剣 KENSAI
← All posts · security · 2026-03-18 · 7 min

GlassWorm ForceMemo ने 400+ Python रिपॉजिटरी हाईजैक कीं, EU ने चीन और ईरान पर प्रतिबंध लगाए, Apple का पहला बैकग्राउंड सुरक्षा अपडेट, LeakNet ने Deno रनटाइम अपनाया

एक विशाल सप्लाई चेन अटैक ने चोरी किए गए GitHub टोकन के माध्यम से सैकड़ों Python रिपॉजिटरी को कॉम्प्रोमाइज किया। EU ने चीनी और ईरानी साइबर खतरा अभिनेताओं पर प्रतिबंध लगाए। Apple ने अपना पहला साइलेंट बैकग्राउंड सुरक्षा पैच तैनात किया। LeakNet रैनसमवेयर ने ClickFix सोशल इंजीनियरिंग और Deno रनटाइम पेलोड के साथ विकास किया। इसके अलावा: एक फॉन्ट-रेंडरिंग ट्रिक जो AI सुरक्षा उपकरणों को अंधा कर देती है, Chrome जीरो-डे पैच किए गए, और यूक्रेन को लक्षित करने वाला एक रूसी बैकडोर।


1. GlassWorm ForceMemo: सप्लाई चेन अटैक ने 400+ Python रिपॉजिटरी को प्रभावित किया

⚠️ गंभीर — सक्रिय सप्लाई चेन कॉम्प्रोमाइज

चोरी किए गए GitHub टोकन का उपयोग वैध Python रिपॉजिटरी में दुर्भावनापूर्ण कोड को फोर्स-पुश करने के लिए किया जा रहा है। यदि आपका संगठन ओपन-सोर्स Python पैकेज का उपयोग करता है, तो सत्यापन होने तक मान लें कि आप प्रभावित हो सकते हैं।

GlassWorm ForceMemo अभियान 2026 के सबसे परिष्कृत सप्लाई चेन अटैक में से एक है। खतरा अभिनेताओं ने चोरी किए गए GitHub पर्सनल एक्सेस टोकन का लाभ उठाकर 400 से अधिक Python रिपॉजिटरी में ऑब्फस्केटेड मालवेयर इंजेक्ट किया है, जिसमें Django एप्लिकेशन, मशीन लर्निंग लाइब्रेरी और PyPI पर प्रकाशित पैकेज शामिल हैं।

हमले की कार्यप्रणाली विशेष रूप से कपटपूर्ण है। हमलावर git rebase और फोर्स-पुश ऑपरेशन का उपयोग करके setup.py, main.py और app.py फाइलों में दुर्भावनापूर्ण कोड जोड़ते हैं — जबकि मूल लेखक एट्रिब्यूशन और कमिट तिथियों को संरक्षित रखते हैं। इसका मतलब है कि मानक git log निरीक्षण अनधिकृत परिवर्तनों को प्रकट नहीं करेगा। पहले पुष्ट इंजेक्शन 8 मार्च, 2026 से हैं, जिससे हमलावरों को व्यापक पहचान से पहले 10 दिन की बढ़त मिली।

इस हमले को अलग क्या बनाता है

तत्काल कार्रवाई


2. EU ने क्रिटिकल इन्फ्रास्ट्रक्चर साइबर हमलों के लिए चीनी और ईरानी संस्थाओं पर प्रतिबंध लगाए

यूरोपीय संघ परिषद ने पूरे यूरोप में क्रिटिकल इन्फ्रास्ट्रक्चर को लक्षित साइबर हमलों से जुड़ी 3 संस्थाओं और 2 व्यक्तियों पर प्रतिबंध लगाए हैं। प्रतिबंधित पक्ष चीनी और ईरानी राज्य-प्रायोजित ऑपरेशनों से जुड़े हैं।

