اس ہفتے کے شروع میں، ہیکرز نے درجنوں کمپنیوں کے زیر استعمال کئی اوپن سورس پروجیکٹس کو ہائی جیک کیا اور میلویئر پھیلانے کے لیے ڈیزائن کردہ اپ ڈیٹس کو آگے بڑھایا۔ یہ سافٹ ویئر ڈویلپرز اور ان کے پروجیکٹس کو نشانہ بنانے والے حالیہ نام نہاد "سپلائی چین" حملوں کے سلسلے میں تازہ ترین ہے۔ بُدھ کے روز، OpenAI نے تصدیق کی کہ دو ملازمین کے آلات "اس حملے سے متاثر ہوئے۔" لیکن، تحقیقات کے بعد، کمپنی نے ایک بلاگ پوسٹ میں کہا کہ اسے "اس بات کا کوئی ثبوت نہیں ملا کہ OpenAI صارف کے ڈیٹا تک رسائی حاصل کی گئی، ہمارے پروڈکشن سسٹم یا دانشورانہ املاک سے سمجھوتہ کیا گیا، یا ہمارے سافٹ ویئر میں تبدیلی کی گئی۔"

بُدھ کے روز، OpenAI نے تصدیق کی کہ دو ملازمین کے آلات "اس حملے سے متاثر ہوئے۔" لیکن، تحقیقات کے بعد، کمپنی نے ایک بلاگ پوسٹ میں کہا کہ اسے "اس بات کا کوئی ثبوت نہیں ملا کہ OpenAI صارف کے ڈیٹا تک رسائی حاصل کی گئی، ہمارے پروڈکشن سسٹم یا دانشورانہ املاک سے سمجھوتہ کیا گیا، یا ہمارے سافٹ ویئر میں تبدیلی کی گئی۔"

اوپن اے آئی نے کہا کہ ملازمین کے آلات پر پہلے حملے سے سمجھوتہ کیا گیا تھا، ایک مقبول اوپن سورس لائبریری جو کہ ڈویلپرز کو ویب ایپس بنانے میں مدد کرتی ہے۔

پِیر کو، TanStack نے حملے کا انکشاف کیا اور پوسٹ مارٹم شائع کیا، جس میں کہا گیا کہ ہیکرز نے چھ منٹ کی ونڈو کے دوران اس کے سافٹ ویئر کے 84 بدنیتی پر مبنی ورژن شائع کیے۔ پروجیکٹ نے کہا کہ ایک محقق نے 20 منٹ کے اندر حملے کا پتہ لگا لیا۔ بدنیتی پر مبنی TanStack ورژن میں میلویئر شامل تھا جو ان کمپیوٹرز سے اسناد چرانے کے لیے ڈیزائن کیا گیا تھا جن پر سافٹ ویئر انسٹال کیا گیا تھا، اور دوسرے سسٹمز میں پھیلانے کے لیے خود کو پھیلایا گیا تھا۔

ہم سے رابطہ کریں کیا آپ کے پاس اس سپلائی چین حملے کے بارے میں مزید معلومات ہیں؟ یا سپلائی چین کے دوسرے سمجھوتے؟ غیر کام کرنے والے آلے سے، آپ Lorenzo Franceschi-Bicchierai سے محفوظ طریقے سے سگنل پر +1 917 257 1382 پر، یا ٹیلیگرام اور Keybase @lorenzofb، یا ای میل کے ذریعے رابطہ کر سکتے ہیں۔

اس کی طرف سے، OpenAI نے کہا کہ اس نے غیر مجاز رسائی اور اسناد کی چوری دیکھی "اندرونی سورس کوڈ کے ذخیروں کے ایک محدود ذیلی سیٹ میں جس تک دو متاثرہ ملازمین کی رسائی تھی۔"

