36 दुर्भावनापूर्ण npm Strapi पैकेज क्रिप्टो प्लेटफॉर्म को निशाना बना रहे हैं, React2Shell ने 24 घंटे में 766 होस्ट से क्रेडेंशियल चुराए, उत्तर कोरिया ने सोशल इंजीनियरिंग से Axios को हाईजैक किया
npm इकोसिस्टम तिहरे हमले का शिकार है: 36 नकली Strapi प्लगइन Redis और PostgreSQL का शोषण करके क्रिप्टोकरेंसी प्लेटफॉर्म पर स्थायी इम्प्लांट तैनात कर रहे हैं। स्वचालित React2Shell अभियान 24 घंटे में 766 होस्ट से क्रेडेंशियल चुरा रहे हैं। उत्तर कोरियाई हैकर्स ने नकली Microsoft Teams त्रुटि के माध्यम से Axios मेंटेनर को हेरफेर किया। इसके साथ ही, TrueConf ज़ीरो-डे एशियाई सरकारों को निशाना बना रहा है और Apple ने DarkSword एक्सप्लॉइट सुरक्षा का विस्तार किया है।
📦 36 दुर्भावनापूर्ण npm Strapi पैकेज क्रिप्टो प्लेटफॉर्म पर स्थायी इम्प्लांट तैनात कर रहे हैं
🔴 गंभीर — डेटाबेस शोषण और क्रेडेंशियल चोरी के साथ सप्लाई चेन हमला
SafeDep ने 36 दुर्भावनापूर्ण npm पैकेज की पहचान की है जो Strapi CMS प्लगइन के रूप में प्रच्छन्न हैं और Redis तथा PostgreSQL डेटाबेस का शोषण करते हैं, रिवर्स शेल तैनात करते हैं, और क्रिप्टोकरेंसी सीक्रेट चुराते हैं। साक्ष्य एक विशिष्ट क्रिप्टो प्लेटफॉर्म के खिलाफ लक्षित हमले की ओर इशारा करते हैं।
SafeDep ने npm रजिस्ट्री में 36 दुर्भावनापूर्ण पैकेज खोजे हैं, जो सभी वैध Strapi v3 कम्युनिटी प्लगइन के रूप में प्रच्छन्न हैं। ये पैकेज strapi-plugin- से शुरू होने वाली नामकरण परंपरा का पालन करते हैं — जबकि आधिकारिक Strapi प्लगइन स्कोप्ड @strapi/ नेमस्पेस का उपयोग करते हैं।
हमला कैसे काम करता है
- Postinstall हुक निष्पादन — दुर्भावनापूर्ण कोड
npm installपर बिना किसी उपयोगकर्ता इंटरैक्शन के स्वचालित रूप से चलता है - CI/CD में Root एक्सेस — इंस्टॉल करने वाले उपयोगकर्ता के विशेषाधिकारों के साथ चलता है, Docker कंटेनरों और पाइपलाइनों में अक्सर Root होता है
- आठ विकसित होते पेलोड — हमलावर ने 13 घंटों में उत्तरोत्तर परिष्कृत दृष्टिकोण अपनाए
पेलोड का विकास
यह अभियान आक्रामक शोषण से लक्षित स्थायित्व की ओर स्पष्ट प्रगति दिखाता है:
- चरण 1: Crontab इंजेक्शन के माध्यम से Redis RCE — हर मिनट शेल स्क्रिप्ट डाउनलोड और निष्पादित करता है, PHP वेब शेल और Node.js रिवर्स शेल तैनात करता है
- चरण 2: Redis शोषण के साथ Docker कंटेनर एस्केप — कंटेनर के बाहर होस्ट सिस्टम पर पेलोड लिखता है
- चरण 3: पर्यावरण चर स्कैनिंग और PostgreSQL क्रेडेंशियल हार्वेस्टिंग
- चरण 4: विस्तारित टोही — Strapi कॉन्फिग निष्कर्षण, Redis डेटाबेस डंप, नेटवर्क टोपोलॉजी मैपिंग, Docker/Kubernetes सीक्रेट हार्वेस्टिंग
