剣 KENSAI
← Back to archive
दैनिक खुफिया संक्षिप्त

KENSAI सुरक्षा अनुसंधान

बुधवार, 25 मार्च 2026 — 04:00 CET
4
डेटा उल्लंघन
3
गंभीर CVE
3
सप्लाई चेन हमले
1
रैंसमवेयर सज़ा

⚡ सारांश — आज क्या महत्वपूर्ण है

  • TeamPCP सप्लाई चेन हमला जारी — LiteLLM PyPI पैकेज में क्रेडेंशियल हार्वेस्टर और K8s लेटरल मूवमेंट टूल्स वाला बैकडोर; Checkmarx GitHub Actions भी समझौता
  • CVE-2026-4681 (PTC Windchill) — इतनी गंभीर RCE ज़ीरो-डे कि जर्मन BKA पुलिस ने रात में सिस्टम एडमिन को जगाकर एडवाइज़री पहुंचाई
  • HackerOne कर्मचारी डेटा उल्लंघन — समझौता किए गए लाभ प्रशासक Navia के माध्यम से
  • QualDerm उल्लंघन — 31 लाख मेडिकल रिकॉर्ड चोरी
  • Lapsus$ का AstraZeneca हैक का दावा — कोड रिपॉज़िटरी, क्रेडेंशियल्स और कर्मचारी डेटा कथित रूप से प्रभावित
  • FCC ने विदेशी राउटर्स पर प्रतिबंध लगाया — अमेरिका के बाहर निर्मित सभी उपभोक्ता राउटर्स की बिक्री पर प्रतिबंध
  • RSAC 2026 शुरू — प्रमुख विक्रेताओं की घोषणाएं जारी
🔴 गंभीर कमज़ोरियां
CVE-2026-4681 — PTC Windchill / FlexPLM रिमोट कोड एक्सीक्यूशन (ज़ीरो-डे)
PTC Inc. · 24 मार्च 2026 · कोई पैच उपलब्ध नहीं
Windchill और FlexPLM प्रोडक्ट लाइफसाइकल मैनेजमेंट सिस्टम में गंभीर डीसीरियलाइज़ेशन कमज़ोरी जो बिना प्रमाणीकरण के रिमोट कोड एक्सीक्यूशन की अनुमति देती है। गंभीरता अभूतपूर्व है — जर्मन संघीय पुलिस (BKA) ने सप्ताहांत में देशभर की कंपनियों में एजेंट भेजे, सिस्टम एडमिनिस्ट्रेटर्स को रात में जगाकर व्यक्तिगत रूप से एडवाइज़री सौंपी। PTC ने IoCs प्रकाशित किए हैं जिनमें वेबशेल इंडिकेटर्स (GW.class, dpr_*.jsp फाइलें) और संदिग्ध user-agent पैटर्न शामिल हैं। अभी कोई पैच उपलब्ध नहीं; विक्रेता तुरंत Apache/IIS servlet path denial नियम लागू करने और इंटरनेट-फेसिंग इंस्टेंस को डिस्कनेक्ट करने की सिफारिश करता है।
CRITICALZERO-DAYRCEPLMविनिर्माण
→ BleepingComputer
🛡️ KENSAI प्रासंगिकता: PLM सिस्टम DACH विनिर्माण और रक्षा क्षेत्रों में व्यापक रूप से उपयोग होते हैं — NIS2 अनुपालन के मुख्य लक्ष्य। यह ज़ीरो-डे सीधे उन औद्योगिक संगठनों को प्रभावित करता है जिन्हें KENSAI सेवा प्रदान करता है।
गंभीर Citrix NetScaler कमज़ोरी — प्री-ऑथ सूचना प्रकटीकरण
Citrix · 24 मार्च 2026
Citrix NetScaler में एक आउट-ऑफ-बाउंड्स रीड कमज़ोरी को बिना प्रमाणीकरण के दूरस्थ रूप से मेमोरी से संवेदनशील जानकारी पढ़ने के लिए शोषित किया जा सकता है। NetScaler उपकरणों की व्यापक तैनाती को देखते हुए कई सुरक्षा फर्मों ने चेतावनी दी है कि शोषण आसन्न है। संगठनों को तुरंत पैच करना चाहिए।
