उत्तरप्रकाशित19 स्रोत
Mini Shai‑Hulud सप्लाई‑चेन अटैक क्या था और इससे डेवलपर इकोसिस्टम कैसे प्रभावित हुआ
मई 2026 में Mini Shai‑Hulud नाम का सप्लाई‑चेन वर्म GitHub Actions पाइपलाइन को हाइजैक करके TanStack के 42 npm पैकेजों के 84 मैलिशियस वर्ज़न प्रकाशित करने में सफल रहा। यह मैलवेयर डेवलपर मशीनों से GitHub टोकन, क्लाउड क्रेडेंशियल, npm पब्लिश टोकन और CI/CD सीक्रेट्स जैसी संवेदनशील जानकारी चुराने की कोशिश करता था। इस अभिय...
1.8M0
AI संकेत
openai.comCreate a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud supply chain attack involving TanStack and OpenAI, how were two OpenAI employee devices compromised, wh. Article summary: The Mini Shai-Hulud incident was a self-spreading supply-chain attack that compromised TanStack npm packages and reportedly involved two OpenAI employee devices, leading OpenAI to rotate affected macOS app signing certif. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# OpenAI says no user data stolen after supply-chain hackers accessed employee devices. ## OpenAI said it found no evidence that user data was accessed after a supply-chain attack" source context "OpenAI says no user data stolen after supply-chain hackers ... - Mint" Reference image 2: visual subject "Infosecurit
मई 2026 में सामने आया Mini Shai‑Hulud साइबर हमले का एक बड़ा उदाहरण बन गया, जिसने ओपन‑सोर्स डेवलपर इकोसिस्टम को निशाना बनाया। इस सप्लाई‑चेन अटैक में TanStack के लोकप्रिय npm पैकेजों से शुरुआत हुई और बाद में यह npm और PyPI के कई प्रोजेक्ट्स तक फैल गया।
जांच के दौरान OpenAI ने पुष्टि की कि कंपनी के दो कर्मचारियों के डिवाइस प्रभावित हुए थे, लेकिन जांच में ग्राहक डेटा तक किसी भी अनधिकृत पहुंच का सबूत नहीं मिला।
यह घटना दिखाती है कि आधुनिक सॉफ्टवेयर डेवलपमेंट में इस्तेमाल होने वाली ऑटोमेटेड पाइपलाइन—खासकर CI/CD सिस्टम—अगर समझौता हो जाएँ तो भरोसेमंद सॉफ्टवेयर पैकेज भी मैलवेयर फैलाने का माध्यम बन सकते हैं।
Mini Shai‑Hulud क्या है
Mini Shai‑Hulud एक self‑spreading supply‑chain worm है जिसे सुरक्षा शोधकर्ताओं ने TeamPCP नामक थ्रेट ग्रुप से जोड़ा है। इसमें हमलावरों ने किसी डेवलपर का पासवर्ड चुराने के बजाय सीधे ऑटोमेटेड रिलीज़ पाइपलाइन को निशाना बनाया।
11–12 मई 2026 के दौरान हुए बड़े हमले में हमलावरों ने:
- GitHub Actions की पब्लिशिंग वर्कफ्लो को हाइजैक किया
- समझौता किए गए OIDC आइडेंटिटी से वैध पब्लिश टोकन बनाए
- वैध पैकेजों के मैलिशियस वर्ज़न सीधे पैकेज रजिस्ट्री में प्रकाशित कर दिए
क्योंकि पैकेज आधिकारिक पाइपलाइन से प्रकाशित हुए थे, वे सामान्य पैकेज की तरह दिखते थे और उनमें वैध build provenance attestations भी मौजूद थीं, जिससे सुरक्षा टूल्स के लिए उन्हें पहचानना कठिन हो गया।
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
लोग पूछते भी हैं
"Mini Shai‑Hulud सप्लाई‑चेन अटैक क्या था और इससे डेवलपर इकोसिस्टम कैसे प्रभावित हुआ" का संक्षिप्त उत्तर क्या है?
मई 2026 में Mini Shai‑Hulud नाम का सप्लाई‑चेन वर्म GitHub Actions पाइपलाइन को हाइजैक करके TanStack के 42 npm पैकेजों के 84 मैलिशियस वर्ज़न प्रकाशित करने में सफल रहा।
सबसे पहले सत्यापित करने योग्य मुख्य बिंदु क्या हैं?
मई 2026 में Mini Shai‑Hulud नाम का सप्लाई‑चेन वर्म GitHub Actions पाइपलाइन को हाइजैक करके TanStack के 42 npm पैकेजों के 84 मैलिशियस वर्ज़न प्रकाशित करने में सफल रहा। यह मैलवेयर डेवलपर मशीनों से GitHub टोकन, क्लाउड क्रेडेंशियल, npm पब्लिश टोकन और CI/CD सीक्रेट्स जैसी संवेदनशील जानकारी चुराने की कोशिश करता था।
मुझे अभ्यास में आगे क्या करना चाहिए?
इस अभियान में 170 से अधिक npm और PyPI पैकेज प्रभावित हुए और OpenAI के दो कर्मचारी डिवाइस पर भी मैलिशियस पैकेज इंस्टॉल हुए, हालांकि ग्राहक डेटा तक पहुंच का कोई सबूत नहीं मिला।
सूत्र
- opensourceforu.comMalicious Open Source npm Packages Breach OpenAI ...
- stepsecurity.ioA Self-Spreading Supply Chain Attack Compromises TanStack npm ...
- expel.comMini Shai Hulud: Cross-ecosystem supply chain worm targeting npm ...
- turingpoint.deHardening npm Supply Chains: Lessons from Mini Shai- ...
- snyk.ioTanStack npm Packages Hit by Mini Shai-Hulud
Loading comments...
Comments
0 comments