यह EU द्वारा अपने साइबर प्रतिबंध ढांचे के उपयोग में एक महत्वपूर्ण वृद्धि है, जो पहली बार 2019 में स्थापित किया गया था लेकिन शायद ही कभी लागू किया गया। लक्षित संस्थाओं पर कई EU सदस्य देशों में ऊर्जा ग्रिड, दूरसंचार नेटवर्क और सरकारी प्रणालियों के खिलाफ लगातार अभियान चलाने का आरोप है।

संगठनों के लिए इसका क्या मतलब है

NIS2 अनुपालन आवश्यकताओं के तहत संचालित कंपनियों के लिए, यह विकास इस वास्तविकता को मजबूत करता है कि राज्य-प्रायोजित खतरे काल्पनिक नहीं हैं। प्रतिबंध संकेत देते हैं कि EU खुफिया एजेंसियों के पास उच्च-विश्वास एट्रिब्यूशन है — जिसका अर्थ है कि अंतर्निहित हमले अभियान अच्छी तरह से प्रलेखित हैं और संभवतः जारी हैं।

क्रिटिकल इन्फ्रास्ट्रक्चर क्षेत्रों के संगठनों को अपने खतरा मॉडल की समीक्षा करनी चाहिए और यह सुनिश्चित करना चाहिए कि उनकी इंसीडेंट रिस्पॉन्स योजनाएं राष्ट्र-राज्य स्तर के विरोधियों को ध्यान में रखती हैं। NIS2 अनुच्छेद 21 विशेष रूप से "उचित और आनुपातिक तकनीकी, परिचालन और संगठनात्मक उपायों" की आवश्यकता रखता है — और आनुपातिक क्या है इसकी सीमा अभी बढ़ गई है।


3. Apple ने पहला बैकग्राउंड सुरक्षा सुधार अपडेट तैनात किया

Apple ने अपना पहला "बैकग्राउंड सुरक्षा सुधार" अपडेट जारी किया है, जो iPhones, iPads और Macs पर CVE-2026-20643 के रूप में ट्रैक की गई WebKit भेद्यता को चुपचाप पैच करता है — बिना पूर्ण OS अपग्रेड या डिवाइस रीस्टार्ट की आवश्यकता के।

यह Apple की सुरक्षा स्थिति के लिए एक ऐतिहासिक क्षण है। नया तंत्र Apple को सक्रिय रूप से शोषित भेद्यताओं के लिए सप्ताहों के बजाय घंटों में लक्षित सुधार तैनात करने की अनुमति देता है। पैच की जा रही WebKit दोष तैयार किए गए वेब कंटेंट के माध्यम से रिमोट कोड एक्जीक्यूशन की अनुमति दे सकती थी — एक क्लासिक ड्राइव-बाय अटैक वेक्टर।

यह क्यों महत्वपूर्ण है

सत्यापित करें कि आपके डिवाइस को "बैकग्राउंड सुरक्षा सुधार" प्रविष्टि के लिए सेटिंग्स → सामान्य → इस बारे में जांचकर अपडेट प्राप्त हुआ है।


4. LeakNet रैनसमवेयर का विकास: ClickFix सोशल इंजीनियरिंग + Deno रनटाइम

🔶 उच्च — नई रैनसमवेयर वितरण तकनीक

LeakNet पारंपरिक एंडपॉइंट डिटेक्शन को बायपास करने के लिए सोशल इंजीनियरिंग को एक अपरंपरागत रनटाइम के साथ जोड़ता है। केवल सिग्नेचर-आधारित AV पर निर्भर संगठनों को इसे उच्च प्राथमिकता मानना चाहिए।

LeakNet रैनसमवेयर गैंग ने अपने नवीनतम अभियानों में दो-आयामी नवाचार अपनाया है। प्रारंभिक पहुंच के लिए, वे ClickFix सोशल इंजीनियरिंग तैनात करते हैं — नकली ब्राउज़र त्रुटि पेज जो पीड़ितों को अपने टर्मिनल या रन डायलॉग में दुर्भावनापूर्ण कमांड पेस्ट करने का निर्देश देते हैं। एक बार अंदर आने पर, पेलोड Deno रनटाइम पर निर्मित एक मालवेयर लोडर है।

Deno क्यों?

