သော့ထုတ်ယူမှုများ
- Slowmist သည် အပတ်စဉ် npm ဒေါင်းလုဒ် 822,000 ကျော်ကို ပစ်မှတ်ထား၍ မေလ 14 ရက်နေ့တွင် အန္တရာယ်ရှိသော node-ipc ဗားရှင်းသုံးမျိုးကို အလံပြခဲ့သည်။
- 80KB payload သည် DNS tunneling မှတစ်ဆင့် AWS သော့များနှင့် .env ဖိုင်များအပါအဝင် 90+ အထောက်အထားအမျိုးအစားများကို ခိုးယူပါသည်။
- ဆော့ဖ်ဝဲရေးသားသူများသည် node-ipc ဗားရှင်းများကို ရှင်းလင်းရန် ချက်ချင်းပင် ပင်ထိုးပြီး ဖြစ်နိုင်ချေရှိသော လျှို့ဝှက်ချက်များအားလုံးကို လှည့်ပတ်ရပါမည်။
Developer Secrets at လောင်းကြေး
Blockchain လုံခြုံရေးကုမ္ပဏီ Slowmist တိုက်ခိုက်မှုကို အလံပြခဲ့သည်။ ၎င်း၏ Misteye ခြိမ်းခြောက်မှုထောက်လှမ်းရေးစနစ်မှတစ်ဆင့် လူဆိုးထုတ်လွှတ်မှုသုံးမျိုးဖြစ်သည့် ဗားရှင်း 9.1.6၊ 9.2.3 နှင့် 12.0.1 တို့ကို ဖော်ထုတ်ခဲ့သည်။ inter-process communication (IPC) ကိုဖွင့်ရန်အသုံးပြုသော node-ipc ပက်ကေ့ဂျ် Node.js ပတ်ဝန်းကျင်များကို ဖြတ်ပြီး ထည့်သွင်းထားသည်။ ဗဟိုချုပ်ကိုင်မှုလျှော့ချရေးလျှောက်လွှာ ( dApp) ပိုက်လိုင်းများတည်ဆောက်ခြင်း၊ CI/CD စနစ်များနှင့် developer tooling များ တစ်ခုလုံးကို တည်ဆောက်ပါ။ crypto ဂေဟစနစ်။
ပက်ကေ့ဂျ်သည် အပတ်စဉ် ပျမ်းမျှ ဒေါင်းလုဒ်လုပ်သူ 822,000 ကျော်ရှိပြီး တိုက်ခိုက်မှုကို သိသိသာသာကြီး ဖြစ်စေသည်။ အန္တရာယ်ရှိသော ဗားရှင်းသုံးမျိုးမှ တစ်ခုစီသည် ပက်ကေ့ခ်ျ၏ CommonJS အစုအဝေးတွင် ထည့်သွင်းထားသည့် ထပ်တူထပ်မျှ 80 KB ရှုပ်ထွေးသော ပေးဆောင်မှုတစ်ခုစီပါရှိသည်။ ကုဒ်သည် မလိုအပ်သည့် ('node-ipc') ခေါ်ဆိုမှုတိုင်းတွင် ခြွင်းချက်မရှိ လောင်ကျွမ်းသွားသည်၊ ဆိုလိုသည်မှာ ညစ်ညမ်းနေသော ထုတ်ဝေမှုများတွင် ထည့်သွင်းထားသော သို့မဟုတ် အပ်ဒိတ်လုပ်ထားသော မည်သည့်ပရောဂျက်မဆို အသုံးပြုသူ အပြန်အလှန်တုံ့ပြန်မှုမလိုအပ်ဘဲ ခိုးယူသူကို အလိုအလျောက် လည်ပတ်စေသည်။
Malware က ဘာခိုးတာလဲ။
