एनपीएम पर एक्सियोस का हमला आरएटी को प्रभावित करता है और हजारों डेवलपर्स को प्रभावित करता है

HTTP अनुरोधों को निष्पादित करने के लिए कई जावास्क्रिप्ट परियोजनाओं में उपयोग की जाने वाली लोकप्रिय एक्सियोस लाइब्रेरी ने एक आपूर्ति श्रृंखला हमले को रिकॉर्ड किया जिसने एनपीएम रजिस्ट्री में प्रकाशित दो विशिष्ट संस्करणों से समझौता किया। स्टेपसिक्योरिटी जांचकर्ताओं ने 31 मार्च, 2026 के शुरुआती घंटों में प्रकाशित संस्करण 1.14.1 और 0.30.4 को दुर्भावनापूर्ण के रूप में पहचाना। पैकेजों ने एक नकली निर्भरता को इंजेक्ट किया जो डेवलपर मशीनों पर रिमोट एक्सेस ट्रोजन स्थापित करने में सक्षम इंस्टॉलेशन स्क्रिप्ट चलाता है।

इस घटना ने लाइब्रेरी पर निर्भर विशाल विकास पारिस्थितिकी तंत्र को उजागर कर दिया, जो 100 मिलियन से अधिक साप्ताहिक डाउनलोड के साथ प्लेटफ़ॉर्म पर सबसे अधिक डाउनलोड किए जाने वाले प्लेटफ़ॉर्म में से एक है। हमलावरों ने कोर एक्सियोस कोड को नहीं बदला, लेकिन एक छिपी हुई निर्भरता को जोड़ा जिसेplain-crypto-js@4.2.1 कहा जाता है। npm install चलाने, Windows, macOS और Linux के लिए विशिष्ट पेलोड इंस्टॉल करने पर यह निर्भरता स्वचालित रूप से सक्रिय हो जाती है।

रखरखाव खाते से कैसे समझौता किया गया

हमले के लिए ज़िम्मेदार लोगों ने परियोजना के मुख्य अनुरक्षक के एनपीएम खाते तक पहुंच प्राप्त कर ली, जिसकी पहचान जेसनसायमन के रूप में की गई है। उन्होंने संबंधित ईमेल पता बदल दियाifstap@proton.meऔर GitHub पर रिपॉजिटरी के स्वचालित निरंतर एकीकरण प्रवाह को दरकिनार करते हुए, समझौता किए गए संस्करणों को मैन्युअल रूप से प्रकाशित किया। पहला दुर्भावनापूर्ण संस्करण, axios@1.14.1, 00:21 UTC के आसपास जारी किया गया था, इसके लगभग 39 मिनट बाद axios@0.30.4 जारी किया गया था।

इस दृष्टिकोण ने हस्ताक्षर जांच या सामान्य सीआई/सीडी प्रक्रियाओं को ट्रिगर किए बिना पैकेज उपलब्ध कराने की अनुमति दी। एक्सियोस अनुरक्षकों ने खोज के बाद तुरंत प्रतिक्रिया व्यक्त की, और एनपीएम ने दोनों संस्करणों को घंटों के भीतर हटा दिया, जिससे एक्सपोज़र का समय लगभग दो से तीन घंटे तक सीमित हो गया।

⚡ चेतावनी – एक्सियोस एनपीएम (83एम साप्ताहिक डाउनलोड) से छेड़छाड़ की गई, जिससे इंस्टॉल मैलवेयर डिलीवरी पथ में बदल गया।

संस्करण 1.14.1 और 0.30.4 ने एक नकली निर्भरता खींची जिसने एक क्रॉस-प्लेटफॉर्म आरएटी को गिरा दिया, फिर सबूत मिटा दिए। चुराए गए अनुरक्षक क्रेडेंशियल्स का उपयोग करके प्रकाशित किया गया।

🔗क्या…pic.twitter.com/rBTiPGZmbr

– द हैकर न्यूज़ (@TheHackersNews)31 मार्च 2026

इंजेक्ट किए गए मैलवेयर का तकनीकी विवरण

नकली निर्भरताplain-crypto-js@4.2.1 को मूल Axios कोड में किसी भी बिंदु पर आयात नहीं किया गया था, जो विशेष रूप से पोस्टइंस्टॉल स्क्रिप्ट को निष्पादित करने के लिए काम करता था। स्क्रिप्ट ने रिमोट एक्सेस ट्रोजन ड्रॉपर के रूप में काम किया, प्रत्येक ऑपरेटिंग सिस्टम के अनुरूप अतिरिक्त पेलोड डाउनलोड करने के लिए कमांड और कंट्रोल सर्वर के साथ संपर्क स्थापित किया।

तत्काल विश्लेषण को कठिन बनाने के लिए ऑबफस्केशन तकनीकों का उपयोग किया गया, जिसमें रन टाइम पर कमांड को डिकोड किया गया। सफल इंस्टॉलेशन पर, मैलवेयर ने अपने स्वयं के निशान हटा दिए, और node_modules फ़ोल्डर के बाद के निरीक्षण में पता लगाने से बचने के लिए package.json फ़ाइल को एक साफ़ संस्करण से बदल दिया।

• एनपीएम सूची एक्सियोस कमांड फ़िल्टरिंग 1.14.1 या 0.30.4 के साथ प्रभावित संस्करणों की जाँच करना
• समझौते के संकेतक के रूप में नोड_मॉड्यूल/प्लेन-क्रिप्टो-जेएस फ़ोल्डर की उपस्थिति की जाँच करना
• /tmp/ld.py में अस्थायी फ़ाइलें या अन्य सिस्टम पर समतुल्य कलाकृतियों की खोज करें

