GlassWorm ForceMemo ने 400+ Python रिपॉजिटरी हाईजैक कीं, EU ने चीन और ईरान पर प्रतिबंध लगाए, Apple का पहला बैकग्राउंड सुरक्षा अपडेट, LeakNet ने Deno रनटाइम अपनाया
एक विशाल सप्लाई चेन अटैक ने चोरी किए गए GitHub टोकन के माध्यम से सैकड़ों Python रिपॉजिटरी को कॉम्प्रोमाइज किया। EU ने चीनी और ईरानी साइबर खतरा अभिनेताओं पर प्रतिबंध लगाए। Apple ने अपना पहला साइलेंट बैकग्राउंड सुरक्षा पैच तैनात किया। LeakNet रैनसमवेयर ने ClickFix सोशल इंजीनियरिंग और Deno रनटाइम पेलोड के साथ विकास किया। इसके अलावा: एक फॉन्ट-रेंडरिंग ट्रिक जो AI सुरक्षा उपकरणों को अंधा कर देती है, Chrome जीरो-डे पैच किए गए, और यूक्रेन को लक्षित करने वाला एक रूसी बैकडोर।
1. GlassWorm ForceMemo: सप्लाई चेन अटैक ने 400+ Python रिपॉजिटरी को प्रभावित किया
⚠️ गंभीर — सक्रिय सप्लाई चेन कॉम्प्रोमाइज
चोरी किए गए GitHub टोकन का उपयोग वैध Python रिपॉजिटरी में दुर्भावनापूर्ण कोड को फोर्स-पुश करने के लिए किया जा रहा है। यदि आपका संगठन ओपन-सोर्स Python पैकेज का उपयोग करता है, तो सत्यापन होने तक मान लें कि आप प्रभावित हो सकते हैं।
GlassWorm ForceMemo अभियान 2026 के सबसे परिष्कृत सप्लाई चेन अटैक में से एक है। खतरा अभिनेताओं ने चोरी किए गए GitHub पर्सनल एक्सेस टोकन का लाभ उठाकर 400 से अधिक Python रिपॉजिटरी में ऑब्फस्केटेड मालवेयर इंजेक्ट किया है, जिसमें Django एप्लिकेशन, मशीन लर्निंग लाइब्रेरी और PyPI पर प्रकाशित पैकेज शामिल हैं।
हमले की कार्यप्रणाली विशेष रूप से कपटपूर्ण है। हमलावर git rebase और फोर्स-पुश ऑपरेशन का उपयोग करके setup.py, main.py और app.py फाइलों में दुर्भावनापूर्ण कोड जोड़ते हैं — जबकि मूल लेखक एट्रिब्यूशन और कमिट तिथियों को संरक्षित रखते हैं। इसका मतलब है कि मानक git log निरीक्षण अनधिकृत परिवर्तनों को प्रकट नहीं करेगा। पहले पुष्ट इंजेक्शन 8 मार्च, 2026 से हैं, जिससे हमलावरों को व्यापक पहचान से पहले 10 दिन की बढ़त मिली।
इस हमले को अलग क्या बनाता है
- बड़े पैमाने पर टोकन चोरी: कॉम्प्रोमाइज्ड टोकन संभवतः लीक हुई
.envफाइलों, CI/CD लॉग और मेंटेनर्स को लक्षित फिशिंग अभियानों से एकत्र किए गए - स्टेल्थ रीबेसिंग: संरक्षित लेखक/तिथि मेटाडेटा के साथ फोर्स-पुश git इतिहास के माध्यम से पहचान को लगभग असंभव बना देता है
- व्यापक लक्ष्यीकरण: Django ऐप्स, ML फ्रेमवर्क और PyPI पैकेज — हजारों निर्भर प्रोजेक्ट्स पर डाउनस्ट्रीम प्रभाव को अधिकतम करना
- ऑब्फस्केटेड पेलोड: दुर्भावनापूर्ण कोड वैध सेटअप स्क्रिप्ट के साथ मिश्रित होता है, स्टैटिक एनालिसिस से बचता है
