दैनिक खतरा ब्रीफिंग
GlassWorm अभियान ने GitHub, npm, VSCode और OpenVSX पर 400 से अधिक रिपॉजिटरी को प्रभावित किया
GlassWorm सप्लाई चेन हमला अभियान एक समन्वित हमले के साथ वापस आया जिसने सैकड़ों Python रिपॉजिटरी, npm पैकेज और VSCode/OpenVSX एक्सटेंशन में मैलवेयर इंजेक्ट किया। हमलावरों ने चोरी किए गए GitHub टोकन का उपयोग करके वैध प्रोजेक्ट्स की setup.py, main.py और app.py फाइलों में ऑब्फस्केटेड कोड को फोर्स-पुश किया — जिसमें Django ऐप्स, ML रिसर्च कोड और PyPI पैकेज शामिल हैं। किसी भी प्रभावित रिपॉजिटरी से pip install चलाने वाला कोई भी व्यक्ति मैलवेयर को सक्रिय करता है। सबसे पुराने इंजेक्शन 8 मार्च तक ट्रेस किए गए। उप-अभियान को ForceMemo नाम दिया गया है।
फ़ॉन्ट-रेंडरिंग ट्रिक AI सुरक्षा उपकरणों से दुर्भावनापूर्ण कमांड छुपाती है
एक नई हमला तकनीक फ़ॉन्ट-रेंडरिंग अंतरों का शोषण करके वेबपेजों में एम्बेडेड दुर्भावनापूर्ण कमांड को AI सहायकों से छिपाती है। दुर्भावनापूर्ण निर्देश प्रतीत होने वाले हानिरहित HTML में छिपे होते हैं जो मनुष्यों बनाम AI पार्सर्स के लिए अलग-अलग रेंडर होते हैं, जो AI-संचालित सुरक्षा उपकरणों के विरुद्ध प्रॉम्प्ट इंजेक्शन और इवेजन हमलों का एक नया वर्ग बनाता है।
LeakNet रैनसमवेयर ने गुप्त हमलों के लिए ClickFix + Deno रनटाइम अपनाया
LeakNet रैनसमवेयर अब प्रारंभिक पहुँच के लिए ClickFix सोशल इंजीनियरिंग तकनीक का उपयोग करता है, जो समझौता की गई वेबसाइटों पर नकली त्रुटि संकेतों के माध्यम से उपयोगकर्ताओं को दुर्भावनापूर्ण कमांड चलाने के लिए धोखा देता है। समूह वैध Deno JavaScript रनटाइम का उपयोग करके «Bring Your Own Runtime» (BYOR) हमला तैनात करता है जो सीधे मेमोरी में पेलोड निष्पादित करता है — EDR ब्लॉकलिस्ट को बायपास करता है क्योंकि Deno एक हस्ताक्षरित, विश्वसनीय बाइनरी है। पोस्ट-एक्सप्लॉइटेशन में Java के माध्यम से DLL साइडलोडिंग, PsExec के माध्यम से लैटरल मूवमेंट, klist के माध्यम से क्रेडेंशियल खोज और Amazon S3 बकेट के माध्यम से डेटा एक्सफिल्ट्रेशन शामिल है। पहचान संकेत: विकास वातावरण के बाहर Deno चलना, असामान्य PsExec उपयोग, अप्रत्याशित S3 आउटबाउंड ट्रैफिक।
Apple ने पहले बैकग्राउंड सुरक्षा अपडेट के माध्यम से WebKit दोष CVE-2026-20643 को पैच किया
Apple ने अपना पहला «बैकग्राउंड सुरक्षा सुधार» अपडेट जारी किया — पूर्ण OS अपग्रेड की आवश्यकता के बिना iPhones, iPads और Macs पर महत्वपूर्ण सुधार पुश करने का एक नया तंत्र। पैच एक WebKit कमजोरी (CVE-2026-20643) को संबोधित करता है। यह Apple की पैचिंग रणनीति में एक महत्वपूर्ण बदलाव का प्रतिनिधित्व करता है, जो ब्राउज़र इंजन दोषों के लिए तेज़ प्रतिक्रिया सक्षम करता है।
CISA ने Wing FTP कमजोरी CVE-2025-47813 को सक्रिय रूप से शोषित के रूप में चिह्नित किया