CRITICALPRE-AUTHNETSCALERनेटवर्क
→ SecurityWeek
Chrome 146 — आठ उच्च-गंभीरता मेमोरी सुरक्षा फिक्स
Google · 24 मार्च 2026
Google ने Chrome 146 जारी किया जिसमें सात विभिन्न कंपोनेंट्स को प्रभावित करने वाले आठ मेमोरी सुरक्षा बग्स को पैच किया गया। संगठनों को अपने पूरे फ्लीट में तुरंत ब्राउज़र अपडेट पुश करने चाहिए।
HIGHब्राउज़रMEMORY-SAFETY
→ SecurityWeek
⛓️ सप्लाई चेन हमले — TeamPCP आक्रमण
LiteLLM PyPI पैकेज में बैकडोर (संस्करण 1.82.7–1.82.8)
TeamPCP · 24 मार्च 2026 · सप्लाई चेन
TeamPCP खतरा अभिनेता — हाल के Trivy और KICS समझौतों के पीछे — ने अब PyPI पर लोकप्रिय LiteLLM Python पैकेज में बैकडोर लगाया है। पेलोड एक तीन-चरणीय हमला है:

चरण 1: क्रेडेंशियल हार्वेस्टर जो SSH कुंजियां, क्लाउड क्रेडेंशियल्स, K8s सीक्रेट्स, क्रिप्टो वॉलेट्स और .env फाइलें स्वीप करता है
चरण 2: Kubernetes लेटरल मूवमेंट टूलकिट जो हर नोड पर प्रिविलेज्ड पॉड्स डिप्लॉय करता है
चरण 3: पर्सिस्टेंट systemd बैकडोर (sysmon.service) जो अतिरिक्त बाइनरीज़ के लिए C2 डोमेन को पोल करता है

दुर्भावनापूर्ण संस्करण PyPI से हटा दिए गए हैं। जिसने भी litellm 1.82.7 या 1.82.8 इंस्टॉल किया है, उसे अपने वातावरण को पूरी तरह से समझौता मानना चाहिए।
CRITICALSUPPLY-CHAINPYPIK8SCREDENTIAL-THEFT
→ The Hacker News
🛡️ KENSAI प्रासंगिकता: LiteLLM AI/LLM पाइपलाइनों में व्यापक रूप से उपयोग होता है। यह हमला AI टूलिंग में सप्लाई चेन समझौतों के बढ़ते जोखिम को प्रदर्शित करता है — KENSAI की SCA और SBOM क्षमताओं का एक प्रमुख क्षेत्र।
Checkmarx GitHub Actions चुराए गए CI क्रेडेंशियल्स से समझौता
TeamPCP · 24 मार्च 2026 · सप्लाई चेन
TeamPCP ने चुराए गए CI क्रेडेंशियल्स का उपयोग करके दो Checkmarx-अनुरक्षित GitHub Actions वर्कफ्लो (checkmarx/ast-github-action और checkmarx/kics-github-action) से समझौता किया — संभवतः पहले के Trivy सप्लाई चेन उल्लंघन से प्राप्त। यह वही खतरा अभिनेता है जो परस्पर जुड़ी CI/CD निर्भरताओं के माध्यम से अपनी पहुंच बढ़ा रहा है।
CRITICALSUPPLY-CHAINCI/CDGITHUB-ACTIONS
→ The Hacker News
"Ghost" अभियान — 7 दुर्भावनापूर्ण npm पैकेज क्रिप्टो वॉलेट्स चुरा रहे हैं
ReversingLabs · 24 मार्च 2026 · सप्लाई चेन
