आपूर्ति श्रृंखला घेराबंदी में: npm, PyPI और GitHub
5 फरवरी, 20266 मिनट पढ़ेंक्रिटिकल तात्कालिकता
कार्यकारी सारांश
लोकप्रिय npm पैकेज में 14 मिलियन साप्ताहिक डाउनलोड को प्रभावित करने वाला प्रमुख आपूर्ति श्रृंखला हमला खोजा गया। समझौता किए गए PyPI पैकेज क्रेडेंशियल चोरी करने वाले मैलवेयर के साथ मशीन लर्निंग पाइपलाइनों को लक्षित करते हैं। व्यापक रूप से उपयोग किए जाने वाले GitHub Action में एक बैकडोर 6 महीनों से CI/CD सीक्रेट्स एक्सफिल्ट्रेट कर रहा है।
⚡ निष्कर्ष: तुरंत अपनी डिपेंडेंसी का ऑडिट करें। एक्सपोज़ हो सकने वाले सभी CI/CD क्रेडेंशियल रोटेट करें।
📦
क्रिटिकल
npm "event-stream-utils" आपूर्ति श्रृंखला समझौता
यह क्यों मायने रखता है
npm पैकेज "event-stream-utils" (14.2 मिलियन साप्ताहिक डाउनलोड) मेंटेनर अकाउंट टेकओवर के माध्यम से समझौता किया गया था। संस्करण 4.7.3 में इंजेक्ट किया गया दुर्भावनापूर्ण कोड पर्यावरण चर, AWS क्रेडेंशियल और क्रिप्टोकरेंसी वॉलेट कुंजियां चुराता है। प्रमुख वित्तीय और टेक कंपनियों द्वारा उपयोग किया जाने वाला पैकेज।
प्रभाव
विवरण
क्रेडेंशियल चोरी
CI/CD वातावरण से AWS, GCP, Azure क्रेडेंशियल
क्रिप्टो चोरी
डेवलपर मशीनों से वॉलेट प्राइवेट कीज़
बैकडोर एक्सेस
प्रोडक्शन वातावरण में रिवर्स शेल क्षमता
विस्फोट त्रिज्या
14 मिलियन+ साप्ताहिक डाउनलोड, हजारों निर्भर पैकेज
अपनी सुरक्षा कैसे करें — कार्रवाई आइटम
तुरंत package-lock.json में event-stream-utils की जांच करें
संस्करण 4.7.2 या पहले पर पिन करें, या पूरी तरह से हटा दें
एक्सपोज़ हो सकने वाले सभी क्रेडेंशियल रोटेट करें
अतिरिक्त समझौता किए गए डिपेंडेंसी के लिए npm audit स्कैन करें
Software Bill of Materials (SBOM) ट्रैकिंग लागू करें
🐍
क्रिटिकल
PyPI "pytorch-nightly-utils" मैलवेयर अभियान
यह क्यों मायने रखता है
ML/AI डेवलपर्स को लक्षित करने वाले PyPI पर टाइपोस्क्वाटिंग पैकेज 45,000+ बार डाउनलोड किए गए हैं। पैकेजों में मैलवेयर होता है जो मॉडल ट्रेनिंग डेटा, Jupyter नोटबुक सामग्री और API कुंजियां एक्सफिल्ट्रेट करता है।
दुर्भावनापूर्ण पैकेज नाम
pytorch-nightly-utils
tensorflow-model-tools
sklearn-utils-extra
🧠
ML मॉडल चोरी
मालिकाना ML मॉडल और ट्रेनिंग डेटा की चोरी।
🔑
API कुंजी एक्सफिल्ट्रेशन
Jupyter नोटबुक्स से क्लाउड API क्रेडेंशियल एक्सपोज़।
📊
IP चोरी
अनुसंधान और विकास कार्य समझौता किया गया।
अपनी सुरक्षा कैसे करें — कार्रवाई आइटम
संदिग्ध पैकेज के लिए Python वातावरण का ऑडिट करें