Deno एक वैध JavaScript/TypeScript रनटाइम है जो Node.js के मूल लेखक द्वारा बनाया गया है। मालवेयर को Deno एप्लिकेशन के रूप में पैकेज करके, LeakNet कई फायदे प्राप्त करता है:

ClickFix तकनीक उन गैर-तकनीकी कर्मचारियों के खिलाफ विनाशकारी रूप से प्रभावी साबित होती रहती है जो ब्राउज़र चेतावनियों पर अंधा विश्वास करते हैं। सुरक्षा जागरूकता प्रशिक्षण को विशेष रूप से इस हमले के पैटर्न को संबोधित करना चाहिए।


5. फॉन्ट-रेंडरिंग ट्रिक AI सुरक्षा उपकरणों को चकमा देती है

सुरक्षा शोधकर्ताओं ने एक नवीन हमले का खुलासा किया है जो HTML में फॉन्ट-रेंडरिंग ट्रिक्स का उपयोग करके AI-संचालित सुरक्षा सहायकों से दुर्भावनापूर्ण कमांड छुपाता है। यह तकनीक AI मॉडल द्वारा रॉ HTML में "पढ़े" जाने और मनुष्यों द्वारा ब्राउज़र में रेंडर किए जाने के बीच के अंतर का शोषण करती है।

कस्टम वेब फॉन्ट्स का उपयोग करके जो कैरेक्टर ग्लिफ़ को रीमैप करते हैं, हमलावर दुर्भावनापूर्ण निर्देशों को AI मॉडल को सामान्य टेक्स्ट के रूप में दिखा सकते हैं जबकि मानव दर्शकों को पूरी तरह से अलग सामग्री प्रदर्शित करते हैं — या इसके विपरीत। इसका मतलब है कि AI-संचालित ईमेल स्कैनर, वेब कंटेंट एनालाइज़र और सुरक्षा कोपायलट को व्यवस्थित रूप से धोखा दिया जा सकता है।

तकनीकी विवरण

हमला कस्टम unicode-range मैपिंग के साथ CSS @font-face डिक्लेरेशन का उपयोग करता है। रॉ HTML सोर्स में सामान्य टेक्स्ट होता है, लेकिन रेंडर किया गया आउटपुट — फॉन्ट प्रतिस्थापन के बाद — छिपे हुए कमांड, फिशिंग कंटेंट या सोशल इंजीनियरिंग प्रॉम्प्ट प्रदर्शित करता है। DOM या रॉ टेक्स्ट को पार्स करने वाले AI उपकरण विजुअल पेलोड कभी नहीं देखते।

यह एक स्पष्ट अनुस्मारक है कि AI सुरक्षा उपकरण कोई जादू की छड़ी नहीं हैं। गहन रक्षा (डिफेंस-इन-डेप्थ) आवश्यक बनी हुई है, और संगठनों को कंटेंट विश्लेषण के लिए केवल AI-आधारित डिटेक्शन पर निर्भर नहीं रहना चाहिए।


6. 67% CISO की AI उपयोग में सीमित दृश्यता है

एक नई Pentera रिपोर्ट जिसमें 300 अमेरिकी CISO का सर्वेक्षण किया गया, एक चिंताजनक वास्तविकता प्रकट करती है: 67% सीमित दृश्यता रिपोर्ट करते हैं कि उनके संगठनों में AI उपकरण कैसे उपयोग किए जा रहे हैं, और किसी भी उत्तरदाता ने पूर्ण दृश्यता का दावा नहीं किया