उपयोगकर्ता "mikilanjillo" द्वारा प्रकाशित सात npm पैकेज क्रिप्टोकरेंसी वॉलेट्स और क्रेडेंशियल्स चुरा रहे हैं। पैकेज नामों में react-performance-suite, react-state-optimizer-core, react-fast-utilsa और ai-fast-auto-trader शामिल हैं — वैध React और AI यूटिलिटी लाइब्रेरीज़ जैसा दिखने के लिए डिज़ाइन किए गए।
HIGHSUPPLY-CHAINNPMक्रिप्टो-चोरी
→ The Hacker News
💀 डेटा उल्लंघन
QualDerm — 31 लाख मरीज़ रिकॉर्ड चोरी
QualDerm Partners · 24 मार्च 2026
हैकर्स ने QualDerm के आंतरिक सिस्टम से व्यक्तिगत जानकारी, मेडिकल रिकॉर्ड और स्वास्थ्य बीमा डेटा चुराया। 31 लाख व्यक्ति प्रभावित — इस तिमाही के सबसे बड़े स्वास्थ्य सेवा उल्लंघनों में से एक।
उल्लंघनस्वास्थ्य सेवा31 लाख रिकॉर्ड
→ SecurityWeek
HackerOne कर्मचारी डेटा उल्लंघन Navia लाभ प्रशासक के माध्यम से
HackerOne · 24 मार्च 2026
बग बाउंटी प्लेटफ़ॉर्म HackerOne सैकड़ों कर्मचारियों को सूचित कर रहा है कि हमलावरों ने कंपनी द्वारा उपयोग किए जाने वाले अमेरिकी लाभ प्रशासक Navia से समझौता करने के बाद उनका डेटा चुराया गया। यह एक तृतीय-पक्ष/सप्लाई चेन डेटा उल्लंघन है — हमलावर ने सीधे HackerOne पर हमला नहीं किया।
उल्लंघनतृतीय-पक्षHR-डेटा
→ BleepingComputer
Infinite Campus — K-12 छात्र डेटा ShinyHunters द्वारा चोरी
Infinite Campus · 24 मार्च 2026
व्यापक रूप से उपयोग किया जाने वाला K-12 छात्र सूचना प्रणाली Infinite Campus ShinyHunters खतरा अभिनेता द्वारा जबरन वसूली के प्रयास के बाद ग्राहकों को डेटा उल्लंघन की चेतावनी दे रहा है। छात्र और स्कूल डेटा ख़तरे में।
उल्लंघनशिक्षाजबरन वसूली
→ BleepingComputer
Lapsus$ का AstraZeneca हैक का दावा — कोड रिपॉज़िटरी, क्रेडेंशियल्स, कर्मचारी डेटा
AstraZeneca · 24 मार्च 2026
Lapsus$ जबरन वसूली समूह ने AstraZeneca को हैक करने का दावा किया है, कथित तौर पर आंतरिक कोड रिपॉज़िटरी, क्रेडेंशियल्स और कर्मचारी डेटा से समझौता किया। जांच जारी।
उल्लंघनफार्माजबरन वसूली
→ SecurityWeek
डच वित्त मंत्रालय — कर्मचारी डेटा उल्लंघन
नीदरलैंड · 24 मार्च 2026
डच वित्त मंत्रालय ने कर्मचारी डेटा को प्रभावित करने वाले उल्लंघन का खुलासा किया। विवरण अभी सामने आ रहे हैं, लेकिन यह यूरोपीय सरकारी संस्थाओं को निशाना बनाने के एक पैटर्न में जुड़ता है।
उल्लंघनसरकारEU
→ BleepingComputer
🛡️ KENSAI प्रासंगिकता: EU सरकारी उल्लंघन NIS2 अनुपालन की तात्कालिकता को मज़बूत करते हैं — DACH/EU बाज़ार के लिए KENSAI का प्राथमिक बिक्री वर्णन।
Mazda — कर्मचारी और भागीदार डेटा चोरी
Mazda · 24 मार्च 2026
