अपडेट 31 मार्च, 2026, दोपहर 1:28 बजे UTC: इस लेख को Hacken के सीनियर ऑफेंसिव सिक्योरिटी इंजीनियर अब्देलफत्ताह इब्राहिम की टिप्पणियां जोड़ने के लिए अपडेट किया गया है।
दो दुर्भावनापूर्ण Axios npm रिलीज़ ने डेवलपर्स को क्रेडेंशियल्स रोटेट करने और प्रभावित सिस्टम को समझौता किए गए मानने की चेतावनी दी है, जब एक सप्लाई चेन अटैक ने लोकप्रिय JavaScript HTTP क्लाइंट लाइब्रेरी को जहरीला बना दिया।
समझौता पहली बार साइबर सिक्योरिटी कंपनी Socket द्वारा रिपोर्ट किया गया था, जिसने कहा कि [email protected] और [email protected] को [email protected] को शामिल करने के लिए संशोधित किया गया था, एक दुर्भावनापूर्ण डिपेंडेंसी जो npm से रिलीज़ हटाए जाने से पहले इंस्टॉलेशन के दौरान स्वचालित रूप से चली।
सिक्योरिटी कंपनी OX Security के अनुसार, परिवर्तित कोड हमलावरों को संक्रमित डिवाइसेज तक रिमोट एक्सेस दे सकता है, जिससे वे लॉगिन क्रेडेंशियल्स, API keys और क्रिप्टो वॉलेट जानकारी जैसे संवेदनशील डेटा चुरा सकते हैं।
यह घटना दिखाती है कि कैसे एक समझौता किया गया ओपन-सोर्स कंपोनेंट संभावित रूप से हजारों एप्लिकेशन में फैल सकता है जो इस पर निर्भर करते हैं, न केवल डेवलपर्स बल्कि सिस्टम से जुड़े प्लेटफॉर्म और यूजर्स को भी उजागर करते हुए।
सिक्योरिटी कंपनियां key रोटेशन, सिस्टम ऑडिट की सलाह देती हैं
OX Security ने उन डेवलपर्स को चेतावनी दी जिन्होंने [email protected] या [email protected] इंस्टॉल किया था कि वे अपने सिस्टम को पूरी तरह से समझौता किए गए मानें और तुरंत क्रेडेंशियल्स रोटेट करें, जिसमें API keys और session tokens शामिल हैं।
Socket ने कहा कि समझौता किए गए Axios रिलीज़ को [email protected] पर एक डिपेंडेंसी शामिल करने के लिए संशोधित किया गया था, एक पैकेज जो घटना से कुछ समय पहले प्रकाशित हुआ था और बाद में दुर्भावनापूर्ण के रूप में पहचाना गया।
संबंधित: Trust Wallet ब्राउज़र एक्सटेंशन Chrome Store 'bug' द्वारा ऑफलाइन कर दिया गया, CEO कहते हैं
कंपनी ने कहा कि डिपेंडेंसी को एक पोस्ट-इंस्टॉल स्क्रिप्ट के माध्यम से इंस्टॉलेशन के दौरान स्वचालित रूप से चलने के लिए कॉन्फ़िगर किया गया था, जिससे हमलावरों को अतिरिक्त यूजर इंटरैक्शन के बिना टारगेट सिस्टम पर कोड निष्पादित करने की अनुमति मिली।
Socket ने डेवलपर्स को सलाह दी कि वे प्रभावित Axios संस्करणों और संबंधित [email protected] पैकेज के लिए अपने प्रोजेक्ट और डिपेंडेंसी फ़ाइलों की समीक्षा करें, और किसी भी समझौता किए गए संस्करण को तुरंत हटाएं या वापस रोल करें।
Hacken के सीनियर ऑफेंसिव सिक्योरिटी इंजीनियर अब्देलफत्ताह इब्राहिम ने Cointelegraph को बताया कि समझौता क्रिप्टो-संबंधित एप्लिकेशन के लिए गंभीर प्रभाव डाल सकता है जो बैकएंड ऑपरेशन के लिए Axios पर निर्भर करते हैं।
"यह dapps और apps के लिए बुरी खबर है जो क्रिप्टोकरेंसी से निपटते हैं क्योंकि Axios API calls में बहुत बड़ी भूमिका निभाता है," उन्होंने कहा, यह नोट करते हुए कि प्रभावित सिस्टम में एक्सचेंज इंटीग्रेशन, वॉलेट बैलेंस चेक और ट्रांजैक्शन ब्रॉडकास्ट शामिल हो सकते हैं।
इब्राहिम ने कहा कि हमले में तैनात मैलवेयर एक पूर्ण रिमोट एक्सेस ट्रोजन के रूप में कार्य करता है, जिससे हमलावरों को समझौता किए गए सिस्टम के साथ सीधे इंटरैक्ट करने की अनुमति मिलती है। उन्होंने कहा कि यह घटना सप्लाई चेन जोखिमों को कैसे संभाला जाता है, इसमें एक व्यापक कमजोरी को उजागर करती है।
पहले की क्रिप्टो घटनाएं सप्लाई चेन जोखिमों को उजागर करती हैं
पहले की क्रिप्टो घटनाओं ने दिखाया है कि कैसे सप्लाई चेन उल्लंघन चोरी की गई डेवलपर जानकारी से यूजर-फेसिंग वॉलेट नुकसान तक बढ़ सकते हैं।
3 जनवरी को, ऑनचेन इन्वेस्टिगेटर ZachXBT ने रिपोर्ट किया कि Ethereum Virtual Machine-संगत नेटवर्क में "सैकड़ों" वॉलेट एक व्यापक हमले में ड्रेन कर दिए गए थे जिसने प्रत्येक पीड़ित से छोटी मात्रा निकाली।
साइबर सिक्योरिटी शोधकर्ता Vladimir S. ने कहा कि यह घटना संभावित रूप से Trust Wallet को प्रभावित करने वाले दिसंबर के उल्लंघन से जुड़ी थी, जिसके परिणामस्वरूप 2,500 से अधिक वॉलेट में लगभग $7 मिलियन का नुकसान हुआ।
Trust Wallet ने बाद में कहा कि उल्लंघन इसके विकास वर्कफ़्लो में उपयोग किए गए npm पैकेजों से जुड़े सप्लाई चेन समझौते से उत्पन्न हो सकता है।
मैगज़ीन: कोई नहीं जानता कि क्वांटम सिक्योर क्रिप्टोग्राफी काम भी करेगी या नहीं
स्रोत: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