ज्ञात दुर्भावनापूर्ण पैकेज स्कैन करने के लिए pip-audit का उपयोग करें
अनुमोदित PyPI पैकेज के लिए allowlist लागू करें
PyPI अकाउंट पर दो-कारक प्रमाणीकरण सक्षम करें
प्रोडक्शन से अलग वर्चुअल वातावरण का उपयोग करें
⚙️
क्रिटिकल
GitHub Action "actions/cache-restore" बैकडोर
यह क्यों मायने रखता है
लोकप्रिय "actions/cache-restore" GitHub Action का एक बैकडोर संस्करण (आधिकारिक actions/cache नहीं) अगस्त 2025 से गुप्त रूप से रिपॉजिटरी सीक्रेट्स, पर्यावरण चर और सोर्स कोड एक्सफिल्ट्रेट कर रहा है। 3,200+ से अधिक रिपॉजिटरी प्रभावित।
यह खतरनाक क्यों है: CI/CD सीक्रेट्स (API कुंजियां, डिप्लॉय क्रेडेंशियल) चोरी हो गए। निजी रिपॉजिटरी का सोर्स कोड एक्सफिल्ट्रेट किया गया। डाउनस्ट्रीम उपयोगकर्ताओं पर आपूर्ति श्रृंखला हमले संभव।
अपनी सुरक्षा कैसे करें — कार्रवाई आइटम
अनाधिकारिक/टाइपोस्क्वाटेड एक्शन के लिए सभी GitHub Actions का ऑडिट करें
एक्शन को टैग नहीं, विशिष्ट SHA हैश पर पिन करें
Actions अनुमतियों की समीक्षा करें (GITHUB_TOKEN स्कोप)
GitHub Advanced Security सीक्रेट स्कैनिंग सक्षम करें
प्रभावित वर्कफ़्लो में उपयोग किए गए सभी सीक्रेट्स रोटेट करें
🐳
तात्कालिक
Docker Hub इमेज पॉइज़निंग अभियान
यह क्यों मायने रखता है
शोधकर्ताओं ने Docker Hub पर लोकप्रिय बेस इमेज की नकल करते हुए 200+ दुर्भावनापूर्ण Docker इमेज की खोज की। इमेज में क्रिप्टोमाइनर्स और बैकडोर होते हैं जो केवल प्रोडक्शन वातावरण में सक्रिय होते हैं (CI बनाम प्रोडक्शन का पता लगाना)।
अपनी सुरक्षा कैसे करें — कार्रवाई आइटम
केवल Docker Official Images या verified publishers का उपयोग करें
Docker Content Trust के साथ इमेज साइनिंग लागू करें
डिप्लॉयमेंट से पहले Trivy/Grype से इमेज स्कैन करें
एडमिशन कंट्रोल के साथ प्राइवेट कंटेनर रजिस्ट्री का उपयोग करें
रनटाइम कंटेनर सुरक्षा मॉनिटरिंग सक्षम करें
💻
उच्च
समझौता किया गया VS Code एक्सटेंशन "Prettier Pro"
यह क्यों मायने रखता है
89,000 इंस्टॉल वाला एक लोकप्रिय VS Code एक्सटेंशन "Prettier Pro" (Prettier का नकली संस्करण) डेवलपर मशीनों से सोर्स कोड और git क्रेडेंशियल चुराता पाया गया।
अपनी सुरक्षा कैसे करें — कार्रवाई आइटम
तुरंत "Prettier Pro" एक्सटेंशन हटाएं
केवल verified publishers से एक्सटेंशन इंस्टॉल करें
इंस्टॉलेशन से पहले एक्सटेंशन अनुमतियों की समीक्षा करें
विकास टीम में इंस्टॉल किए गए एक्सटेंशन का ऑडिट करें
एंटरप्राइज़ में VS Code एक्सटेंशन allowlist का उपयोग करें
अपनी आपूर्ति श्रृंखला सुरक्षा जांचने के लिए अभी KENSAI स्कैन चलाएं