आज सुबह की सीख सीधी है: trusted onboarding, trusted package managers और trusted extension marketplaces अब खुद attack delivery mechanism बन चुके हैं।
टॉप लाइन: अभी तीन बातें महत्वपूर्ण हैं: असली Robinhood मेल के अंदर attacker-controlled content, forged open-source release जो secrets चुराती है, और VS Code extensions जो बाद में activate होने के लिए बनाई गई हैं।
Attackers ने Robinhood account creation process का दुरुपयोग करके noreply@robinhood.com से भेजे गए असली login alert emails में HTML inject किया। संदेश SPF और DKIM पास कर रहे थे, असली दिख रहे थे, और victims को phishing site पर भेज रहे थे। नतीजा साफ है: अगर content sanitize नहीं है तो sender trust पर्याप्त नहीं है।
लोकप्रिय elementary-data पैकेज GitHub Actions script injection से compromise हुआ। इससे workflow token leak हुआ और signed release forge की गई। Version 0.23.3 ने SSH keys, cloud credentials, CI secrets, wallet files और developer environment data को target करने वाला infostealer फैलाया, और यही असर container images तक गया।
Socket ने GlassWorm से जुड़ी 73 OpenVSX extensions पाईं, जिनमें से 6 पहले ही activate हो चुकी थीं। नई चाल patience है: पहले harmless दिखो, trust बनने दो, फिर बाद के update में payload भेजो। यह वही ecosystem abuse है, बस अब ज्यादा शांत और ज्यादा खतरनाक है।
निष्कर्ष: आज का pattern exotic malware नहीं है। यह ordinary trust को transport में बदल देना है। अगर कोई workflow, template या marketplace routine लगता है, attackers उसे पहले ही देख चुके हैं।
KENSAI टीमों को exposed workflows, risky dependencies और developer-surface blind spots map करने में मदद करता है, इससे पहले कि वे real incidents बनें।
फ्री स्कैन शुरू करें →तेज़ रहिए।
🗡️ KENSAI Security Team