- चरण 5: हार्डकोडेड क्रेडेंशियल का उपयोग करके सीधा PostgreSQL शोषण — क्रिप्टो-संबंधित पैटर्न (wallet, transaction, deposit, withdraw, hot, cold, balance) के लिए Strapi टेबल की क्वेरी
- चरण 6: विशिष्ट होस्टनाम (
prod-strapi) को लक्षित करते हुए स्थायी इम्प्लांट और क्रेडेंशियल चोरी
हार्डकोडेड डेटाबेस क्रेडेंशियल का उपयोग और होस्टनाम लक्ष्यीकरण दृढ़ता से संकेत करता है कि हमलावर को पहले से लक्ष्य वातावरण तक पहुँच थी — संभवतः पूर्व समझौते के माध्यम से। चार कठपुतली npm खातों ने एक ही 13-घंटे की विंडो में सभी 36 पैकेज अपलोड किए।
कार्रवाई: सभी Strapi प्लगइन निर्भरताओं का ऑडिट करें। केवल स्कोप्ड @strapi/ पैकेज का उपयोग करें। यदि सूचीबद्ध 36 पैकेजों में से कोई भी इंस्टॉल है, तो सिस्टम को पूरी तरह से समझौता किया गया मानें — सभी क्रेडेंशियल, डेटाबेस एक्सेस टोकन और क्रिप्टोकरेंसी वॉलेट कुंजियों को तुरंत रोटेट करें।
🌐 स्वचालित React2Shell अभियान 24 घंटे में 766 होस्ट से क्रेडेंशियल चुराता है
🔴 गंभीर — CVE-2025-55182 का व्यापक शोषण और स्वचालित सीक्रेट चोरी
Cisco Talos ने खतरा क्लस्टर UAT-10608 का दस्तावेजीकरण किया है जो कमजोर Next.js अनुप्रयोगों में React2Shell का शोषण करके 766 होस्ट को समझौता करने वाला एक स्वचालित क्रेडेंशियल हार्वेस्टिंग फ्रेमवर्क संचालित करता है।
Cisco Talos ने UAT-10608 का विस्तृत विश्लेषण प्रकाशित किया है, जो Next.js अनुप्रयोगों में React2Shell भेद्यता (CVE-2025-55182) के माध्यम से औद्योगिक पैमाने पर क्रेडेंशियल हार्वेस्टिंग संचालित करने वाला खतरा क्लस्टर है।
NEXUS Listener फ्रेमवर्क
शोधकर्ताओं ने हमलावर के NEXUS Listener कमांड-एंड-कंट्रोल प्लेटफॉर्म के एक उजागर इंस्टेंस तक पहुँच प्राप्त की, जिससे संचालन का पूर्ण दायरा सामने आया:
- 24 घंटों के भीतर 766 होस्ट समझौता — कई क्लाउड प्रदाताओं और भौगोलिक क्षेत्रों में
- बहु-चरणीय क्रेडेंशियल हार्वेस्टिंग — शोषण के बाद तैनात स्वचालित स्क्रिप्ट निकालती हैं:
- पर्यावरण चर, API कुंजियाँ, डेटाबेस क्रेडेंशियल
- SSH निजी कुंजियाँ
- AWS/GCP/Azure क्लाउड क्रेडेंशियल और IAM टोकन
- Kubernetes टोकन और Docker सीक्रेट
- GitHub/GitLab टोकन, Stripe API कुंजियाँ
- शेल कमांड इतिहास और प्रोसेस रनटाइम डेटा
- खंडित डेटा चोरी — पोर्ट 8080 पर HTTP के माध्यम से डेटा भेजा जाता है, खोज, फिल्टरिंग और सांख्यिकी प्रदान करने वाले वेब GUI के साथ
चुराए गए क्रेडेंशियल क्लाउड खाता अधिग्रहण, सप्लाई चेन हमले, SSH कुंजियों के माध्यम से पार्श्व गतिविधि, और डेटाबेस एक्सेस (भुगतान प्रणालियों सहित) को सक्षम बनाते हैं। प्रभावित संगठनों को गोपनीयता कानून उल्लंघन से नियामक जोखिम का भी सामना करना पड़ता है।