तत्काल कार्रवाई
- सभी GitHub पर्सनल एक्सेस टोकन का ऑडिट करें — लिखने की अनुमति वाले किसी भी टोकन को रिवोक और रोटेट करें
- GitHub की कमिट सिग्नेचर वेरिफिकेशन सक्षम करें (GPG/SSH साइनिंग)
- CI/CD पाइपलाइन में डिपेंडेंसी वर्जन पिन करें और चेकसम सत्यापित करें
- 8 मार्च के बाद से अप्रत्याशित परिवर्तनों के लिए सभी Python रिपॉजिटरी में
setup.py,main.pyऔरapp.pyस्कैन करें
2. EU ने क्रिटिकल इन्फ्रास्ट्रक्चर साइबर हमलों के लिए चीनी और ईरानी संस्थाओं पर प्रतिबंध लगाए
यूरोपीय संघ परिषद ने पूरे यूरोप में क्रिटिकल इन्फ्रास्ट्रक्चर को लक्षित साइबर हमलों से जुड़ी 3 संस्थाओं और 2 व्यक्तियों पर प्रतिबंध लगाए हैं। प्रतिबंधित पक्ष चीनी और ईरानी राज्य-प्रायोजित ऑपरेशनों से जुड़े हैं।
यह EU द्वारा अपने साइबर प्रतिबंध ढांचे के उपयोग में एक महत्वपूर्ण वृद्धि है, जो पहली बार 2019 में स्थापित किया गया था लेकिन शायद ही कभी लागू किया गया। लक्षित संस्थाओं पर कई EU सदस्य देशों में ऊर्जा ग्रिड, दूरसंचार नेटवर्क और सरकारी प्रणालियों के खिलाफ लगातार अभियान चलाने का आरोप है।
संगठनों के लिए इसका क्या मतलब है
NIS2 अनुपालन आवश्यकताओं के तहत संचालित कंपनियों के लिए, यह विकास इस वास्तविकता को मजबूत करता है कि राज्य-प्रायोजित खतरे काल्पनिक नहीं हैं। प्रतिबंध संकेत देते हैं कि EU खुफिया एजेंसियों के पास उच्च-विश्वास एट्रिब्यूशन है — जिसका अर्थ है कि अंतर्निहित हमले अभियान अच्छी तरह से प्रलेखित हैं और संभवतः जारी हैं।
क्रिटिकल इन्फ्रास्ट्रक्चर क्षेत्रों के संगठनों को अपने खतरा मॉडल की समीक्षा करनी चाहिए और यह सुनिश्चित करना चाहिए कि उनकी इंसीडेंट रिस्पॉन्स योजनाएं राष्ट्र-राज्य स्तर के विरोधियों को ध्यान में रखती हैं। NIS2 अनुच्छेद 21 विशेष रूप से "उचित और आनुपातिक तकनीकी, परिचालन और संगठनात्मक उपायों" की आवश्यकता रखता है — और आनुपातिक क्या है इसकी सीमा अभी बढ़ गई है।
3. Apple ने पहला बैकग्राउंड सुरक्षा सुधार अपडेट तैनात किया
Apple ने अपना पहला "बैकग्राउंड सुरक्षा सुधार" अपडेट जारी किया है, जो iPhones, iPads और Macs पर CVE-2026-20643 के रूप में ट्रैक की गई WebKit भेद्यता को चुपचाप पैच करता है — बिना पूर्ण OS अपग्रेड या डिवाइस रीस्टार्ट की आवश्यकता के।
यह Apple की सुरक्षा स्थिति के लिए एक ऐतिहासिक क्षण है। नया तंत्र Apple को सक्रिय रूप से शोषित भेद्यताओं के लिए सप्ताहों के बजाय घंटों में लक्षित सुधार तैनात करने की अनुमति देता है। पैच की जा रही WebKit दोष तैयार किए गए वेब कंटेंट के माध्यम से रिमोट कोड एक्जीक्यूशन की अनुमति दे सकती थी — एक क्लासिक ड्राइव-बाय अटैक वेक्टर।