हैकर्स ने एक आंतरिक प्रबंधन प्रणाली से आंतरिक ID, नाम, ईमेल पते और व्यावसायिक भागीदार ID चुराए। प्रभाव का दायरा अभी आकलन में है।
उल्लंघनऑटोमोटिव
→ SecurityWeek
⚖️ रैंसमवेयर और कानून प्रवर्तन
Yanluowang रैंसमवेयर एक्सेस ब्रोकर को 81 महीने की सज़ा
U.S. DOJ · 24 मार्च 2026
एक रूसी नागरिक को Yanluowang रैंसमवेयर समूह के लिए इनिशियल एक्सेस ब्रोकर (IAB) के रूप में कार्य करने का दोषी ठहराने के बाद लगभग 7 साल (81 महीने) की अमेरिकी संघीय जेल की सज़ा सुनाई गई। संचालन से लगभग $9M का नुकसान हुआ। अंतर्राष्ट्रीय कानून प्रवर्तन सहयोग के लिए एक जीत।
RANSOMWAREकानून प्रवर्तनसज़ा
→ BleepingComputer
🎣 मैलवेयर और फ़िशिंग अभियान
FAUX#ELEVATE — फ़र्ज़ी रेज़्यूमे से क्रिप्टो माइनर्स और इन्फो स्टीलर्स तैनात
Securonix · 24 मार्च 2026
एक चल रहा फ़िशिंग अभियान रेज़्यूमे के रूप में प्रच्छन्न अस्पष्टीकृत VBScript फाइलों का उपयोग करके फ्रेंच-भाषी कॉर्पोरेट वातावरणों को लक्षित करता है। बहुउद्देशीय टूलकिट क्रेडेंशियल चोरी, डेटा एक्सफ़िल्ट्रेशन और Monero माइनिंग को जोड़ता है। स्टेजिंग के लिए Dropbox, C2 के लिए मोरक्कन WordPress साइट्स और एक्सफ़िल के लिए mail.ru SMTP का उपयोग।
HIGHफ़िशिंगCRYPTOMININGINFOSTEALER
→ The Hacker News
टैक्स सीज़न मैलवर्टाइज़िंग — BYOVD के माध्यम से ScreenConnect RAT
24 मार्च 2026 · जनवरी 2026 से सक्रिय
एक बड़े पैमाने का मैलवर्टाइज़िंग अभियान कर दस्तावेज़ों की खोज करने वाले अमेरिकी उपयोगकर्ताओं को लक्षित करने के लिए Google Ads का दुरुपयोग करता है। दुर्भावनापूर्ण ConnectWise ScreenConnect इंस्टॉलर्स डिलीवर करता है जो "HwAudKiller" तैनात करते हैं — एक टूल जो EDR/AV उत्पादों को अक्षम करने के लिए Huawei ड्राइवर के साथ Bring Your Own Vulnerable Driver (BYOVD) तकनीक का उपयोग करता है। जनवरी से सक्रिय, अमेरिकी कर समय सीमा निकट आने पर तेज़ होने की संभावना।
HIGHमैलवर्टाइज़िंगBYOVDEDR-BYPASS
→ The Hacker News
🏛️ नीति, उद्योग और टूल्स
FCC ने सभी विदेशी निर्मित उपभोक्ता राउटर्स पर प्रतिबंध लगाया
FCC · 24 मार्च 2026
फेडरल कम्युनिकेशंस कमीशन ने अपनी कवर्ड लिस्ट को अपडेट करते हुए विदेशों में निर्मित सभी उपभोक्ता राउटर्स को शामिल किया है, जिससे अमेरिका में नए मॉडलों की बिक्री प्रतिबंधित हो गई है। हार्डवेयर सप्लाई चेन सुरक्षा के लिए अमेरिकी दृष्टिकोण में महत्वपूर्ण वृद्धि।
नीतिSUPPLY-CHAINहार्डवेयर
→ BleepingComputer
Firefox 149 — मुफ़्त बिल्ट-इन VPN (50GB/माह)
Mozilla · 24 मार्च 2026
