उत्तरप्रकाशित2 सप्ताह पहलेLast edited 2 सप्ताह पहले16 स्रोत

Shai‑Hulud कोड रिलीज़ के बाद npm सप्लाई‑चेन हमलों की नई लहर

मई 2026 में TeamPCP ने Shai‑Hulud npm सप्लाई‑चेन वर्म का सोर्स कोड सार्वजनिक किया और BreachForums पर $1,000 का कॉन्टेस्ट शुरू किया, जिसके बाद कई कॉपीकैट मालवेयर पैकेज npm पर अपलोड हुए। यह वर्म डेवलपर और क्लाउड क्रेडेंशियल चुरा सकता है, सीक्रेट्स एक्सफिल्ट्रेट करता है और मेंटेनर टोकन मिलने पर अन्य पैकेजों के संक्रमित...

Studio Global AI के साथ खोजें और तथ्यों की जांच करें और ट्रेंडिंग पेज देखें

1.6M0

Concept illustration of a software supply chain attack spreading through npm packages — How did TeamPCP’s public release of the Shai-Hulud npm supply chain worm source code and its BreachForums contest lead to rapid copycat npmThe Shai‑Hulud campaign demonstrated how a single malicious package can propagate through the npm ecosystem and compromise developer infrastructure.
AI संकेत
Create a landscape editorial hero image for this Studio Global article: How did TeamPCP’s public release of the Shai-Hulud npm supply chain worm source code and its BreachForums contest lead to rapid copycat npm. Article summary: TeamPCP turned Shai-Hulud from a campaign-specific worm into a reusable attack kit: it published alleged source code, then paired it with a BreachForums contest that rewarded package compromises, lowering the barrier for. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "The hacking group is encouraging miscreants to use the code in supply chain attacks, promising monetary rewards. **The infamous****TeamPCP** **hacking group that besieged the open" source context "TeamPCP Ups the Game, Releases Shai-Hulud Worm's ..." Reference image 2: visual subject "Property 1=Software supply chain security 1.
openai.com

ओपन‑सोर्स इकोसिस्टम—खासतौर पर npm—एक बुनियादी सिद्धांत पर चलता है: भरोसा। डेवलपर्स अक्सर ऐसे हजारों पैकेज इंस्टॉल करते हैं जिन्हें अंजान मेंटेनर बनाए रखते हैं। Shai‑Hulud अभियान ने दिखाया कि यह भरोसा कितना नाज़ुक हो सकता है।

मई 2026 में हैकर समूह TeamPCP ने Shai‑Hulud npm वर्म का सोर्स कोड सार्वजनिक कर दिया और दूसरों को भी इसका इस्तेमाल करने के लिए प्रोत्साहित किया। इसके तुरंत बाद npm पर नए संदिग्ध पैकेज दिखाई देने लगे—कुछ तो मूल मालवेयर के लगभग सीधे क्लोन थे। इससे साफ हुआ कि एक ही हमला कितनी तेजी से बड़े पैमाने की समस्या में बदल सकता है।

जब एक अभियान बन गया तैयार हमला‑टूलकिट

Shai‑Hulud पहले से ही npm और अन्य ओपन‑सोर्स इकोसिस्टम पर कई हमलों में इस्तेमाल हो चुका था। लेकिन मई 2026 में जब इसका कोड ऑनलाइन प्रकाशित हुआ—कई GitHub रिपॉज़िटरी में, साथ में इसे चलाने के निर्देशों के साथ—तो स्थिति और गंभीर हो गई। सुरक्षा शोधकर्ताओं के अनुसार इससे भविष्य के सप्लाई‑चेन हमलों के लिए एक तरह का ब्लूप्रिंट उपलब्ध हो गया।

सोर्स कोड सार्वजनिक होने का मतलब था कि नए हमलावरों को अब खुद मालवेयर विकसित करने या रिवर्स‑इंजीनियरिंग करने की ज़रूरत नहीं रही। वे सीधे इस फ्रेमवर्क को लेकर अपने लक्ष्य के हिसाब से संशोधित कर सकते थे।

कुछ ही दिनों में शोधकर्ताओं ने npm पर ऐसे पैकेज देखे जो Shai‑Hulud के व्यवहार की नकल कर रहे थे।

BreachForums प्रतियोगिता ने हमलों को बनाया “गेम”

स्थिति तब और बिगड़ गई जब TeamPCP और हैकिंग फ़ोरम BreachForums ने एक प्रतियोगिता का प्रचार शुरू किया। इसमें Shai‑Hulud का उपयोग करके सबसे बड़े ओपन‑सोर्स पैकेज समझौते के लिए लगभग $1,000 Monero का इनाम घोषित किया गया।

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Studio Global AI के साथ खोजें और तथ्यों की जांच करें

लोग पूछते भी हैं