NPM वरील Axios वितरणावरील हल्ल्यामुळे पॅकेजेसची तडजोड होते आणि मोठ्या विकास परिसंस्थेवर परिणाम होतो

31 मार्च 2026 रोजी सायबर हल्ल्यात Axios मेंटेनरचे npm खाते लक्ष्य केले गेले, परिणामी लोकप्रिय npm पॅकेजच्या (v1.14.1 आणि v0.30.4) दोन दुर्भावनापूर्ण आवृत्त्या प्रकाशित झाल्या. या घटनेने `प्लेन-क्रिप्टो-जेएस`, एक नवीन ट्रोजनाइज्ड पॅकेज, सॉफ्टवेअर पुरवठा शृंखलामध्ये एक महत्त्वपूर्ण असुरक्षा निर्माण करून अवलंबित्वाचा परिचय दिला.

तडजोड केलेल्या आवृत्त्या काही तासांतच काढून टाकल्या गेल्या असल्या तरी, Axios चा व्यापक वापर – अंदाजे 80% क्लाउड आणि कोड वातावरणात उपस्थित आहे, आणि अंदाजे 100 दशलक्ष साप्ताहिक डाउनलोडसह – जलद एक्सपोजरची सोय झाली आहे. धोक्याचा पूर्णपणे अंतर्भाव होण्यापूर्वी मालवेअर 3% प्रभावित वातावरणात कार्यान्वित होताना आढळून आले.

जगभरातील संस्थांना GHSA-fw8c-xr5c-95f9 आणि MAL-2026-2306 या आयडी द्वारे ट्रॅक केलेल्या या तडजोड केलेल्या आवृत्त्यांची कोणतीही संभाव्य अंमलबजावणी ओळखण्यासाठी त्यांच्या सिस्टमचे कठोर ऑडिट करण्याचा आणि जोखीम कमी करण्यासाठी त्वरित सुधारात्मक कारवाई करण्याचा सल्ला दिला जातो.

उल्लंघन तपशील आणि दुर्भावनायुक्त पॅकेजेस

Axios च्या फसव्या आवृत्त्यांना `plain-crypto-js` वर थेट अवलंबित्व समाविष्ट करून कायदेशीर आवृत्त्यांपेक्षा वेगळे केले गेले, विशेषत: दुर्भावनापूर्ण हेतूने तयार केलेले पॅकेज. ही तडजोड केलेली संपादने थेट एनपीएम रेजिस्ट्रीमध्ये एका मेंटेनरच्या खात्याद्वारे सादर केली गेली होती ज्याचा भंग झाला होता आणि नंतर दोष त्वरीत शोधल्यानंतर काढला गेला.

एक्सपोजरच्या तुलनेने लहान विंडो असतानाही, विकास समुदायामध्ये Axios च्या उच्च प्रसारामुळे मोठ्या प्रमाणात प्रसार झाला आहे, ज्यामुळे विविध वातावरणात दुर्भावनापूर्ण कोडच्या मोजण्यायोग्य अंमलबजावणीचा परिणाम झाला आहे. ही परिस्थिती जलद प्रतिबंधात्मक प्रतिसादांसह देखील पुरवठा साखळी हल्ले ज्या वेगाने पसरू शकतात ते अधोरेखित करते.

संसर्ग यंत्रणा आणि मालवेअरचे प्रकार

दुर्भावनापूर्ण पॅकेजमध्ये एक ड्रॉपर आहे, जो `setup.js` म्हणून ओळखला जातो, ज्यामध्ये सर्व्हर `sfrclak.com:8000` वरून प्लॅटफॉर्म-विशिष्ट द्वितीय-फेज पेलोड डाउनलोड करणे आणि कार्यान्वित करण्याचे कार्य आहे. अंमलात आणल्यानंतर, ड्रॉपर स्वत: ची साफसफाई करतो, स्वतःला काढून टाकतो आणि स्वच्छ `package.json` फाईल पुनर्संचयित करतो, जेणेकरून शोध घेणे अधिक कठीण होईल. दुय्यम पेलोड लाइटवेट रिमोट ऍक्सेस ट्रोजन (RATs) म्हणून कार्य करतात, कमांड आणि कंट्रोल सर्व्हर (C2) शी दर 60 सेकंदांनी संप्रेषण करतात, सिस्टम इन्व्हेंटरी प्रसारित करतात आणि सूचनांची प्रतीक्षा करतात. जरी तिन्ही रूपे समान कार्यक्षमतेची अंमलबजावणी करतात – रिमोट शेल एक्झिक्युशन, बायनरी इंजेक्शन, निर्देशिका ब्राउझिंग, प्रक्रिया सूची आणि सिस्टम जागरूकता – ते प्रत्येक ऑपरेटिंग सिस्टमसाठी त्यांच्या अंमलबजावणीमध्ये भिन्न असतात. macOS वर, पेलोड हा C++ मध्ये संकलित केलेला सार्वत्रिक Mach-O बायनरी आहे, जो कोडसाईनद्वारे इंजेक्ट केलेल्या पेलोडवर स्वाक्षरी करण्यास सक्षम आहे. Windows वर, पेलोड ही पॉवरशेल स्क्रिप्ट आहे जी रन (MicrosoftUpdate) रेजिस्ट्री की आणि बॅच फाइल पुन्हा डाउनलोड करून टिकून राहते. लिनक्सवर, पेलोड पायथन स्क्रिप्ट म्हणून वितरित केले जाते, जे वेगवेगळ्या प्लॅटफॉर्मला लक्ष्य करण्यासाठी आक्रमणकर्त्यांच्या अष्टपैलुत्वाचे प्रदर्शन करते.