Mozilla ने बिल्ट-इन VPN के साथ Firefox 149 जारी किया जो बिना किसी शुल्क के प्रति माह 50GB तक ट्रैफ़िक प्रदान करता है। मुख्यधारा ब्राउज़रों में प्राइवेसी-बाय-डिफ़ॉल्ट की दिशा में एक उल्लेखनीय कदम।
टूलगोपनीयताब्राउज़र
→ BleepingComputer
RSAC 2026 सम्मेलन — दिन 1 की घोषणाएं
RSAC · 24 मार्च 2026
RSA Conference 2026 विक्रेता घोषणाओं की लहर के साथ शुरू हुआ। प्रमुख विषय: Guardian Agents (AI एजेंट्स जो अन्य AI एजेंट्स की निगरानी करते हैं — Gartner ने अपनी पहली मार्केट गाइड प्रकाशित की), एजेंटिक AI गवर्नेंस, और पहचान + क्लाउड सुरक्षा का निरंतर अभिसरण।
उद्योगRSACAI-SECURITY
→ SecurityWeek
Gartner की पहली "Guardian Agents" मार्केट गाइड
Gartner · 25 फरवरी प्रकाशित, 24 मार्च रिपोर्टेड
Gartner ने Guardian Agents के लिए अपनी पहली मार्केट गाइड जारी की — AI एजेंट्स जो अन्य AI एजेंट्स की निगरानी करते हैं ताकि सुनिश्चित हो कि उनकी क्रियाएं लक्ष्यों और सीमाओं के अनुरूप हैं। यह नई श्रेणी सीधे प्रासंगिक है क्योंकि एजेंटिक AI प्लेटफ़ॉर्म निष्क्रिय टूल्स से वास्तविक सिस्टम एक्सेस वाले स्वायत्त कर्ताओं में बदल रहे हैं।
बाज़ारAI-GOVERNANCEGARTNER
→ The Hacker News
🛡️ KENSAI प्रासंगिकता: Guardian Agent श्रेणी AI सुरक्षा निगरानी के बाज़ार को मान्य करती है — सीधे KENSAI की पोज़िशनिंग से सटी हुई। कंटेंट और पोज़िशनिंग अवसरों के लिए ट्रैक करने योग्य।
AWS Bedrock — XM Cyber द्वारा 8 अटैक वेक्टर्स मैप किए गए
XM Cyber · 23 मार्च 2026
XM Cyber की थ्रेट रिसर्च टीम ने AWS Bedrock वातावरणों के अंदर आठ अटैक वेक्टर्स मैप किए। जब AI एजेंट्स Salesforce क्वेरी कर सकते हैं, Lambda फंक्शन ट्रिगर कर सकते हैं, या SharePoint नॉलेज बेस से पुल कर सकते हैं, तो वे अनुमतियों और महत्वपूर्ण एसेट्स तक पहुंचने योग्य पथों वाले इंफ्रास्ट्रक्चर में नोड्स बन जाते हैं। शोध क्लाउड वातावरणों में एजेंटिक AI के बढ़ते अटैक सर्फेस को उजागर करता है।
HIGHक्लाउडAI-SECURITYAWS
→ The Hacker News
🌍 भू-राजनीतिक और राज्य-प्रायोजित
पोलैंड को 2025 में साइबर हमलों की बाढ़ का सामना, ऊर्जा क्षेत्र पर बड़ा हमला शामिल
Poland CERT · 24 मार्च 2026
पोलैंड ने 2025 में साइबर हमलों में भारी वृद्धि की रिपोर्ट की, जिसमें दिसंबर में देश की ऊर्जा प्रणाली में विनाशकारी घुसपैठ शामिल है, जो रूस से उत्पन्न होने का संदेह है। पूर्वव्यापी रिपोर्ट यूरोपीय महत्वपूर्ण बुनियादी ढांचे के लिए चल रहे राज्य-प्रायोजित खतरों को रेखांकित करती है।
STATE-SPONSOREDऊर्जाEU