CISA ने Wing FTP Server सूचना प्रकटीकरण कमजोरी को अपने ज्ञात शोषित कमजोरियों (KEV) कैटलॉग में जोड़ा। दोष एप्लिकेशन का पूर्ण स्थानीय इंस्टॉलेशन पथ लीक करता है। मध्यम गंभीरता (CVSS 4.3) रेटिंग के बावजूद, सक्रिय शोषण पैचिंग को अत्यावश्यक बनाता है — पथ प्रकटीकरण को पूर्ण समझौते के लिए अन्य कमजोरियों के साथ जोड़ा जा सकता है।
AI प्लेटफ़ॉर्म दोष: Amazon Bedrock, LangSmith, SGLang डेटा एक्सफिल और RCE सक्षम करते हैं
BeyondTrust ने खुलासा किया कि Amazon Bedrock AgentCore Code Interpreter का सैंडबॉक्स मोड आउटबाउंड DNS क्वेरी की अनुमति देता है, जो हमलावरों को C2 चैनल स्थापित करने, डेटा एक्सफिल्ट्रेट करने और इंटरैक्टिव रिवर्स शेल प्राप्त करने में सक्षम बनाता है — अपेक्षित नेटवर्क आइसोलेशन को बायपास करता है। तकनीक द्विदिश संचार के लिए DNS A रिकॉर्ड का उपयोग करती है। Amazon ने इसे दोष के बजाय «इच्छित कार्यक्षमता» के रूप में वर्गीकृत किया, पूर्ण आइसोलेशन के लिए VPC मोड की सिफारिश की। अत्यधिक विशेषाधिकार वाली IAM भूमिकाओं के साथ AI कोड इंटरप्रेटर चलाने वाले संगठन सबसे अधिक जोखिम में हैं।
RondoDox बॉटनेट बड़े पैमाने पर 174 कमजोरियों का शोषण कर रहा है
RondoDox बॉटनेट ने अपनी गतिविधि बढ़ा दी है, 174 ज्ञात कमजोरियों पर प्रतिदिन 15,000 शोषण प्रयासों का शिखर छू रहा है। बॉटनेट अधिक लक्षित दृष्टिकोण अपना रहा है, बिना पैच वाले बुनियादी ढांचे पर ध्यान केंद्रित कर रहा है। संगठनों को इस अभियान द्वारा लक्षित सभी CVE के पैच स्थिति को सत्यापित करना चाहिए।
EU ने महत्वपूर्ण बुनियादी ढांचे पर साइबर हमलों के लिए चीनी और ईरानी संस्थाओं पर प्रतिबंध लगाए
यूरोपीय संघ परिषद ने यूरोप में महत्वपूर्ण बुनियादी ढांचे को लक्षित साइबर हमलों में शामिल होने के कारण तीन संस्थाओं और दो व्यक्तियों पर प्रतिबंधों की घोषणा की। प्रतिबंधित पक्ष चीनी और ईरानी राज्य-प्रायोजित संचालन से जुड़े हैं। यह साइबर प्रतिबंधों को निवारक के रूप में उपयोग करने की EU की इच्छा में निरंतर वृद्धि को चिह्नित करता है — NIS2 खतरे के परिदृश्य मूल्यांकन से सीधे संबंधित।
DRILLAPP बैकडोर Microsoft Edge डिबगिंग के माध्यम से यूक्रेन को लक्षित करता है
रूस से जुड़े खतरा अभिनेता DRILLAPP के साथ यूक्रेनी संस्थाओं को लक्षित कर रहे हैं, एक JavaScript-आधारित बैकडोर जो Microsoft Edge की डिबगिंग सुविधाओं के माध्यम से चलता है। मैलवेयर ब्राउज़र क्षमताओं का दुरुपयोग करके फाइलें अपलोड/डाउनलोड कर सकता है, माइक्रोफोन तक पहुँच सकता है और वेबकैम छवियाँ कैप्चर कर सकता है। अभियान LNK फाइलों के माध्यम से प्रारंभिक पहुँच के लिए न्यायिक और चैरिटी थीम्ड लालच का उपयोग करता है। एट्रिब्यूशन: Laundry Bear (Void Blizzard)।
उत्तर कोरियाई Konni समूह KakaoTalk प्रसार के माध्यम से EndRAT तैनात करता है
