TanStack npm सप्लाई‑चेन अटैक और Mini Shai‑Hulud वर्म की अंदरूनी कहानी
मई 2026 में Mini Shai‑Hulud सप्लाई‑चेन अटैक के जरिए 170 से अधिक npm और PyPI पैकेजों में मालवेयर डाला गया, जिनमें TanStack के 42 पैकेज भी शामिल थे। हमलावरों ने GitHub Actions रिलीज़ पाइपलाइन की कमजोरियों का फायदा उठाकर वैध पहचान के साथ मालिशियस पैकेज प्रकाशित कर दिए। घटना के बाद डेवलपर्स और कंपनियों को CI/CD सुरक्षा...
Inside the TanStack npm Supply‑Chain Attack: How the Mini Shai‑Hulud Worm Compromised 170+ PackagesThe Mini Shai‑Hulud campaign compromised trusted release pipelines to distribute malicious open‑source packages.
AI संकेत
Create a landscape editorial hero image for this Studio Global article: Inside the TanStack npm Supply‑Chain Attack: How the Mini Shai‑Hulud Worm Compromised 170+ Packages. Article summary: In May 2026, attackers used a chained GitHub Actions exploit to hijack legitimate release pipelines and publish malicious versions of more than 170 npm and PyPI packages—including 42 TanStack libraries—spreading the M.... Topic tags: cybersecurity, software supply chain, npm, pypi, github actions. Reference image context from search candidates: Reference image 1: visual subject "# Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack, Mistral, UiPath, and More. ArmorCode Blog - Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack, Mistral, UiP" source context "Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack ..." Reference image 2: visual subject "# Mini Shai-Hulud: The NPM Sup
openai.com
आधुनिक सॉफ्टवेयर डेवलपमेंट में ओपन‑सोर्स पैकेज और ऑटोमेटेड CI/CD पाइपलाइन बेहद अहम भूमिका निभाते हैं। लेकिन मई 2026 में यही भरोसा एक बड़े सप्लाई‑चेन हमले का कारण बना। Mini Shai‑Hulud नाम के इस अभियान में हमलावरों ने लोकप्रिय ओपन‑सोर्स पैकेजों के जरिए मालवेयर फैलाया और 170 से अधिक npm और PyPI पैकेजों को संक्रमित कर दिया।
इस हमले का असर कई प्रमुख डेवलपर इकोसिस्टम तक पहुंचा, जिनमें TanStack, UiPath, Mistral AI और OpenSearch जैसे प्रोजेक्ट शामिल थे। लक्ष्य था डेवलपर्स और क्लाउड इन्फ्रास्ट्रक्चर से जुड़े संवेदनशील क्रेडेंशियल चुराना। खास बात यह थी कि हमलावरों ने सीधे पासवर्ड नहीं चुराए—उन्होंने GitHub Actions की ऑटोमेटेड रिलीज़ पाइपलाइन को ही निशाना बना लिया।
TanStack कैसे प्रभावित हुआ
TanStack इस हमले का सबसे चर्चित उदाहरण बना।
11 मई 2026 को 19:20 से 19:26 UTC के बीच, हमलावरों ने npm पर @tanstack/* नामस्पेस के 42 पैकेजों में 84 मालिशियस वर्ज़न प्रकाशित कर दिए।
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
"TanStack npm सप्लाई‑चेन अटैक और Mini Shai‑Hulud वर्म की अंदरूनी कहानी" का संक्षिप्त उत्तर क्या है?
मई 2026 में Mini Shai‑Hulud सप्लाई‑चेन अटैक के जरिए 170 से अधिक npm और PyPI पैकेजों में मालवेयर डाला गया, जिनमें TanStack के 42 पैकेज भी शामिल थे।
सबसे पहले सत्यापित करने योग्य मुख्य बिंदु क्या हैं?
मई 2026 में Mini Shai‑Hulud सप्लाई‑चेन अटैक के जरिए 170 से अधिक npm और PyPI पैकेजों में मालवेयर डाला गया, जिनमें TanStack के 42 पैकेज भी शामिल थे। हमलावरों ने GitHub Actions रिलीज़ पाइपलाइन की कमजोरियों का फायदा उठाकर वैध पहचान के साथ मालिशियस पैकेज प्रकाशित कर दिए।
मुझे अभ्यास में आगे क्या करना चाहिए?