اے آئی دیو کے مطابق، متاثرہ کوڈ ریپوزٹریز سے "صرف محدود اسنادی مواد" لیا گیا تھا۔ احتیاط کے طور پر، یہ دیکھتے ہوئے کہ متاثرہ ذخیروں میں ڈیجیٹل سرٹیفکیٹ موجود ہیں جو OpenAI کی مصنوعات پر دستخط کرنے کے لیے استعمال ہوتے ہیں، کمپنی نے کہا کہ وہ سرٹیفکیٹس کو "احتیاط کے طور پر" گھما رہی ہے، جس کے لیے میکوس صارفین کو ایپ کو اپ ڈیٹ کرنے کی ضرورت ہوگی۔

کمپنی نے لکھا، "ہمیں موجودہ سافٹ ویئر کی تنصیبات سے سمجھوتہ یا خطرے کا کوئی ثبوت نہیں ملا ہے۔"

یہ واضح نہیں ہے کہ TanStack حملے کے پیچھے کون ہے۔ ماضی کی سپلائی چین ہیکس میں سے کچھ کو ہیکنگ گینگ سے منسوب کیا گیا ہے جسے TeamPCP کہا جاتا ہے، ایک ایسا گروپ جو خود ہیکرز کا ہدف تھا۔

لیکن ایسے دوسرے گروہ بھی ہیں جنہوں نے دوسرے منصوبوں کے خلاف وہی حربے استعمال کیے ہیں۔ مارچ میں، شمالی کوریا کے ہیکرز نے Axios کو ہائی جیک کیا، ایک مقبول اوپن سورس ڈویلپمنٹ ٹول، اور میلویئر کو آگے بڑھایا جس سے لاکھوں ڈویلپرز متاثر ہو سکتے تھے۔ اور مئی میں، چینی ہیکرز پر اسی طرح کے حملے کا الزام لگایا گیا تھا جس میں ڈسک امیجنگ سافٹ ویئر ڈیمن ٹولز چلانے والے ونڈوز کے ہزاروں کمپیوٹرز کو نشانہ بنایا گیا تھا۔

ان حملوں میں، مخصوص کمپنیوں کو نشانہ بنانے کے بجائے، ہیکرز اوپن سورس پراجیکٹس پر قبضہ کر لیتے ہیں اور بے ضرر باقاعدہ اپ ڈیٹس کے بھیس میں میلویئر کو باہر دھکیل دیتے ہیں۔ یہ انہیں صرف ایک ہیک کے ساتھ درجنوں اہداف کو ممکنہ طور پر سمجھوتہ کرنے کی اجازت دیتا ہے، نقصان کو پورے انٹرنیٹ پر پھیلاتا ہے۔

اوپن اے آئی کا کہنا ہے کہ تازہ ترین کوڈ سیکیورٹی کے مسئلے کے بعد ہیکرز نے کچھ ڈیٹا چوری کیا۔

متعلقہ خبریں

یہ وہی ہے جو مالویئر کے دنیا کے سب سے بڑے بینکوں میں سے کچھ ہارڈ ڈرائیوز کی طرح اسٹیک کیے ہوئے ہیں۔

نیا ٹیسٹ ظاہر کرتا ہے کہ انتھروپک کا کلاڈ میتھوس "اب تک کا سب سے بڑا مارکیٹنگ اسٹنٹ" ہے۔

ہیکرز دوسرے ہیکرز کے ذریعہ ہیک کیے گئے متاثرین کو ہیک کرتے ہیں۔

کاسپرسکی کو شبہ ہے کہ چینی ہیکرز نے 'وسیع پیمانے پر' حملے میں ڈیمون ٹولز میں بیک ڈور لگایا تھا۔

ایک اور اسپائی ویئر بنانے والا جعلی اینڈرائیڈ اسنوپنگ ایپس تقسیم کرتے ہوئے پکڑا گیا۔

ایپ کے میزبان ورسل کا کہنا ہے کہ اسے ہیک کیا گیا تھا اور صارفین کا ڈیٹا چوری کیا گیا تھا۔