कार्रवाई: CVE-2025-55182 के लिए Next.js को तुरंत पैच करें। सर्वर-साइड डेटा एक्सपोज़र का ऑडिट करें। समझौते की आशंका होने पर सभी क्रेडेंशियल रोटेट करें। AWS IMDSv2 लागू करें, पुन: उपयोग की गई SSH कुंजियाँ बदलें, सीक्रेट स्कैनिंग सक्षम करें, और Next.js अनुप्रयोगों के लिए WAF/RASP सुरक्षा तैनात करें।
🇰🇵 उत्तर कोरियाई हैकर्स ने सोशल इंजीनियरिंग से Axios npm पैकेज हाईजैक किया
🟠 उच्च — मेंटेनर की सोशल इंजीनियरिंग के माध्यम से सप्लाई चेन हमला
उत्तर कोरियाई खतरा समूह UNC1069 ने नकली Microsoft Teams त्रुटि के माध्यम से प्रमुख मेंटेनर को हेरफेर करके Axios npm पैकेज को समझौता किया, macOS, Windows और Linux सिस्टम पर RAT वितरित किया।
JavaScript इकोसिस्टम में सबसे लोकप्रिय HTTP क्लाइंट लाइब्रेरी में से एक Axios के मेंटेनर्स ने एक विस्तृत पोस्ट-मॉर्टम प्रकाशित किया है जो उजागर करता है कि उत्तर कोरियाई हैकर्स ने उनके प्रोजेक्ट में कैसे घुसपैठ की।
सोशल इंजीनियरिंग श्रृंखला
- नकली कंपनी प्रतिरूपण — हमलावरों ने एक वैध कंपनी की ब्रांडिंग क्लोन की (संस्थापकों की तस्वीरों सहित) और नकली कर्मचारी प्रोफाइल और अन्य OSS मेंटेनर्स के साथ एक विश्वसनीय Slack वर्कस्पेस बनाया
- Microsoft Teams मीटिंग — प्रमुख मेंटेनर को एक निर्धारित कॉल के लिए आमंत्रित किया गया जिसमें कई प्रतिभागी प्रतीत हो रहे थे
- नकली Teams त्रुटि — कॉल के दौरान, एक तकनीकी त्रुटि ने मेंटेनर को "अपडेट" इंस्टॉल करने के लिए प्रेरित किया — वास्तव में एक RAT (WAVESHAPER.V2)
- क्रेडेंशियल चोरी — RAT ने हमलावरों को मेंटेनर के डिवाइस तक रिमोट एक्सेस दिया, जिससे npm क्रेडेंशियल प्राप्त हुए
- दुर्भावनापूर्ण संस्करण प्रकाशित — Axios संस्करण 1.14.1 और 0.30.4 एक क्रॉस-प्लेटफॉर्म RAT वाली निर्भरता (
plain-crypto-js) के साथ प्रकाशित किए गए
Google Threat Intelligence Group ने इस हमले का श्रेय UNC1069 को दिया है, जो 2018 से सक्रिय एक आर्थिक रूप से प्रेरित उत्तर कोरियाई खतरा अभिनेता है। दुर्भावनापूर्ण संस्करण हटाए जाने से पहले लगभग तीन घंटे तक लाइव थे।
कार्रवाई: सभी प्रोजेक्ट में Axios संस्करण 1.14.1 या 0.30.4 की जाँच करें। यदि एक्सपोज़र विंडो के दौरान इंस्टॉल किया गया था, तो सिस्टम को समझौता किया गया मानें। सभी क्रेडेंशियल और प्रमाणीकरण कुंजियाँ रोटेट करें। OSS मेंटेनर्स को सोशल इंजीनियरिंग के प्रति सतर्क रहना चाहिए — सभी सॉफ्टवेयर अपडेट केवल आधिकारिक चैनलों के माध्यम से सत्यापित करें।
🎥 एशियाई सरकारों पर हमलों में TrueConf ज़ीरो-डे का शोषण
🟠 उच्च — चीनी खतरा अभिनेता वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म का शोषण करता है