घटना के बाद डेवलपर्स और कंपनियों को CI/CD सुरक्षा मजबूत करने, क्रेडेंशियल रोटेशन करने और डिपेंडेंसी इंस्टॉल को जोखिमपूर्ण कोड‑एक्जीक्यूशन की तरह देखने की सलाह दी गई।
इन पैकेजों में ऐसा मालवेयर जोड़ा गया था जो डेवलपर मशीनों और CI/CD सिस्टम से क्रेडेंशियल चुराने की कोशिश करता था।
TanStack की कई लाइब्रेरी React और JavaScript इकोसिस्टम में बेहद लोकप्रिय हैं—कुछ पैकेज हर हफ्ते लाखों बार डाउनलोड होते हैं। इसलिए जैसे ही संक्रमित वर्ज़न प्रकाशित हुए, उनके जल्दी से कई डेवलपर एनवायरमेंट और बिल्ड पाइपलाइन तक पहुंचने की संभावना बन गई।
बाद की जांच में पता चला कि यह केवल TanStack तक सीमित नहीं था। पूरी कैंपेन में:
172 पैकेज प्रभावित हुए
400 से अधिक मालिशियस वर्ज़न प्रकाशित हुए
हमला npm और PyPI दोनों इकोसिस्टम में फैला
इनमें से अधिकांश गतिविधि 11–12 मई 2026 के 48 घंटे के भीतर हुई।
GitHub Actions का दुरुपयोग कैसे हुआ
हमलावरों ने npm अकाउंट हैक करने के बजाय उस ऑटोमेशन को निशाना बनाया जो पैकेज प्रकाशित करता है।
TanStack के पोस्टमॉर्टम के अनुसार हमला कई तकनीकों को जोड़कर किया गया था:
pull_request_target वर्कफ़्लो पैटर्न का गलत उपयोग
fork और मुख्य रिपॉजिटरी के बीच GitHub Actions cache poisoning
रनर प्रोसेस से OIDC टोकन निकालना
इन कमजोरियों को एक साथ जोड़कर हमलावरों ने रिलीज़ पाइपलाइन के अंदर अपना कोड चलाया और ऐसे क्रेडेंशियल हासिल किए जिनसे npm पर पैकेज प्रकाशित किए जा सकते थे। इसके बाद मालिशियस पैकेज उसी वैध रिलीज़ सिस्टम के जरिए प्रकाशित हो गए।
क्योंकि पैकेज उसी आधिकारिक पाइपलाइन से प्रकाशित हुए थे, इसलिए वे सामान्य अपडेट की तरह दिखते थे और कई मामलों में उनके पास वैध बिल्ड सिग्नेचर भी थे। इससे उन्हें पहचानना और मुश्किल हो गया।
Mini Shai‑Hulud वर्म कैसे फैलता था
इन पैकेजों में मौजूद मालवेयर को इस तरह डिजाइन किया गया था कि वह सप्लाई‑चेन वर्म की तरह फैल सके।
जब कोई डेवलपर या CI सिस्टम संक्रमित पैकेज इंस्टॉल करता, तो इंस्टॉलेशन या रनटाइम के दौरान स्क्रिप्ट चलती और अतिरिक्त पेलोड डाउनलोड कर लेती। कई मामलों में यह npm lifecycle hooks के जरिए होता था।
एक बार सक्रिय होने के बाद मालवेयर:
सिस्टम से सीक्रेट और क्रेडेंशियल खोजता
CI/CD एनवायरमेंट तक पहुंचने की कोशिश करता
चुराए गए टोकन का उपयोग कर नए संक्रमित पैकेज प्रकाशित करने की कोशिश करता
इस तरह हमला डेवलपर मशीनों, बिल्ड सिस्टम और अन्य ओपन‑सोर्स प्रोजेक्ट्स के बीच लैटरल मूवमेंट कर सकता था।
किन क्रेडेंशियल और सिस्टम को निशाना बनाया गया
मालवेयर का मुख्य लक्ष्य डेवलपर और क्लाउड इंफ्रास्ट्रक्चर से जुड़े क्रेडेंशियल थे। रिपोर्टों के अनुसार यह कई प्रकार के सीक्रेट खोजने की कोशिश करता था, जैसे:
AWS IAM क्रेडेंशियल
GitHub Personal Access Tokens
npm publish tokens
HashiCorp Vault tokens
Kubernetes service account क्रेडेंशियल
SSH private keys
Docker कॉन्फ़िगरेशन और एनवायरमेंट वेरिएबल