उत्तर कोरियाई खतरा अभिनेता (Konni समूह) स्पीयर-फिशिंग के माध्यम से लक्ष्यों से समझौता करते हैं, फिर पीड़ित के KakaoTalk डेस्कटॉप एप्लिकेशन को हाईजैक करके उनके संपर्कों को दुर्भावनापूर्ण पेलोड वितरित करते हैं — विश्वसनीय संचार चैनलों को मैलवेयर प्रसार के लिए हथियार बनाते हैं। EndRAT मैलवेयर पूर्ण रिमोट एक्सेस प्रदान करता है।
चीन से जुड़े हैकर्स ने धैर्यपूर्ण जासूसी अभियान में एशियाई सेनाओं को निशाना बनाया
चीनी राज्य-प्रायोजित हैकर्स ने एशियाई सैन्य लक्ष्यों के विरुद्ध कस्टम टूल तैनात किए और सक्रिय होने से पहले महीनों तक समझौता किए गए वातावरण में निष्क्रिय रहे — जासूसी संचालन में उन्नत दृढ़ता और धैर्य का प्रदर्शन।
रोबोटिक सर्जरी दिग्गज Intuitive ने साइबर हमले का खुलासा किया
da Vinci रोबोटिक सर्जरी सिस्टम के निर्माता Intuitive ने खुलासा किया कि एक कर्मचारी के फिशिंग हमले का शिकार होने के बाद आंतरिक व्यावसायिक एप्लिकेशन तक पहुँच प्राप्त की गई। हेल्थकेयर टेक कंपनी उल्लंघन के दायरे की जाँच कर रही है। सर्जिकल और रोगी डेटा की संवेदनशीलता को देखते हुए, इस घटना के महत्वपूर्ण नियामक और रोगी सुरक्षा निहितार्थ हैं।
ब्रिटिश Companies House ने लाखों कंपनियों का विवरण उजागर किया
UK Companies House में एक कमजोरी का शोषण किया जा सकता था जिससे कंपनी विवरण प्राप्त करना और UK में पंजीकृत लाखों फर्मों के रिकॉर्ड बदलना संभव था। सरकारी एजेंसी ने दोष की पुष्टि की। रिकॉर्ड हेरफेर की संभावना कॉर्पोरेट पहचान धोखाधड़ी और सप्लाई चेन विश्वास के बारे में गंभीर चिंताएँ उठाती है।
Oracle EBS हैक: 4 बड़े कॉर्पोरेट प्रभाव पर अभी भी मौन
Oracle E-Business Suite उल्लंघन के बाद, Broadcom, Bechtel, Estée Lauder और Abbott Technologies संभावित प्रभाव पर सार्वजनिक बयान जारी न करने वाली एकमात्र प्रमुख कंपनियाँ बनी हुई हैं। खुलासे का दबाव बढ़ रहा है क्योंकि अन्य प्रभावित संगठनों ने पहले ही हितधारकों के साथ संवाद किया है।
टेक दिग्गजों द्वारा ओपन सोर्स सुरक्षा में $12.5M का निवेश
Anthropic, AWS, Google, Microsoft और OpenAI ने संयुक्त रूप से Linux Foundation की ओपन सोर्स सॉफ़्टवेयर के लिए दीर्घकालिक सुरक्षा पहल को $12.5M के निवेश से वित्त पोषित किया — संकेत है कि उद्योग Log4j-युग के बाद सप्लाई चेन सुरक्षा को गंभीरता से ले रहा है।
Surf AI ने एजेंटिक सुरक्षा संचालन के लिए $57M जुटाए
Surf AI ने Accel, Cyberstarts और Boldstart Ventures से $57M की फंडिंग के साथ एक एजेंटिक सुरक्षा संचालन प्लेटफ़ॉर्म लॉन्च किया। उभरती «Agentic SecOps» श्रेणी महत्वपूर्ण वेंचर कैपिटल आकर्षित करना जारी रखती है।
Tracebit ने क्लाउड-नेटिव डिसेप्शन तकनीक के लिए $20M जुटाए
Tracebit ने अपने क्लाउड-नेटिव डिसेप्शन उत्पादों को स्केल करने, नए बाजारों में विस्तार करने और इंजीनियरिंग और मार्केटिंग टीमों को बढ़ाने के लिए $20M सुरक्षित किए। डिसेप्शन तकनीक पारंपरिक पहचान दृष्टिकोणों के पूरक के रूप में लोकप्रियता हासिल करना जारी रखती है।
इस सप्ताह के प्रमुख पैटर्न