एक चीन-संबद्ध खतरा अभिनेता TrueConf वीडियो कॉन्फ्रेंसिंग सॉफ्टवेयर में ज़ीरो-डे भेद्यता का शोषण करके एशियाई सरकारी लक्ष्यों के खिलाफ टोही, विशेषाधिकार वृद्धि और अतिरिक्त पेलोड तैनाती कर रहा है।
SecurityWeek की रिपोर्ट के अनुसार एक चीनी खतरा अभिनेता TrueConf वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म में पहले से अज्ञात भेद्यता का शोषण करके एशिया भर की सरकारी संगठनों को निशाना बना रहा है। हमले की श्रृंखला में शामिल हैं:
- ज़ीरो-डे के माध्यम से प्रारंभिक पहुँच — सरकारी नेटवर्क में पैर जमाने के लिए TrueConf का शोषण
- टोही — आंतरिक नेटवर्क अवसंरचना की मैपिंग और उच्च-मूल्य लक्ष्यों की पहचान
- विशेषाधिकार वृद्धि — प्रारंभिक पहुँच से प्रशासक-स्तर की अनुमतियों तक
- पेलोड तैनाती — स्थायी पहुँच और डेटा चोरी के लिए अतिरिक्त उपकरणों की स्थापना
यह राज्य-प्रायोजित अभिनेताओं द्वारा सहयोग और वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म को सरकारी नेटवर्क में प्रवेश बिंदु के रूप में निशाना बनाने की बढ़ती प्रवृत्ति का अनुसरण करता है। TrueConf का उपयोग करने वाली संगठनों को समझौते के संकेतकों की निगरानी करनी चाहिए और पैच उपलब्ध होते ही लागू करने चाहिए।
🍎 Apple ने DarkSword एक्सप्लॉइट सुरक्षा अधिक उपकरणों तक बढ़ाई
Apple अधिक उपकरणों के लिए DarkSword एक्सप्लॉइट किट के खिलाफ अतिरिक्त सुरक्षा तैनात कर रहा है। DarkSword किट, जो मार्च के अंत में GitHub पर लीक हुई, का उपयोग राज्य-प्रायोजित हैकर्स और वाणिज्यिक स्पाइवेयर विक्रेताओं दोनों द्वारा iPhone उपयोगकर्ताओं को निशाना बनाने के लिए किया गया है।
प्रमुख अपडेट:
- विस्तारित डिवाइस कवरेज — सुरक्षा अब पुराने iPhone और iPad मॉडलों तक पहुँचती है जो पहले अनपैच्ड थे
- कर्नेल-स्तर शमन — विशेषाधिकार वृद्धि को सक्षम करने वाले एक्सप्लॉइट चेन घटकों को संबोधित करता है
- लॉकडाउन मोड संवर्द्धन — लक्षित निगरानी के उच्च जोखिम वाले उपयोगकर्ताओं के लिए अतिरिक्त हार्डनिंग
उपयोगकर्ताओं को सभी Apple उपकरणों को तुरंत अपडेट करना चाहिए। लक्षित निगरानी के उच्च जोखिम वाले लोगों (पत्रकार, कार्यकर्ता, राजनयिक) को अधिकतम सुरक्षा के लिए लॉकडाउन मोड सक्षम करना चाहिए।
🏥 यूरोपीय आयोग ने Trivy सप्लाई चेन हमले से जुड़े 300GB+ डेटा उल्लंघन की पुष्टि की
यूरोपीय आयोग ने Trivy सप्लाई चेन हमले से जुड़े डेटा उल्लंघन की पुष्टि की है, जिसमें हैकर्स ने आयोग के AWS वातावरण से व्यक्तिगत जानकारी सहित 300GB से अधिक डेटा चुरा लिया।
यह हाल के महीनों में EU संस्थानों का दूसरा बड़ा उल्लंघन है, TeamPCP/CERT-EU घटना के बाद जिसने 30 यूनियन इकाइयों के डेटा को उजागर किया। यह उल्लंघन महत्वपूर्ण सरकारी अवसंरचना में सप्लाई चेन सुरक्षा और समझौता किए गए ओपन-सोर्स सुरक्षा उपकरणों के व्यापक प्रभाव पर गंभीर सवाल उठाता है।