शोधकर्ताओं ने पाया कि मालवेयर डेवलपर मशीनों और CI रनर पर कई फाइल पाथ स्कैन करता था ताकि सेव किए गए सीक्रेट और कॉन्फ़िगरेशन डेटा मिल सकें।
जिन सिस्टम पर संक्रमित पैकेज इंस्टॉल हुए थे, उन्हें संभावित रूप से समझौता‑ग्रस्त माना गया और सभी क्रेडेंशियल बदलने की सलाह दी गई।
OpenAI ने क्या कहा
क्योंकि प्रभावित लाइब्रेरी कई डेवलपर टूल्स में इस्तेमाल होती हैं, इसलिए यह सवाल उठा कि क्या इससे बड़ी टेक कंपनियों की सेवाओं पर असर पड़ा।
OpenAI ने कहा कि TanStack से जुड़े इस सप्लाई‑चेन सुरक्षा मुद्दे के कारण उसके यूज़र डेटा तक किसी भी अनधिकृत पहुंच का कोई सबूत नहीं मिला।
इस बयान ने उन अटकलों को संबोधित किया जिनमें कहा जा रहा था कि प्रभावित पैकेजों के जरिए ग्राहक डेटा तक पहुंच हो सकती है।
यह हमला इतना महत्वपूर्ण क्यों था
Mini Shai‑Hulud अभियान ने सप्लाई‑चेन हमलों के नए रुझान दिखाए:
ऑटोमेशन पर हमला
हमलावरों ने सीधे डेवलपर अकाउंट हैक नहीं किए—उन्होंने रिलीज़ ऑटोमेशन को ही हाईजैक कर लिया।
साइन किए गए मालिशियस पैकेज
क्योंकि पैकेज आधिकारिक पाइपलाइन से प्रकाशित हुए थे, इसलिए वे भरोसेमंद अपडेट जैसे दिखते थे।
मल्टी‑इकोसिस्टम हमला
npm और PyPI दोनों को एक साथ निशाना बनाने से हमले का प्रभाव बहुत बढ़ गया।
वर्म‑जैसा प्रसार
मालवेयर क्रेडेंशियल चुराकर खुद को अन्य पैकेजों और सिस्टम में फैलाने की कोशिश करता था।
इन वजहों से इसे 2026 के सबसे बड़े ओपन‑सोर्स सप्लाई‑चेन सुरक्षा घटनाओं में से एक माना गया।
डेवलपर्स और टीमों के लिए सुरक्षा सबक
इस घटना के बाद सुरक्षा विशेषज्ञों ने कुछ अहम सावधानियां सुझाईं:
डिपेंडेंसी इंस्टॉल को कोड‑एक्जीक्यूशन समझें
कई पैकेज इंस्टॉल के समय स्क्रिप्ट चलाते हैं, इसलिए यह संभावित सुरक्षा जोखिम है।
क्रेडेंशियल तुरंत रोटेट करें
यदि किसी प्रभावित पैकेज का उपयोग हुआ है, तो उस सिस्टम के सभी सीक्रेट बदलना जरूरी है।
CI/CD वर्कफ़्लो को मजबूत बनाएं
GitHub Actions में टोकन परमिशन सीमित रखें और pull_request_target जैसे जोखिमपूर्ण पैटर्न से बचें।
डिपेंडेंसी ऑडिट करें
टीमों को मई 2026 के दौरान इंस्टॉल किए गए पैकेज वर्ज़न की जांच करने की सलाह दी गई।
बिल्ड पाइपलाइन मॉनिटर करें
अनपेक्षित नेटवर्क कॉल, अचानक नए पैकेज इंस्टॉल या अनधिकृत पब्लिशिंग गतिविधि सप्लाई‑चेन हमले का संकेत हो सकती है।
ओपन‑सोर्स इकोसिस्टम के लिए बड़ी सीख
आज का सॉफ्टवेयर इकोसिस्टम साझा डिपेंडेंसी और ऑटोमेशन पर निर्भर है। Mini Shai‑Hulud ने दिखाया कि वही सिस्टम अगर समझौता‑ग्रस्त हो जाएं तो वे मालवेयर फैलाने का बेहद शक्तिशाली माध्यम बन सकते हैं।
जब हमलावर बिल्ड पाइपलाइन और डेवलपर इंफ्रास्ट्रक्चर को निशाना बनाते हैं, तो वे भरोसेमंद चैनलों के जरिए कुछ ही घंटों में हजारों प्रोजेक्ट तक पहुंच सकते हैं। इसलिए अब कई संगठन CI/CD पाइपलाइन, डिपेंडेंसी मैनेजमेंट और डेवलपर एनवायरमेंट को भी उतना ही महत्वपूर्ण सुरक्षा सीमा मान रहे हैं जितना पारंपरिक प्रोडक्शन इंफ्रास्ट्रक्चर को।
Comments
0 comments