सुरक्षा दलांसाठी तातडीने कारवाई

घटनेची तीव्रता लक्षात घेता, सुरक्षा पथकांनी तत्काळ कारवाईच्या मालिकेला प्राधान्य दिले पाहिजे. प्रभावित आवृत्त्या (1.14.1 किंवा 0.30.4) विकास किंवा उत्पादन वातावरणात कुठेही डाउनलोड केल्या गेल्या आहेत किंवा चालवल्या गेल्या आहेत हे ओळखण्यासाठी तुमच्या Axios वापराचे ऑडिट करणे महत्त्वाचे आहे.

दुर्भावनायुक्त पॅकेजेसच्या अंमलबजावणीचे कोणतेही संकेत असल्यास, क्रेडेन्शियल्समध्ये तडजोड केली गेली आहे असा आधार असावा. एन्व्हायर्नमेंट व्हेरिएबल्स, API की आणि ऍक्सेस टोकन्स सारख्या सिक्रेट्ससाठी प्रभावित सिस्टम स्कॅन करण्याची आणि ही क्रेडेन्शियल फिरवण्याची शिफारस केली जाते.

याव्यतिरिक्त, तडजोडीच्या संभाव्य मार्गांची तपासणी करणे अत्यावश्यक आहे. कार्यसंघांनी अनधिकृत प्रवेश किंवा टिकून राहण्याच्या कोणत्याही लक्षणांसाठी बिल्ड पाइपलाइन आणि विकसक मशीनचे पुनरावलोकन केले पाहिजे, कारण मालवेअरने इंस्टॉलेशन दरम्यान प्रसार केला असेल आणि अपस्ट्रीम पुरवठा साखळीशी तडजोड केली असेल.

`sfrclak.com:8000` च्या आउटबाउंड कनेक्शनसह, संशयास्पद क्रियाकलापांच्या देखरेखीसह, सतत दक्षता आवश्यक आहे. बीकनिंग वर्तन, विसंगत HTTP POST विनंत्या किंवा पॅकेज इंस्टॉलेशनशी संबंधित अनपेक्षित प्रक्रिया अंमलबजावणीसाठी लॉगचे विश्लेषण करणे देखील महत्त्वाचे आहे.

तडजोडीचे की आयडेंटिफायर्स (IOCs)

दुर्भावनायुक्त कलाकृतींची अचूक ओळख घटना कमी करण्यासाठी आणि प्रतिसादासाठी महत्त्वपूर्ण आहे. एक्सपोजर आणि संक्रमण शोधण्यात संस्थांना मदत करण्यासाठी तडजोडीचे अनेक संकेतक कॅटलॉग केले गेले आहेत.

Leia Tambem

संशोधनातून असे दिसून आले आहे की पालकांना त्यांची मुले कृत्रिम बुद्धिमत्ता कशी वापरतात याबद्दल माहिती नसते

Zach Cregger चे नवीन Resident Evil गेमकडे दुर्लक्ष करते आणि नवीन पात्रांसह अभूतपूर्व कथेवर लक्ष केंद्रित करते

अफवा सुचविते की निन्टेन्डो स्विच 2 ची विशेष आवृत्ती ओकारिना ऑफ टाइमच्या रीमेकसह तयार करत आहे

पहिल्या टप्प्यात तडजोड केलेल्या पॅकेजेसमध्ये, `axios-0.30.4.tgz` (SHA256: 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80xiot`s41-s. बाहेर (SHA256: 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd), दोन्ही npm पॅकेजेसद्वारे हल्ल्याच्या सुरुवातीच्या टप्प्याचे प्रतिनिधित्व करतात.