यह क्यों महत्वपूर्ण है
- तेज़ पैच चक्र: क्रिटिकल WebKit भेद्यताओं को अब अगली iOS/macOS पॉइंट रिलीज़ की प्रतीक्षा की आवश्यकता नहीं है
- कम अटैक विंडो: बैकग्राउंड डिप्लॉयमेंट का मतलब है कि पैच अधिकांश उपयोगकर्ताओं को भेद्यता के बारे में पता चलने से पहले ही डिवाइस तक पहुंच जाता है
- मिसाल कायम करना: अन्य विक्रेताओं से भी इसी तरह के साइलेंट पैच तंत्र की अपेक्षा करें
सत्यापित करें कि आपके डिवाइस को "बैकग्राउंड सुरक्षा सुधार" प्रविष्टि के लिए सेटिंग्स → सामान्य → इस बारे में जांचकर अपडेट प्राप्त हुआ है।
4. LeakNet रैनसमवेयर का विकास: ClickFix सोशल इंजीनियरिंग + Deno रनटाइम
🔶 उच्च — नई रैनसमवेयर वितरण तकनीक
LeakNet पारंपरिक एंडपॉइंट डिटेक्शन को बायपास करने के लिए सोशल इंजीनियरिंग को एक अपरंपरागत रनटाइम के साथ जोड़ता है। केवल सिग्नेचर-आधारित AV पर निर्भर संगठनों को इसे उच्च प्राथमिकता मानना चाहिए।
LeakNet रैनसमवेयर गैंग ने अपने नवीनतम अभियानों में दो-आयामी नवाचार अपनाया है। प्रारंभिक पहुंच के लिए, वे ClickFix सोशल इंजीनियरिंग तैनात करते हैं — नकली ब्राउज़र त्रुटि पेज जो पीड़ितों को अपने टर्मिनल या रन डायलॉग में दुर्भावनापूर्ण कमांड पेस्ट करने का निर्देश देते हैं। एक बार अंदर आने पर, पेलोड Deno रनटाइम पर निर्मित एक मालवेयर लोडर है।
Deno क्यों?
Deno एक वैध JavaScript/TypeScript रनटाइम है जो Node.js के मूल लेखक द्वारा बनाया गया है। मालवेयर को Deno एप्लिकेशन के रूप में पैकेज करके, LeakNet कई फायदे प्राप्त करता है:
- कम डिटेक्शन दर: अधिकांश EDR/AV समाधान Deno बाइनरी को संदिग्ध के रूप में फ्लैग नहीं करते
- क्रॉस-प्लेटफॉर्म: Deno Windows, macOS और Linux पर मूल रूप से चलता है
- एकल बाइनरी: संपूर्ण रनटाइम + पेलोड एक एक्जीक्यूटेबल में कंपाइल होता है, अलर्ट ट्रिगर करने वाले डिपेंडेंसी आर्टिफैक्ट से बचता है
- नेटिव TypeScript: हमलावर आधुनिक टूलिंग के साथ परिष्कृत, टाइप्ड मालवेयर लिख सकते हैं
ClickFix तकनीक उन गैर-तकनीकी कर्मचारियों के खिलाफ विनाशकारी रूप से प्रभावी साबित होती रहती है जो ब्राउज़र चेतावनियों पर अंधा विश्वास करते हैं। सुरक्षा जागरूकता प्रशिक्षण को विशेष रूप से इस हमले के पैटर्न को संबोधित करना चाहिए।
5. फॉन्ट-रेंडरिंग ट्रिक AI सुरक्षा उपकरणों को चकमा देती है
सुरक्षा शोधकर्ताओं ने एक नवीन हमले का खुलासा किया है जो HTML में फॉन्ट-रेंडरिंग ट्रिक्स का उपयोग करके AI-संचालित सुरक्षा सहायकों से दुर्भावनापूर्ण कमांड छुपाता है। यह तकनीक AI मॉडल द्वारा रॉ HTML में "पढ़े" जाने और मनुष्यों द्वारा ब्राउज़र में रेंडर किए जाने के बीच के अंतर का शोषण करती है।