AI अपनाना सुरक्षा गवर्नेंस को चिंताजनक गति से पीछे छोड़ रहा है। शैडो AI — कर्मचारियों द्वारा AI उपकरणों का अनधिकृत उपयोग — ऐसे अंधे बिंदु बना रहा है जिन्हें पारंपरिक सुरक्षा निगरानी पहचान नहीं सकती। ChatGPT से लेकर कंपनी डेटा पर चलने वाले कस्टम फाइन-ट्यून्ड मॉडल तक, अटैक सरफेस सुरक्षा टीमों की मैपिंग क्षमता से तेज़ी से विस्तार कर रही है।

प्रमुख निष्कर्ष

संगठनों को AI उपयोग नीतियां स्थापित करनी चाहिए, AI उपकरणों के आसपास डेटा लॉस प्रिवेंशन नियंत्रण लागू करने चाहिए और मूलभूत कदमों के रूप में एक AI एसेट इन्वेंट्री बनानी चाहिए।


7. DRILLAPP बैकडोर Edge ब्राउज़र के माध्यम से यूक्रेन को लक्षित करता है

🔶 उच्च — राज्य-प्रायोजित जासूसी उपकरण

रूस से जुड़े खतरा अभिनेता Microsoft Edge ब्राउज़र एक्सटेंशन के माध्यम से माइक्रोफोन और वेबकैम एक्सेस क्षमताओं वाला JavaScript बैकडोर तैनात कर रहे हैं।

रूस से जुड़े खतरा समूह Laundry Bear (UAC-0190) के लिए जिम्मेदार एक अभियान यूक्रेनी लक्ष्यों के खिलाफ DRILLAPP बैकडोर तैनात कर रहा है। हमला न्यायिक कार्यवाही और दान संगठनों की थीम वाले लुभावने दस्तावेजों का उपयोग करके पीड़ितों को एक दुर्भावनापूर्ण Microsoft Edge ब्राउज़र एक्सटेंशन इंस्टॉल करने के लिए छलता है।

एक बार इंस्टॉल होने पर, DRILLAPP चिंताजनक क्षमताओं वाले JavaScript-आधारित बैकडोर के रूप में काम करता है:

हालांकि वर्तमान में यूक्रेन को लक्षित कर रहा है, DRILLAPP द्वारा प्रदर्शित तकनीकें — विशेष रूप से ब्राउज़र एक्सटेंशन-आधारित जासूसी — एक ऐसा टेम्पलेट प्रस्तुत करती हैं जिसे अन्य खतरा अभिनेता अनिवार्य रूप से अपनाएंगे। संगठनों को ब्राउज़र एक्सटेंशन नीतियों का ऑडिट करना चाहिए और इंस्टॉलेशन को केवल स्वीकृत एक्सटेंशन तक सीमित करना चाहिए।


8. Google ने सक्रिय रूप से शोषित दो Chrome जीरो-डे पैच किए

⚠️ गंभीर — Chrome तुरंत अपडेट करें

दो जीरो-डे भेद्यताएं सक्रिय रूप से शोषित की जा रही हैं। सभी Chrome और Chromium-आधारित ब्राउज़र तुरंत पैच करें।

Google ने Chrome में दो सक्रिय रूप से शोषित भेद्यताओं के लिए आपातकालीन पैच जारी किए हैं:

CVE कंपोनेंट प्रकार गंभीरता
CVE-2026-3909 Skia (ग्राफिक्स इंजन) आउट-ऑफ-बाउंड्स राइट गंभीर
CVE-2026-3910 V8 (JavaScript इंजन) अनुचित कार्यान्वयन उच्च

Skia भेद्यता (CVE-2026-3909) विशेष रूप से खतरनाक है — ग्राफिक्स इंजन में आउट-ऑफ-बाउंड्स राइट बग तैयार किए गए चित्रों या वेब कंटेंट के माध्यम से रिमोट कोड एक्जीक्यूशन का कारण बन सकते हैं। V8 दोष (CVE-2026-3910) Chrome के JavaScript इंजन को प्रभावित करता है और अन्य भेद्यताओं के साथ चेन किए जाने पर सैंडबॉक्स एस्केप की अनुमति दे सकता है।