ထည့်သွင်းထားသော payload သည် Amazon Web Services (AWS) တိုကင်များ၊ Google Cloud နှင့် Microsoft Azure လျှို့ဝှက်ချက်များ၊ SSH သော့များ၊ Kubernetes ဖွဲ့စည်းမှုပုံစံများ၊ Github CLI တိုကင်များနှင့် shell history ဖိုင်များအပါအဝင် developer နှင့် cloud အထောက်အထားများ အမျိုးအစား 90 ကျော်ကို ပစ်မှတ်ထားသည်။ နှင့်ဆိုင်သော crypto space ၊ malware သည် မကြာခဏ သိမ်းဆည်းထားသည့် .env ဖိုင်များကို ပစ်မှတ်ထားသည်။ သီးသန့်သော့များRPC node အထောက်အထားများနှင့် API လျှို့ဝှက်ချက်များကို ဖလှယ်ပါ။ ခိုးယူထားသောဒေတာကို DNS tunneling မှတစ်ဆင့် ထုတ်ယူပြီး စံကွန်ရက်စောင့်ကြည့်ရေးကိရိယာများကို ရှောင်ရန် Domain Name System queries မှတစ်ဆင့် ဖိုင်များကိုလမ်းကြောင်းပေးသည်။
Stepsecurity မှ သုတေသီများက တိုက်ခိုက်သူအား အတည်ပြုခဲ့သည်။ node-ipc ၏ မူရင်းကုဒ်ဘေ့စ်ကို ဘယ်တော့မှ မထိပါ။. ယင်းအစား၊ ၎င်းတို့သည် ၎င်း၏သက်တမ်းကုန်သွားပြီဖြစ်သော အီးမေးလ်ဒိုမိန်းကို ပြန်လည်မှတ်ပုံတင်ခြင်းဖြင့် အမြုံထိန်းသိမ်းသူအကောင့်ကို အသုံးချခဲ့သည်။
ဒိုမိန်း atlantis-software.net တိုက်ခိုက်သူသည် 2026 ခုနှစ် မေလ 7 ရက်နေ့တွင် Namecheap မှတစ်ဆင့် ၎င်းကို ပြန်လည်မှတ်ပုံတင်ခြင်းဖြင့် ဇန်နဝါရီ 10၊ 2025 တွင် သက်တမ်းကုန်ဆုံးခဲ့သည်။ ထို့နောက် ၎င်းတို့သည် မူလထိန်းသိမ်းသူ၏အသိပညာမပါဘဲ ထုတ်ဝေခွင့်အပြည့်အဝရရှိထားသော စံ npm စကားဝှက်ကို ပြန်လည်သတ်မှတ်ခြင်းပြုလုပ်ခဲ့သည်။
အန္တရာယ်ရှိသော ဗားရှင်းများသည် ရှာဖွေတွေ့ရှိခြင်းနှင့် ဖယ်ရှားခြင်းမပြုမီ နှစ်နာရီခန့်တွင် မှတ်ပုံတင်ခြင်းတွင် အသက်ရှင်နေခဲ့သည်။ ထိုဝင်းဒိုးအတွင်း npm ထည့်သွင်းခြင်း သို့မဟုတ် အလိုအလျောက် အပ်ဒိတ်လုပ်ထားသော မှီခိုမှုများအား လုပ်ဆောင်သည့် မည်သည့်ပရောဂျက်ကိုမဆို အပေးအယူဖြစ်နိုင်ချေအဖြစ် သဘောထားသင့်သည်။ လုံခြုံရေးအဖွဲ့များသည် node-ipc ဗားရှင်း 9.1.6၊ 9.2.3 သို့မဟုတ် 12.0.1 အတွက် စစ်ဆေးခြင်း ဖိုင်များကို ချက်ချင်းစစ်ဆေးရန် အကြံပြုထားပြီး နောက်ဆုံးအတည်ပြုထားသော သန့်ရှင်းမှုသို့ ပြန်လည်ရောက်ရှိရန် အကြံပြုထားသည်။
npm ဂေဟစနစ်အပေါ် Supply chain တိုက်ခိုက်မှုများရှိသည်။ ဆက်တိုက်ခြိမ်းခြောက်မှုဖြစ်လာသည်။ 2026 တွင်၊ crypto ၎င်းတို့၏ အထောက်အထားများ ပေးစွမ်းနိုင်သော တိုက်ရိုက်ဘဏ္ဍာရေးဝင်ရောက်မှုကြောင့် တန်ဖိုးမြင့်ပစ်မှတ်များအဖြစ် ထမ်းဆောင်နေသော ပရောဂျက်များ။