कस्टम वेब फॉन्ट्स का उपयोग करके जो कैरेक्टर ग्लिफ़ को रीमैप करते हैं, हमलावर दुर्भावनापूर्ण निर्देशों को AI मॉडल को सामान्य टेक्स्ट के रूप में दिखा सकते हैं जबकि मानव दर्शकों को पूरी तरह से अलग सामग्री प्रदर्शित करते हैं — या इसके विपरीत। इसका मतलब है कि AI-संचालित ईमेल स्कैनर, वेब कंटेंट एनालाइज़र और सुरक्षा कोपायलट को व्यवस्थित रूप से धोखा दिया जा सकता है।
तकनीकी विवरण
हमला कस्टम unicode-range मैपिंग के साथ CSS @font-face डिक्लेरेशन का उपयोग करता है। रॉ HTML सोर्स में सामान्य टेक्स्ट होता है, लेकिन रेंडर किया गया आउटपुट — फॉन्ट प्रतिस्थापन के बाद — छिपे हुए कमांड, फिशिंग कंटेंट या सोशल इंजीनियरिंग प्रॉम्प्ट प्रदर्शित करता है। DOM या रॉ टेक्स्ट को पार्स करने वाले AI उपकरण विजुअल पेलोड कभी नहीं देखते।
यह एक स्पष्ट अनुस्मारक है कि AI सुरक्षा उपकरण कोई जादू की छड़ी नहीं हैं। गहन रक्षा (डिफेंस-इन-डेप्थ) आवश्यक बनी हुई है, और संगठनों को कंटेंट विश्लेषण के लिए केवल AI-आधारित डिटेक्शन पर निर्भर नहीं रहना चाहिए।
6. 67% CISO की AI उपयोग में सीमित दृश्यता है
एक नई Pentera रिपोर्ट जिसमें 300 अमेरिकी CISO का सर्वेक्षण किया गया, एक चिंताजनक वास्तविकता प्रकट करती है: 67% सीमित दृश्यता रिपोर्ट करते हैं कि उनके संगठनों में AI उपकरण कैसे उपयोग किए जा रहे हैं, और किसी भी उत्तरदाता ने पूर्ण दृश्यता का दावा नहीं किया।
AI अपनाना सुरक्षा गवर्नेंस को चिंताजनक गति से पीछे छोड़ रहा है। शैडो AI — कर्मचारियों द्वारा AI उपकरणों का अनधिकृत उपयोग — ऐसे अंधे बिंदु बना रहा है जिन्हें पारंपरिक सुरक्षा निगरानी पहचान नहीं सकती। ChatGPT से लेकर कंपनी डेटा पर चलने वाले कस्टम फाइन-ट्यून्ड मॉडल तक, अटैक सरफेस सुरक्षा टीमों की मैपिंग क्षमता से तेज़ी से विस्तार कर रही है।
प्रमुख निष्कर्ष
- 0% पूर्ण दृश्यता: सर्वेक्षण किए गए किसी भी CISO ने अपने संगठन में AI उपयोग की पूर्ण निगरानी का दावा नहीं किया
- 67% सीमित दृश्यता: बहुमत AI जोखिम पर आंशिक रूप से अंधा है
- शीर्ष चिंता: संवेदनशील जानकारी संसाधित करने वाले AI उपकरणों के माध्यम से डेटा लीकेज
- बजट अंतर: AI सुरक्षा निवेश AI अपनाने के खर्च से 4–6 गुना पीछे है
संगठनों को AI उपयोग नीतियां स्थापित करनी चाहिए, AI उपकरणों के आसपास डेटा लॉस प्रिवेंशन नियंत्रण लागू करने चाहिए और मूलभूत कदमों के रूप में एक AI एसेट इन्वेंट्री बनानी चाहिए।
7. DRILLAPP बैकडोर Edge ब्राउज़र के माध्यम से यूक्रेन को लक्षित करता है