📋 संक्षिप्त समाचार
- ChatGPT डेटा लीक: OpenAI उपयोगकर्ता वार्तालाप डेटा के उजागर होने की रिपोर्टों की जाँच कर रहा है — दायरा और प्रभाव अभी भी आकलन में है।
- Android रूटकिट: एक नया Android रूटकिट खोजा गया है जो OS स्तर से नीचे बना रहता है, जिससे मानक मोबाइल सुरक्षा उपकरणों से पता लगाना और हटाना अत्यंत कठिन हो जाता है।
- जल सुविधा पर रैंसमवेयर: एक अमेरिकी जल शोधन सुविधा रैंसमवेयर से प्रभावित हुई है, साइबर आपराधिक समूहों द्वारा महत्वपूर्ण अवसंरचना को लक्षित करने की प्रवृत्ति जारी है।
- T-Mobile इनसाइडर घटना: T-Mobile ने स्पष्ट किया कि उसका नवीनतम डेटा उल्लंघन दाखिला सीमित प्रभाव वाले इनसाइडर खतरे से संबंधित था — बाहरी हैक नहीं जैसा कि शुरू में अनुमान लगाया गया था।
- उत्तर कोरिया ने Drift से $285M निकाले: उत्तर कोरियाई हैकर्स ने DeFi प्लेटफॉर्म Drift से 10 सेकंड में 285 मिलियन डॉलर निकाले — डकैती से पहले बुनियादी ढाँचे और कई Nonce-आधारित लेनदेन तैयार किए।
- Nacogdoches Memorial Hospital: जनवरी 2026 के उल्लंघन से 250,000 मरीज प्रभावित हुए जिसमें खतरा अभिनेताओं ने अस्पताल के आंतरिक नेटवर्क तक पहुँच प्राप्त की और व्यक्तिगत तथा स्वास्थ्य जानकारी चुराई।
🛡️ अनुशंसित कार्रवाइयाँ
- npm सप्लाई चेन सुरक्षा: 36 दुर्भावनापूर्ण Strapi पैकेजों के लिए सभी निर्भरताओं का ऑडिट करें। केवल स्कोप्ड पैकेज (
@strapi/) का उपयोग करें। CI/CD पाइपलाइनों में npm audit लागू करें। लॉकफाइल और पैकेज उद्गम सत्यापन पर विचार करें। - Next.js संचालक: CVE-2025-55182 (React2Shell) को तुरंत पैच करें। शोषण प्रयासों को रोकने के लिए WAF नियम तैनात करें। अनपैच्ड Next.js इंस्टेंस चलाने पर सभी पर्यावरण सीक्रेट रोटेट करें।
- OSS मेंटेनर्स: सभी पैकेज रजिस्ट्री खातों पर हार्डवेयर-आधारित 2FA सक्षम करें। सभी सॉफ्टवेयर अपडेट केवल आधिकारिक चैनलों से सत्यापित करें। अज्ञात कंपनियों से अनचाहे मीटिंग आमंत्रणों से अत्यंत सावधान रहें — विशेषकर जो "त्रुटि सुधार" इंस्टॉलेशन शामिल करते हैं।
- वीडियो कॉन्फ्रेंसिंग: TrueConf का उपयोग करने वाले संगठनों को नवीनतम पैच लागू करने और IOC की निगरानी करनी चाहिए। सहयोग उपकरणों से पार्श्व गतिविधि को सीमित करने के लिए नेटवर्क विभाजन पर विचार करें।
- Apple उपयोगकर्ता: सभी उपकरणों को तुरंत अपडेट करें। लक्षित निगरानी के उच्च जोखिम पर लॉकडाउन मोड सक्षम करें।
- क्रिप्टोकरेंसी संचालन: सभी Strapi-आधारित अवसंरचना का ऑडिट करें। डेटाबेस क्रेडेंशियल, API कुंजियाँ और वॉलेट कुंजियाँ रोटेट करें। Redis और PostgreSQL लॉग में अनधिकृत एक्सेस पैटर्न की निगरानी करें।