← ब्लॉग पर वापस जाएँ
सिक्योरिटी ब्रीफिंग4 min read2026-04-30

सिक्योरिटी ब्रीफिंग, 30 अप्रैल 2026: SAP npm सप्लाई-चेन बैकडोर, cPanel auth bypass और Linux Copy Fail root bug

आज सुबह की थीम सीधी है: जब trusted infrastructure ज़हरीली हो जाए, तो attackers को exotic tricks की ज़रूरत नहीं रहती।


सार: आज सुबह तीन खबरें तुरंत ध्यान मांगती हैं: आधिकारिक SAP npm पैकेजों में developer और CI secrets चोरी करने वाला backdoor मिला, cPanel और WHM ने critical authentication bypass के लिए emergency patch जारी किया, और Linux maintainers नई privilege-escalation flaw Copy Fail को patch करने में लगे हैं।


1. SAP npm compromise सीधे developer और CI secrets पर वार करता है

Cloud Application Programming Model और Cloud MTA से जुड़े SAP के चार आधिकारिक npm पैकेज malicious preinstall chain के साथ बदले गए। BleepingComputer, Aikido और Socket के अनुसार payload Bun डाउनलोड करता है, एक obfuscated stealer चलाता है, और GitHub tokens, npm tokens, SSH keys, cloud credentials, Kubernetes secrets और CI/CD environment variables खोजता है। इससे भी बदतर, यह runner memory scrape करने और चुराए गए tokens से खुद को आगे फैलाने की कोशिश करता है।


2. cPanel का emergency auth-bypass patch optional maintenance नहीं है

cPanel और WHM ने CVE-2026-41940 के लिए emergency update जारी किया है, यह 9.8 severity वाला authentication bypass है जो सबसे नए supported builds को छोड़कर लगभग सबको प्रभावित करता है। Namecheap ने patches आने से पहले exposed management ports अस्थायी रूप से block कर दिए थे, और वही पूरी कहानी बता देता है। cPanel compromise होने पर websites, mail, databases और configs मिलते हैं; WHM compromise होने पर पूरा hosting server और उसके सारे tenants हाथ में आ सकते हैं।


3. Copy Fail Linux attackers को post-compromise root तक बेहद आसान रास्ता देता है

The Register के अनुसार नई Copy Fail flaw, CVE-2026-31431, किसी unprivileged local user को किसी भी readable file की page cache में चार controlled bytes लिखने और उसे root में बदलने देती है। PoC बहुत छोटा है, यह filesystem event defenses को चकमा देता है, और असर laptops तक सीमित नहीं है: shared-kernel containers, CI runners और multi-tenant Linux hosts वही जगहें हैं जहाँ ऐसी local privilege escalation किसी initial foothold के बाद real external risk बन जाती है।

आज क्या करें

पहले software supply chain पर ध्यान दें, फिर exposed hosting control planes बंद करें, और उसके बाद उन Linux privilege boundaries को patch करें जहाँ attackers पहले से code चला सकते हैं। यहाँ common failure वही है: उस infrastructure पर अंधा भरोसा जिसे सब पहले से safe मान रहे थे।

स्रोत

  • आधिकारिक SAP npm packages compromise पर BleepingComputer और Aikido/Socket की अतिरिक्त research.
  • cPanel/WHM CVE-2026-41940 और emergency update guidance पर BleepingComputer.
  • CVE-2026-31431 “Copy Fail” पर The Register, साथ में Debian, Ubuntu, SUSE और Red Hat patch references.