🔶 उच्च — राज्य-प्रायोजित जासूसी उपकरण
रूस से जुड़े खतरा अभिनेता Microsoft Edge ब्राउज़र एक्सटेंशन के माध्यम से माइक्रोफोन और वेबकैम एक्सेस क्षमताओं वाला JavaScript बैकडोर तैनात कर रहे हैं।
रूस से जुड़े खतरा समूह Laundry Bear (UAC-0190) के लिए जिम्मेदार एक अभियान यूक्रेनी लक्ष्यों के खिलाफ DRILLAPP बैकडोर तैनात कर रहा है। हमला न्यायिक कार्यवाही और दान संगठनों की थीम वाले लुभावने दस्तावेजों का उपयोग करके पीड़ितों को एक दुर्भावनापूर्ण Microsoft Edge ब्राउज़र एक्सटेंशन इंस्टॉल करने के लिए छलता है।
एक बार इंस्टॉल होने पर, DRILLAPP चिंताजनक क्षमताओं वाले JavaScript-आधारित बैकडोर के रूप में काम करता है:
- माइक्रोफोन एक्सेस: ब्राउज़र की मीडिया API के माध्यम से चुपचाप ऑडियो रिकॉर्ड कर सकता है
- वेबकैम एक्सेस: कुछ कॉन्फिगरेशन में दृश्य ब्राउज़र संकेतकों को ट्रिगर किए बिना वीडियो कैप्चर करता है
- डेटा एक्सफिल्ट्रेशन: ब्राउज़िंग डेटा, क्रेडेंशियल और सेशन टोकन एकत्र करता है
- पर्सिस्टेंस: Edge एक्सटेंशन तंत्र के माध्यम से ब्राउज़र रीस्टार्ट के बाद भी बना रहता है
हालांकि वर्तमान में यूक्रेन को लक्षित कर रहा है, DRILLAPP द्वारा प्रदर्शित तकनीकें — विशेष रूप से ब्राउज़र एक्सटेंशन-आधारित जासूसी — एक ऐसा टेम्पलेट प्रस्तुत करती हैं जिसे अन्य खतरा अभिनेता अनिवार्य रूप से अपनाएंगे। संगठनों को ब्राउज़र एक्सटेंशन नीतियों का ऑडिट करना चाहिए और इंस्टॉलेशन को केवल स्वीकृत एक्सटेंशन तक सीमित करना चाहिए।
8. Google ने सक्रिय रूप से शोषित दो Chrome जीरो-डे पैच किए
⚠️ गंभीर — Chrome तुरंत अपडेट करें
दो जीरो-डे भेद्यताएं सक्रिय रूप से शोषित की जा रही हैं। सभी Chrome और Chromium-आधारित ब्राउज़र तुरंत पैच करें।
Google ने Chrome में दो सक्रिय रूप से शोषित भेद्यताओं के लिए आपातकालीन पैच जारी किए हैं:
| CVE | कंपोनेंट | प्रकार | गंभीरता |
|---|---|---|---|
| CVE-2026-3909 | Skia (ग्राफिक्स इंजन) | आउट-ऑफ-बाउंड्स राइट | गंभीर |
| CVE-2026-3910 | V8 (JavaScript इंजन) | अनुचित कार्यान्वयन | उच्च |
Skia भेद्यता (CVE-2026-3909) विशेष रूप से खतरनाक है — ग्राफिक्स इंजन में आउट-ऑफ-बाउंड्स राइट बग तैयार किए गए चित्रों या वेब कंटेंट के माध्यम से रिमोट कोड एक्जीक्यूशन का कारण बन सकते हैं। V8 दोष (CVE-2026-3910) Chrome के JavaScript इंजन को प्रभावित करता है और अन्य भेद्यताओं के साथ चेन किए जाने पर सैंडबॉक्स एस्केप की अनुमति दे सकता है।
