🛡️ दैनिक सुरक्षा अनुसंधान सारांश
🔴 सप्लाई चेन हमले
Axios npm पैकेज से छेड़छाड़ — क्रॉस-प्लेटफ़ॉर्म RAT तैनात
गंभीर supply-chain npm ratAxios HTTP क्लाइंट (100M+ साप्ताहिक डाउनलोड) एक लक्षित सप्लाई चेन हमले का शिकार हुआ। हमलावर ने मेंटेनर Jason Saayman के npm अकाउंट को कम्प्रोमाइज़ करके दुर्भावनापूर्ण संस्करण 1.14.1 और 0.30.4 प्रकाशित किए, जिनमें एक नकली डिपेंडेंसी plain-crypto-js इंजेक्ट की गई जो Windows, macOS और Linux पर प्लेटफ़ॉर्म-विशिष्ट RAT वितरित करती है।
- दुर्भावनापूर्ण डिपेंडेंसी को 18 घंटे पहले तैयार किया गया था — यह पूर्व-नियोजित था
- RAT शेल कमांड निष्पादन, डायरेक्टरी एन्यूमरेशन और base64-एन्कोडेड बाइनरी पेलोड का समर्थन करता है
- ड्रॉपर स्व-विनाश करता है और फ़ॉरेंसिक को बाधित करने के लिए package.json को क्लीन कॉपी से बदल देता है
- OIDC पैकेज ऑरिजिन के बिना प्रकाशित, कोई मैचिंग GitHub कमिट नहीं
कार्रवाई: तुरंत लॉकफ़ाइल्स में axios@1.14.1 या axios@0.30.4 की जाँच करें। ज्ञात-सुरक्षित संस्करणों पर पिन करें। CI/CD में अप्रत्याशित डिपेंडेंसी परिवर्तनों का ऑडिट करें।
Trivy सप्लाई चेन हमले के ज़रिए Cisco में सेंध — सोर्स कोड चोरी
गंभीर supply-chain breach TeamPCPTrivy भेद्यता स्कैनर सप्लाई चेन हमले से चुराए गए क्रेडेंशियल्स का उपयोग करके Cisco के आंतरिक विकास वातावरण में सेंध लगाई गई। खतरनाक अभिकर्ताओं ने AI Assistants, AI Defense और अप्रकाशित उत्पादों के सोर्स कोड सहित 300+ GitHub रिपॉज़िटरी क्लोन कीं।
- कई AWS कुंजियाँ चोरी हुईं और Cisco AWS अकाउंट्स में अनधिकृत गतिविधियों के लिए उपयोग की गईं
- चोरी की गई रिपॉज़ में बैंकों, BPO और अमेरिकी सरकारी एजेंसियों का कोड शामिल
- अलग-अलग गतिविधि स्तरों वाले कई खतरनाक अभिकर्ता शामिल
- हमले का श्रेय TeamPCP खतरा समूह को — वही अभिकर्ता जो Trivy, LiteLLM और Checkmarx कम्प्रोमाइज़ के पीछे हैं
- Cisco ने प्रभावित सिस्टमों को अलग कर दिया है और क्रेडेंशियल रोटेशन शुरू किया है
🎯 सक्रिय शोषण और ज़ीरो-डे
TrueConf ज़ीरो-डे (CVE-2026-3502) का दक्षिण-पूर्व एशियाई सरकारों के विरुद्ध शोषण
उच्च — CVSS 7.8 zero-day apt china-nexusTrueConf वीडियो कॉन्फ़्रेंसिंग क्लाइंट में एक ज़ीरो-डे का TrueChaos नामक अभियान में दक्षिण-पूर्व एशिया की सरकारी संस्थाओं को लक्षित करते हुए जंगल में शोषण किया गया। यह खामी उन हमलावरों को अनुमति देती है जो ऑन-प्रिमाइसेस TrueConf सर्वर को नियंत्रित करते हैं, सभी कनेक्टेड एंडपॉइंट्स पर छेड़छाड़ किए गए अपडेट वितरित कर सकते हैं।
- DLL साइड-लोडिंग के माध्यम से Havoc C2 फ़्रेमवर्क तैनात करने के लिए शोषण किया गया
- मध्यम विश्वास के साथ चीनी-संबद्ध खतरा अभिकर्ता को श्रेय दिया गया
- C2 के लिए Alibaba Cloud और Tencent इन्फ़्रास्ट्रक्चर का उपयोग
- उसी समयावधि में उन्हीं पीड़ितों को ShadowPad से भी लक्षित किया गया
- TrueConf Windows क्लाइंट संस्करण 8.5.3 में पैच किया गया
Citrix NetScaler गंभीर खामी (CVE-2026-3055) का सक्रिय शोषण जारी
गंभीर — CVSS 9.3 active-exploitation citrixCitrix NetScaler ADC और NetScaler Gateway में एक गंभीर भेद्यता का 27 मार्च से सक्रिय शोषण किया जा रहा है। यह खामी अपर्याप्त इनपुट वैलिडेशन से संबंधित है जो मेमोरी ओवररीड का कारण बनती है और संभावित संवेदनशील जानकारी लीक करती है। शोषण के लिए एप्लायंस को SAML Identity Provider के रूप में कॉन्फ़िगर होना आवश्यक है।
