجھوتہ کرنے کے بعد پائیدار ٹاسک پیکج کو زہر دے دیا۔ تکنیک حملہ آوروں کو ریپوزٹری کی تعمیراتی پائپ لائن کو مکمل طور پر نظرانداز کرنے کی اجازت دیتی ہے۔
حملے میں استعمال ہونے والے مالویئر کو میاسما کے نام سے ٹریک کیا جاتا ہے۔ یہ بنیادی طور پر TeamPCP کی Mini Shai-Hulud ٹول کٹ کا کلون ہے، جسے دھمکی آمیز اداکار نے حال ہی میں اوپن سورس کیا ہے۔ سیکورٹی فرم Cloudsmith کہا مالویئر OIDC (OpenID-Connect) کے ٹوکن اسناد کی کٹائی کرتا ہے جو SLSA (سافٹ ویئر آرٹفیکٹس کے لیے سپلائی چین لیولز) میں استعمال ہوتے ہیں۔ اصلیت کی تصدیق، سافٹ ویئر کی سالمیت کی خفیہ طور پر دستخط شدہ ضمانتیں فراہم کرنے کا ایک طریقہ۔
جیسا کہ مائیکروسافٹ کے پائیدار ٹاسک کے مئی کے سمجھوتہ میں ہوا تھا، پچھلے ہفتے والے نے ایک جائز Microsoft OIDC ٹوکن چوری کرنے کے لیے فعالیت کا استعمال کیا۔ یہ ایک علیحدہ سپلائی چین اٹیک پوائزننگ میں بھی استعمال ہوتا تھا۔ درجنوں Red Hat پیکجز.