दोनों भेद्यताएं सभी Chromium-आधारित ब्राउज़र को प्रभावित करती हैं, जिनमें Microsoft Edge, Brave, Opera और Vivaldi शामिल हैं। अपने संगठन में सभी ब्राउज़र तुरंत अपडेट करें।
CVE सारांश तालिका
| CVE | उत्पाद | गंभीरता | स्थिति |
|---|---|---|---|
| CVE-2026-20643 | Apple WebKit (iOS/iPadOS/macOS) | उच्च | पैच किया गया (बैकग्राउंड अपडेट) |
| CVE-2026-3909 | Google Chrome (Skia) | गंभीर | पैच किया गया — अभी अपडेट करें |
| CVE-2026-3910 | Google Chrome (V8) | उच्च | पैच किया गया — अभी अपडेट करें |
KENSAI आपकी सुरक्षा कैसे करता है
🛡️ सप्लाई चेन रक्षा: KENSAI की डिपेंडेंसी स्कैनिंग और SBOM विश्लेषण आपकी Python, Node.js और कंटेनर डिपेंडेंसी में कॉम्प्रोमाइज्ड पैकेज का पता लगाती है — जिसमें GlassWorm ForceMemo द्वारा उपयोग किए गए ऑब्फस्केटेड पेलोड शामिल हैं।
🔍 भेद्यता पहचान: हमारी निरंतर स्कैनिंग आपके वेब एप्लिकेशन और इन्फ्रास्ट्रक्चर में CVE-2026-20643, CVE-2026-3909 और CVE-2026-3910 जैसे ज्ञात CVE की पहचान करती है, इससे पहले कि हमलावर उनका शोषण कर सकें।
🌐 वेब एप्लिकेशन सुरक्षा: KENSAI का DAST इंजन आज की ब्रीफिंग में हाइलाइट की गई फॉन्ट-रेंडरिंग इवेशन तकनीकों, ClickFix लैंडिंग पेजों और ब्राउज़र एक्सटेंशन अटैक वेक्टर का परीक्षण करता है।
📋 NIS2 अनुपालन: EU द्वारा साइबर प्रतिबंधों को बढ़ाने के साथ, निरंतर परीक्षण के माध्यम से सक्रिय सुरक्षा प्रदर्शित करना पहले से कहीं अधिक महत्वपूर्ण है। KENSAI निष्कर्षों को सीधे NIS2 अनुच्छेद 21 आवश्यकताओं से मैप करता है।
अनुशंसित कार्रवाइयां
- सभी GitHub टोकन रोटेट करें — पर्सनल एक्सेस टोकन रिवोक और पुनर्जनित करें, विशेष रूप से Python रिपॉजिटरी पर लिखने की अनुमति वाले
- Chrome तुरंत अपडेट करें — सुनिश्चित करें कि आपके संगठन में सभी Chromium-आधारित ब्राउज़र नवीनतम संस्करण में अपडेट हैं
- Apple बैकग्राउंड अपडेट सत्यापित करें — जांचें कि सभी प्रबंधित Apple डिवाइस नवीनतम बैकग्राउंड सुरक्षा सुधार दिखा रहे हैं
- Python डिपेंडेंसी का ऑडिट करें — 8 मार्च के बाद से अप्रत्याशित परिवर्तनों के लिए
setup.py,main.pyऔरapp.pyफाइलें स्कैन करें - ब्राउज़र एक्सटेंशन नीतियों की समीक्षा करें — Edge और Chrome एक्सटेंशन को स्वीकृत अनुमति सूची तक सीमित करें
- सुरक्षा जागरूकता प्रशिक्षण अपडेट करें — कर्मचारियों को ClickFix सोशल इंजीनियरिंग रणनीतियों के बारे में जानकारी दें
- AI उपकरण गवर्नेंस का आकलन करें — यदि आपके पास पहले से नहीं है तो AI उपयोग इन्वेंट्री शुरू करें
- KENSAI स्कैन चलाएं — आज के खतरों के विरुद्ध अपनी बाहरी अटैक सरफेस को सत्यापित करें