डेवलपर्स के लिए अनुशंसित शमन उपाय

जिन डेवलपर्स ने संस्करण 1.14.1 या 0.30.4 स्थापित किया है, उन्हें पर्यावरण के साथ छेड़छाड़ पर विचार करना चाहिए और तत्काल कार्रवाई करनी चाहिए। मुख्य अनुशंसा पिछले सुरक्षित संस्करणों पर वापस लौटने की है: नवीनतम शाखा में axios@1.14.0 या पुराने संस्करण में axios@0.30.3।

नकली निर्भरता को दूर करना, –ignore-scripts फ़्लैग के साथ क्लीन इंस्टाल करना और एनपीएम टोकन, एसएसएच कुंजी, क्लाउड सर्विस एक्सेस और पर्यावरण चर सहित सभी संवेदनशील क्रेडेंशियल्स को घुमाना आवश्यक है। निरंतर एकीकरण पाइपलाइनों में, पोस्ट-इंस्टॉलेशन स्क्रिप्ट को अनदेखा करने वाले पैरामीटर को स्थायी रूप से अपनाने से अवांछित स्वचालित निष्पादन को रोकने में मदद मिलती है।

Leia Tambem

Alunos aguardam resultado LSS USS 2026 em Kerala; site oficial apresenta instabilidade para consulta

AP SSC 2026: Taxa de aprovação sobe para 85,25%; garotas mantêm desempenho superior

Loteria Karunya KR-751 em Kerala divulga vencedores e regras para resgatar prêmio de 1 crore de rúpias

जावास्क्रिप्ट विकास पारिस्थितिकी तंत्र पर प्रभाव

Axios Node.js पारिस्थितिकी तंत्र और फ्रंट-एंड अनुप्रयोगों में सबसे अधिक उपयोग की जाने वाली लाइब्रेरी में से एक है, जो कई कॉर्पोरेट और ओपन सोर्स परियोजनाओं की प्रत्यक्ष या अप्रत्यक्ष निर्भरता है। यह हमला अत्यधिक लोकप्रिय पैकेजों में व्यक्तिगत अनुरक्षक खातों की अंतर्निहित भेद्यता को उजागर करता है, तब भी जब कोर कोड बरकरार रहता है।

सुरक्षा विशेषज्ञों का कहना है कि इस्तेमाल की गई विधि दुर्भावनापूर्ण पेलोड को इंजेक्ट करने से पहले एक स्वच्छ संस्करण में झूठी निर्भरता की पूर्व तैयारी के साथ, परिचालन परिष्कार को प्रदर्शित करती है। इस रणनीति ने प्रारंभिक स्वचालित पहचान को जटिल बना दिया और जिस छोटी अवधि में संस्करण उपलब्ध थे, उसके दौरान जोखिम बढ़ गया।

प्रभावित वातावरण की जांच और सफाई के लिए दिशानिर्देश

दुर्भावनापूर्ण संस्करण डाउनलोड किए गए थे या नहीं इसकी पहचान करने के लिए विकास टीमों को इंस्टॉलेशन लॉग और पैकेज इतिहास का ऑडिट करने की आवश्यकता है। नोड_मॉड्यूल में प्लेन-क्रिप्टो-जेएस फ़ोल्डर की उपस्थिति एक मजबूत संकेतक के रूप में कार्य करती है कि ड्रॉपर निष्पादित किया गया था, बाद में फ़ाइल हटाने की परवाह किए बिना।

सफाई के बाद, खतरे का पता लगाने वाले उपकरणों के साथ सिस्टम को पूरी तरह से स्कैन करने और नियंत्रण सर्वर से जुड़े पते पर नेटवर्क कनेक्शन की निगरानी करने की सिफारिश की जाती है। निजी रिपॉजिटरी में सुरक्षा नीतियों को तुरंत अपडेट करने से अन्य पैकेजों में समान जोखिमों को कम करने में भी मदद मिलती है।

पैकेट लॉग पर भविष्य के हमलों को रोकना

यह घटना प्रकाशन खातों पर सख्त बहु-कारक प्रमाणीकरण, पैकेज मेटाडेटा में परिवर्तनों की निरंतर निगरानी और अधिक मजबूत अखंडता जांच को अपनाने जैसे उपायों के महत्व को पुष्ट करती है। उच्च स्वीकार्यता वाले ओपन सोर्स प्रोजेक्ट नई रिलीज़ से पहले अतिरिक्त समीक्षा प्रक्रियाओं पर विचार कर सकते हैं।

व्यक्तिगत डेवलपर्स और कंपनियों को प्रोजेक्ट कॉन्फ़िगरेशन फ़ाइलों में ज्ञात सुरक्षित संस्करणों को पिन करने को प्राथमिकता देनी चाहिए, पूर्व सत्यापन के बिना अपडेट की स्वचालित स्थापना से बचना चाहिए। ये प्रथाएँ सॉफ़्टवेयर आपूर्ति श्रृंखलाओं में हमले की सतह को सीमित करने में मदद करती हैं।

सुरक्षा समुदाय संभावित पीड़ितों की पहचान करने और पता लगाने वाले उपकरणों को परिष्कृत करने के लिए मामले की निगरानी करना जारी रखता है। आज तक, बड़े पैमाने पर शोषण की कोई सार्वजनिक रिपोर्ट नहीं है, लेकिन सर्वसम्मति से सिफारिश की गई है कि प्रभावित संस्करणों की किसी भी स्थापना को शामिल सिस्टम के पूर्ण समझौते के रूप में माना जाए।