स्टेज 1.5 दुर्भावनापूर्ण पॅकेज, ट्रोजनीकृत `plain-crypto-js-4.2.1.tgz`, मध्ये SHA256 हॅश आहे: 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c25763. हा घटक गंभीर आहे कारण हे अवलंबित्व होते ज्याने सिस्टीममध्ये घातक कोड आणला.

दुसऱ्या टप्प्यातील पेलोड देखील ओळखले गेले: macOS साठी, Mach-O बायनरी `com.apple.act.mond` (SHA256: 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c946); Windows साठी, PowerShell स्क्रिप्ट `stage2.ps1` (SHA256: 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101); आणि Linux साठी, Python स्क्रिप्ट `ld.py` (SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf).

इतर महत्त्वाच्या IOC मध्ये हे समाविष्ट आहे:

पुरवठा साखळीतील हल्ल्यांना प्रतिसाद आणि प्रतिबंध

Axios च्या दुर्भावनापूर्ण आवृत्त्या जलद शोधणे आणि काढून टाकणे, हे महत्त्वाचे असले तरी, सॉफ्टवेअर पुरवठा साखळींच्या लवचिकतेच्या सखोल विश्लेषणाची आवश्यकता दूर करत नाही. यासारख्या घटना सक्रिय सुरक्षा धोरणांचे महत्त्व अधिक मजबूत करतात, जे आधीच पूर्ण झालेल्या हल्ल्यांच्या प्रतिक्रियेच्या पलीकडे जातात. डेव्हलपर आणि संस्थांनी प्रत्येक घटकाची अखंडता सुनिश्चित करून, प्रारंभिक कोडिंगपासून अंतिम वितरणापर्यंत, त्यांचे कार्यप्रवाह सुरक्षित करण्यासाठी मजबूत उपायांची अंमलबजावणी करणे आवश्यक आहे.

पुरवठा साखळी सुरक्षा सर्व विकासक आणि पॅकेज मेंटेनर खात्यांसाठी मजबूत मल्टी-फॅक्टर ऑथेंटिकेशन (MFA) स्वीकारणे, कठोर कोड पुनरावलोकने आणि स्वयंचलित अवलंबन स्कॅनिंग साधनांचा वापर यासह बहुआयामी दृष्टिकोनावर अवलंबून असते. भविष्यातील तडजोडीच्या प्रयत्नांविरुद्ध अधिक प्रभावी अडथळा निर्माण करून, दुर्भावनापूर्ण अभिनेत्यांकडून शोषण करण्याआधी या पद्धती असुरक्षा ओळखण्यात आणि कमी करण्यात मदत करतात.

पॅकेज व्यवस्थापकांमध्ये सुरक्षिततेची उत्क्रांती

NPM सारख्या पॅकेज मॅनेजर्ससाठी धोक्याचा लँडस्केप सतत विकसित होत आहे, प्लॅटफॉर्म आणि विकसक समुदायाने सतत जुळवून घेणे आवश्यक आहे. अलिकडच्या वर्षांत पुरवठा शृंखला सुरक्षेची जागरूकता नाटकीयरित्या वाढली आहे, ज्यामुळे धोरणे आणि शोध साधनांमध्ये सुधारणा होत आहेत.

संरक्षण बळकट करण्यासाठी देखभाल करणारे, सुरक्षा कंपन्या आणि NPM प्लॅटफॉर्म यांच्यातील सहयोगात्मक प्रयत्न आवश्यक आहेत. यामध्ये नवीन पॅकेजेस आणि अपडेटसाठी अधिक कडक सुरक्षा तपासण्या लागू करणे तसेच ओपन सोर्स समुदायातील वापरकर्ते आणि योगदानकर्त्यांमध्ये सर्वोत्तम पद्धतींचा प्रसार करणे समाविष्ट आहे.

विकासकांसाठी चालू असलेले उपाय

सतत सुरक्षा सुनिश्चित करण्यासाठी, विकासकांनी सतर्क वर्तन राखले पाहिजे. यामध्ये नवीन पॅकेजेस प्रकल्पांमध्ये समाकलित करण्यापूर्वी त्यांची सत्यता आणि प्रतिष्ठा तपासणे आणि सु-स्थापित आणि सक्रियपणे देखरेख ठेवलेल्या अवलंबनांना प्राधान्य देणे समाविष्ट आहे.