कार्रवाई: तुरंत पैच करें। कम्प्रोमाइज़ के संकेतकों के लिए SAML IDP कॉन्फ़िगरेशन की जाँच करें।
Fortinet FortiClient EMS SQL Injection — शोषण शुरू
गंभीर active-exploitation fortinetFortinet FortiClient EMS में एक गंभीर SQL Injection भेद्यता अनधिकृत हमलावरों को तैयार किए गए HTTP अनुरोधों के माध्यम से दूरस्थ रूप से मनमाना कोड निष्पादित करने की अनुमति देती है। जंगल में शोषण देखा गया है।
🔬 भेद्यताएँ और CVE
Vim और Emacs RCE बग Claude AI द्वारा खोजे गए
उच्च rce ai-discovered vim emacsशोधकर्ता Hung Nguyen ने Claude का उपयोग करके Vim और GNU Emacs दोनों में RCE भेद्यताएँ खोजीं जो केवल एक फ़ाइल खोलने पर सक्रिय होती हैं।
- Vim: मॉडलाइन हैंडलिंग बाइपास सैंडबॉक्स एस्केप और मनमाना कमांड निष्पादन की अनुमति देता है। सभी संस्करण ≤9.2.0271 प्रभावित। 9.2.0272 में पैच किया गया।
- Emacs: vc-git इंटीग्रेशन हमलावर-नियंत्रित
.git/configपढ़ता है औरcore.fsmonitorप्रोग्राम निष्पादित करता है। Emacs मेंटेनर इसे Git की ज़िम्मेदारी मानते हैं — अनपैच्ड।
GIGABYTE Control Center — मनमाना फ़ाइल लिखने की खामी
उच्च arbitrary-write gigabyteGIGABYTE Control Center में एक मनमाना फ़ाइल-लिखने की खामी है जो दूरस्थ, अनधिकृत हमलावरों को कमज़ोर होस्ट पर फ़ाइलों तक पहुँचने की अनुमति देती है।
StrongSwan इंटीजर अंडरफ़्लो — VPN क्रैश (15 वर्षों के रिलीज़)
उच्च vpn dosStrongSwan में एक दूरस्थ रूप से शोषण योग्य इंटीजर अंडरफ़्लो भेद्यता अनधिकृत हमलावरों को VPN कनेक्शन क्रैश करने की अनुमति देती है। यह खामी 15 वर्षों के रिलीज़ में मौजूद है।
Vertex AI अनुमति मॉडल दुरुपयोग — Google Cloud डेटा एक्सपोज़र
उच्च cloud google aiPalo Alto Unit 42 ने Google Cloud के Vertex AI प्लेटफ़ॉर्म में एक सुरक्षा कमज़ोरी का खुलासा किया जहाँ AI एजेंट्स को अनुमति मॉडल दुरुपयोग के माध्यम से संवेदनशील डेटा तक अनधिकृत पहुँच प्राप्त करने और क्लाउड वातावरण को कम्प्रोमाइज़ करने के लिए हथियार बनाया जा सकता है।
CrewAI भेद्यताएँ — प्रॉम्प्ट इंजेक्शन के ज़रिए सैंडबॉक्स एस्केप
उच्च ai-agents sandbox-escapeCrewAI फ़्रेमवर्क में भेद्यताएँ हमलावरों को प्रॉम्प्ट इंजेक्शन का शोषण करके बग्स को चेन करने, सैंडबॉक्स से बाहर निकलने और होस्ट डिवाइसों पर मनमाना कोड निष्पादित करने की अनुमति देती हैं।
OpenAI Codex / ChatGPT भेद्यताएँ पैच की गईं
उच्च openai data-exfiltrationOpenAI ने दो भेद्यताएँ पैच कीं: एक ChatGPT डेटा एक्सफ़िल्ट्रेशन खामी जो एक दुर्भावनापूर्ण प्रॉम्प्ट के माध्यम से बातचीत डेटा की गुप्त निकासी की अनुमति देती थी, और एक Codex भेद्यता जो GitHub टोकन कम्प्रोमाइज़ को सक्षम करती थी।
📊 डेटा उल्लंघन और घटनाएँ
Lloyds Banking Group — 4,50,000 उपयोगकर्ताओं के लेनदेन उजागर
उच्च breach bankingLloyds Banking Group में एक दोषपूर्ण सॉफ़्टवेयर अपडेट के कारण मोबाइल बैंकिंग उपयोगकर्ताओं का लेनदेन डेटा एप्लिकेशन के अन्य उपयोगकर्ताओं को दिखाई दे गया, जिससे लगभग 4,50,000 व्यक्ति प्रभावित हुए।
CareCloud हेल्थकेयर प्लेटफ़ॉर्म — संभावित डेटा उल्लंघन