दोनों भेद्यताएं सभी Chromium-आधारित ब्राउज़र को प्रभावित करती हैं, जिनमें Microsoft Edge, Brave, Opera और Vivaldi शामिल हैं। अपने संगठन में सभी ब्राउज़र तुरंत अपडेट करें।


CVE सारांश तालिका

CVE उत्पाद गंभीरता स्थिति
CVE-2026-20643 Apple WebKit (iOS/iPadOS/macOS) उच्च पैच किया गया (बैकग्राउंड अपडेट)
CVE-2026-3909 Google Chrome (Skia) गंभीर पैच किया गया — अभी अपडेट करें
CVE-2026-3910 Google Chrome (V8) उच्च पैच किया गया — अभी अपडेट करें

KENSAI आपकी सुरक्षा कैसे करता है

🛡️ सप्लाई चेन रक्षा: KENSAI की डिपेंडेंसी स्कैनिंग और SBOM विश्लेषण आपकी Python, Node.js और कंटेनर डिपेंडेंसी में कॉम्प्रोमाइज्ड पैकेज का पता लगाती है — जिसमें GlassWorm ForceMemo द्वारा उपयोग किए गए ऑब्फस्केटेड पेलोड शामिल हैं।

🔍 भेद्यता पहचान: हमारी निरंतर स्कैनिंग आपके वेब एप्लिकेशन और इन्फ्रास्ट्रक्चर में CVE-2026-20643, CVE-2026-3909 और CVE-2026-3910 जैसे ज्ञात CVE की पहचान करती है, इससे पहले कि हमलावर उनका शोषण कर सकें।

🌐 वेब एप्लिकेशन सुरक्षा: KENSAI का DAST इंजन आज की ब्रीफिंग में हाइलाइट की गई फॉन्ट-रेंडरिंग इवेशन तकनीकों, ClickFix लैंडिंग पेजों और ब्राउज़र एक्सटेंशन अटैक वेक्टर का परीक्षण करता है।

📋 NIS2 अनुपालन: EU द्वारा साइबर प्रतिबंधों को बढ़ाने के साथ, निरंतर परीक्षण के माध्यम से सक्रिय सुरक्षा प्रदर्शित करना पहले से कहीं अधिक महत्वपूर्ण है। KENSAI निष्कर्षों को सीधे NIS2 अनुच्छेद 21 आवश्यकताओं से मैप करता है।


अनुशंसित कार्रवाइयां

  1. सभी GitHub टोकन रोटेट करें — पर्सनल एक्सेस टोकन रिवोक और पुनर्जनित करें, विशेष रूप से Python रिपॉजिटरी पर लिखने की अनुमति वाले
  2. Chrome तुरंत अपडेट करें — सुनिश्चित करें कि आपके संगठन में सभी Chromium-आधारित ब्राउज़र नवीनतम संस्करण में अपडेट हैं
  3. Apple बैकग्राउंड अपडेट सत्यापित करें — जांचें कि सभी प्रबंधित Apple डिवाइस नवीनतम बैकग्राउंड सुरक्षा सुधार दिखा रहे हैं
  4. Python डिपेंडेंसी का ऑडिट करें — 8 मार्च के बाद से अप्रत्याशित परिवर्तनों के लिए setup.py, main.py और app.py फाइलें स्कैन करें
  5. ब्राउज़र एक्सटेंशन नीतियों की समीक्षा करें — Edge और Chrome एक्सटेंशन को स्वीकृत अनुमति सूची तक सीमित करें
  6. सुरक्षा जागरूकता प्रशिक्षण अपडेट करें — कर्मचारियों को ClickFix सोशल इंजीनियरिंग रणनीतियों के बारे में जानकारी दें
  7. AI उपकरण गवर्नेंस का आकलन करें — यदि आपके पास पहले से नहीं है तो AI उपयोग इन्वेंट्री शुरू करें
  8. KENSAI स्कैन चलाएं — आज के खतरों के विरुद्ध अपनी बाहरी अटैक सरफेस को सत्यापित करें