→ SecurityWeek
ईरान का निगरानी कैमरा नेटवर्क इज़राइल द्वारा लक्ष्य निर्धारण के लिए हाइजैक
SecurityWeek · 24 मार्च 2026
इज़राइल ने कथित तौर पर ईरान के राष्ट्रीय स्ट्रीट कैमरा निगरानी नेटवर्क को हाइजैक किया, जो मूल रूप से असंतोष को दबाने के लिए बनाया गया था, और इसे लक्ष्य निर्धारण उपकरण के रूप में पुनर्प्रयोजित किया। ईरान के सर्वोच्च नेता की हत्या में इसकी भूमिका यह रेखांकित करती है कि निगरानी प्रणालियां कैसे युद्ध की संपत्ति बन रही हैं।
साइबर युद्धनिगरानीSTATE-SPONSORED
→ SecurityWeek
Stryker — ईरानी सरकारी हैकर्स से जुड़ी दुर्भावनापूर्ण फ़ाइल
FBI · 24 मार्च 2026
FBI ने Stryker पर हमले में ईरानी सरकारी हैकर्स द्वारा उपयोग किए गए मैलवेयर का वर्णन करने वाला अलर्ट प्रकाशित किया। जांच के दौरान एक दुर्भावनापूर्ण फ़ाइल पाई गई। ईरान से जुड़ी टूलिंग का विवरण अब थ्रेट इंटेलिजेंस उद्देश्यों के लिए सार्वजनिक है।
STATE-SPONSOREDईरानमैलवेयर
→ SecurityWeek
📊 उभरते खतरा पैटर्न
1. सप्लाई चेन हमले तेज़ हो रहे हैं
TeamPCP का कैस्केडिंग समझौता (Trivy → KICS → LiteLLM → Checkmarx) दिखाता है कि कैसे एक एकल CI/CD उल्लंघन परस्पर जुड़ी ओपन-सोर्स टूलिंग के माध्यम से प्रसारित हो सकता है। "Ghost" npm अभियान पैटर्न को मज़बूत करता है। और अधिक की उम्मीद करें।

2. AI टूलिंग नया अटैक सर्फेस है
LiteLLM (AI प्रॉक्सी), AWS Bedrock अटैक वेक्टर्स, Guardian Agent गवर्नेंस — तीन अलग-अलग कहानियां सभी एजेंटिक AI इंफ्रास्ट्रक्चर के प्रमुख लक्ष्य बनने की ओर इशारा करती हैं। AI एजेंट्स तैनात करने वाले संगठनों को अभी सुरक्षा निगरानी की आवश्यकता है।

3. BYOVD मुख्यधारा में आ रहा है
Huawei ड्राइवर का उपयोग करके EDR को अक्षम करने वाला टैक्स सीज़न मैलवर्टाइज़िंग अभियान दिखाता है कि BYOVD (Bring Your Own Vulnerable Driver) अब केवल APT तकनीक नहीं रही — कमोडिटी मैलवेयर अभियान इसे अपना रहे हैं।

4. यूरोपीय सरकारें निरंतर दबाव में
डच वित्त मंत्रालय उल्लंघन, पोलिश ऊर्जा क्षेत्र हमले, और PTC Windchill आपातकाल (जिसने BKA लामबंदी को ट्रिगर किया) EU बुनियादी ढांचे के लगातार खतरे में होने की तस्वीर पेश करते हैं — NIS2 अनुपालन की तात्कालिकता को और मज़बूत करते हुए।

5. तृतीय-पक्ष/विक्रेता जोखिम अभी भी कम आंका जाता है
HackerOne एक लाभ प्रशासक के माध्यम से हैक। AstraZeneca कथित रूप से हैक। Mazda एक आंतरिक प्रबंधन प्रणाली के माध्यम से। विक्रेताओं और भागीदारों के माध्यम से हमले का मार्ग सबसे कमज़ोर कड़ी बना हुआ है।