मध्यम healthcare breachहेल्थकेयर IT प्लेटफ़ॉर्म CareCloud ने अपने एक इलेक्ट्रॉनिक हेल्थ रिकॉर्ड वातावरण से जुड़ी एक साइबर सुरक्षा घटना का खुलासा किया। जाँच जारी है।
Anthropic Claude Code सोर्स कोड लीक
मध्यम leak aiAnthropic ने गलती से एक npm पैकेज के माध्यम से Claude Code (क्लोज़्ड सोर्स) का सोर्स कोड लीक कर दिया। कंपनी का कहना है कि कोई ग्राहक डेटा या क्रेडेंशियल्स उजागर नहीं हुए।
🦠 मैलवेयर और खतरा अभिकर्ता
Silver Fox / AtlasCross RAT अभियान — एशिया-व्यापी टाइपोस्क्वॉटिंग
apt rat typosquattingचीनी साइबर अपराध समूह Silver Fox Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams और अन्य की नकल करने वाले 11+ टाइपोस्क्वॉटेड डोमेन का उपयोग करके नए प्रलेखित AtlasCross RAT वितरित करने का सक्रिय अभियान चला रहा है। यह उनके पिछले Gh0st RAT व्युत्पन्नों से एक विकास को दर्शाता है।
Venom Stealer — निरंतर क्रेडेंशियल हार्वेस्टिंग
infostealer maasVenom Stealer, बिल्ट-इन पर्सिस्टेंस और ऑटोमेशन वाला एक लाइसेंस्ड मैलवेयर-एज़-ए-सर्विस, हमलावरों को कम्प्रोमाइज़ किए गए सिस्टम से लगातार क्रेडेंशियल, सेशन डेटा और क्रिप्टोकरेंसी एसेट्स निकालने में सक्षम बनाता है।
TeamPCP OSS से AWS वातावरण की ओर बढ़ा
cloud aws lateral-movementTruffleHog का उपयोग करके चोरी किए गए क्रेडेंशियल्स को सत्यापित करने के बाद, TeamPCP हैकिंग समूह को AWS सेवाओं की एन्यूमरेशन और लेटरल मूवमेंट गतिविधियाँ शुरू करते देखा गया है — ओपन-सोर्स सप्लाई चेन हमलों से क्लाउड इन्फ़्रास्ट्रक्चर कम्प्रोमाइज़ तक विस्तार।
📡 उभरते रुझान
AI एजेंट सुरक्षा एक गंभीर चिंता बनी
इस चक्र की कई कहानियाँ AI एजेंट्स के बढ़ते हमले की सतह को उजागर करती हैं:
- प्रॉम्प्ट इंजेक्शन चेन के माध्यम से CrewAI सैंडबॉक्स एस्केप
- क्लाउड डेटा एक्सेस के लिए Vertex AI अनुमति दुरुपयोग
- OpenAI Codex GitHub टोकन कम्प्रोमाइज़
- LLM चुपचाप एक्सेस कंट्रोल तोड़ रहे हैं — छूटी हुई शर्तों के साथ Rego/Cedar पॉलिसी लिख रहे हैं
- बढ़ती सहमति कि AI एजेंट्स को निहित विश्वास नहीं, ज़ीरो-ट्रस्ट सत्यापन की आवश्यकता है
सप्लाई चेन हमलों का औद्योगीकरण
TeamPCP समूह द्वारा Trivy, LiteLLM, Checkmarx और अब Axios के एक साथ कम्प्रोमाइज़ से पता चलता है कि सप्लाई चेन हमलों का बड़े पैमाने पर औद्योगीकरण किया जा रहा है। मुख्य पैटर्न: मेंटेनर अकाउंट कम्प्रोमाइज़ → डिपेंडेंसी इंजेक्ट → CI/CD क्रेडेंशियल्स चोरी → क्लाउड इन्फ़्रास्ट्रक्चर पर पिवट।
क्वांटम कंप्यूटिंग खतरे में तेज़ी
Google शोधकर्ताओं ने प्रदर्शित किया कि Bitcoin और Ethereum एन्क्रिप्शन को तोड़ने के लिए पहले के अनुमान से 20 गुना कम क्यूबिट्स की आवश्यकता है। हालाँकि यह तुरंत व्यावहारिक नहीं है, लेकिन यह पोस्ट-क्वांटम क्रिप्टोग्राफ़ी माइग्रेशन की तात्कालिकता की समयरेखा को काफ़ी तेज़ करता है।
🛠️ टूल्स और रिलीज़
Proton Meet — गोपनीयता-केंद्रित वीडियो कॉन्फ़्रेंसिंग
Proton ने Meet लॉन्च किया, Google Meet, Zoom और Microsoft Teams के विकल्प के रूप में एक गोपनीयता-केंद्रित वीडियो कॉन्फ़्रेंसिंग प्लेटफ़ॉर्म। डिफ़ॉल्ट रूप से एंड-टू-एंड एन्क्रिप्टेड।
Censys ने इंटरनेट इंटेलिजेंस प्लेटफ़ॉर्म के लिए $70M जुटाए
Censys ने अटैक सरफ़ेस मैनेजमेंट और थ्रेट हंटिंग के लिए अपने इंटरनेट इंटेलिजेंस प्लेटफ़ॉर्म का विस्तार करने हेतु $70M (कुल: $149M) जुटाए।