1. «Bring Your Own Runtime» हमले — LeakNet द्वारा मेमोरी में पेलोड निष्पादित करने के लिए Deno का उपयोग एक बढ़ती प्रवृत्ति का प्रतिनिधित्व करता है: वैध, हस्ताक्षरित डेवलपर टूल्स का मैलवेयर रनटाइम के रूप में दुरुपयोग। इस पैटर्न के Bun, Node.js और अन्य रनटाइम में फैलने की उम्मीद है।
2. हमले की सतह के रूप में AI बुनियादी ढांचा — Amazon Bedrock DNS एक्सफिल्ट्रेशन और CISO सर्वेक्षण जो दिखाता है कि 67% के पास AI तैनाती की दृश्यता नहीं है, एक स्पष्ट तस्वीर पेश करते हैं: AI बुनियादी ढांचा सुरक्षा कवरेज से आगे निकल रहा है। AI सैंडबॉक्स उतने अलग-थलग नहीं हैं जितना माना जाता है।
3. सप्लाई चेन संतृप्ति हमले — GlassWorm द्वारा GitHub, npm, VSCode और OpenVSX पर 400+ रिपॉजिटरी का एक साथ लक्ष्यीकरण दिखाता है कि हमलावर एक साथ कई पारिस्थितिकी तंत्रों को प्रभावित करने के लिए स्केल कर रहे हैं, जिससे पहचान और प्रतिक्रिया तेजी से कठिन हो रही है।
4. हथियार के रूप में ब्राउज़र — DRILLAPP का Edge डिबगिंग का दुरुपयोग, फ़ॉन्ट-रेंडरिंग AI इवेजन ट्रिक और Storm-2561 की नकली VPN अभियान सभी इंगित करते हैं कि 2026 में ब्राउज़र प्राथमिक हमला वेक्टर बन रहा है। लेयर 7 हमले, API दुरुपयोग और AI-संचालित अभियान मल्टी-वेक्टर संचालन में अभिसरण कर रहे हैं (Akamai के अनुसार)।
5. बड़े पैमाने पर VPN क्रेडेंशियल चोरी — Storm-2561 SEO पॉइज़निंग के माध्यम से नकली VPN क्लाइंट वितरित कर रहा है जो रिमोट एक्सेस बुनियादी ढांचे में निरंतर रुचि प्रदर्शित करता है, क्रेडेंशियल चोरों के साथ ट्रोजन तैनात कर रहा है।
🎯 KENSAI प्रासंगिकता
आज की खुफिया जानकारी सीधे KENSAI की बाजार स्थिति और उत्पाद रोडमैप को प्रभावित करती है:
- साइबर अभिनेताओं पर EU प्रतिबंध NIS2 की तात्कालिकता को मजबूत करते हैं — EU सक्रिय रूप से महत्वपूर्ण बुनियादी ढांचे पर हमला करने वाले खतरा अभिनेताओं का नाम लेकर दंडित कर रहा है। KENSAI का अनुपालन कोण मान्य है।
- AI सुरक्षा अंतर — 67% CISO के पास AI तैनाती की दृश्यता नहीं है। KENSAI DACH बाजार में AI सुरक्षा स्कैनिंग को विभेदक के रूप में स्थापित कर सकता है।
- सप्लाई चेन हमले इस पैमाने पर (GlassWorm 400+ रेपो को प्रभावित कर रहा है) डिपेंडेंसी स्कैनिंग और SBOM जनरेशन को आवश्यक बनाते हैं — ऐसी विशेषताएँ जिन्हें KENSAI को उजागर करना चाहिए।
- आज $89.5M सुरक्षा फंडिंग (Surf AI + Tracebit + OSS पहल) — बाजार गर्म है। Q2 की ओर सुरक्षा उपकरणों के लिए निवेशक भूख मजबूत बनी हुई है।
- ब्राउज़र-आधारित हमलों का अभिसरण DAST स्कैनिंग दृष्टिकोणों को मान्य करता है — बाहरी वेब ऐप सुरक्षा परीक्षण पहले से कहीं अधिक महत्वपूर्ण है।
स्रोत: BleepingComputer, The Hacker News, SecurityWeek, ReliaQuest, BeyondTrust, S2 Grupo LAB52, Genians, StepSecurity, Akamai · KENSAI Security Intelligence द्वारा संकलित · kensai.app