剣 KENSAI
← Back to archive

🛡️ दैनिक सुरक्षा अनुसंधान सारांश

बुधवार, 1 अप्रैल 2026 — 04:00 CEST
⚡ संक्षेप: Axios npm सप्लाई चेन हमले से क्रॉस-प्लेटफ़ॉर्म RAT वितरित (100M+ साप्ताहिक डाउनलोड प्रभावित)। Trivy सप्लाई चेन कम्प्रोमाइज़ के ज़रिए Cisco में सेंध — AI उत्पादों और ग्राहक रिपॉज़िटरी का सोर्स कोड चोरी। TrueConf ज़ीरो-डे (CVE-2026-3502) का चीनी-संबद्ध हमलावर द्वारा दक्षिण-पूर्व एशियाई सरकारों के विरुद्ध शोषण। Claude AI ने Vim और Emacs में RCE बग खोजे। Citrix NetScaler की गंभीर खामी का सक्रिय शोषण जारी। Google ने दिखाया कि क्वांटम क्रिप्टो-ब्रेकिंग के लिए 20 गुना कम क्यूबिट्स की आवश्यकता।

🔴 सप्लाई चेन हमले

Axios npm पैकेज से छेड़छाड़ — क्रॉस-प्लेटफ़ॉर्म RAT तैनात

गंभीर supply-chain npm rat

Axios HTTP क्लाइंट (100M+ साप्ताहिक डाउनलोड) एक लक्षित सप्लाई चेन हमले का शिकार हुआ। हमलावर ने मेंटेनर Jason Saayman के npm अकाउंट को कम्प्रोमाइज़ करके दुर्भावनापूर्ण संस्करण 1.14.1 और 0.30.4 प्रकाशित किए, जिनमें एक नकली डिपेंडेंसी plain-crypto-js इंजेक्ट की गई जो Windows, macOS और Linux पर प्लेटफ़ॉर्म-विशिष्ट RAT वितरित करती है।

  • दुर्भावनापूर्ण डिपेंडेंसी को 18 घंटे पहले तैयार किया गया था — यह पूर्व-नियोजित था
  • RAT शेल कमांड निष्पादन, डायरेक्टरी एन्यूमरेशन और base64-एन्कोडेड बाइनरी पेलोड का समर्थन करता है
  • ड्रॉपर स्व-विनाश करता है और फ़ॉरेंसिक को बाधित करने के लिए package.json को क्लीन कॉपी से बदल देता है
  • OIDC पैकेज ऑरिजिन के बिना प्रकाशित, कोई मैचिंग GitHub कमिट नहीं

कार्रवाई: तुरंत लॉकफ़ाइल्स में axios@1.14.1 या axios@0.30.4 की जाँच करें। ज्ञात-सुरक्षित संस्करणों पर पिन करें। CI/CD में अप्रत्याशित डिपेंडेंसी परिवर्तनों का ऑडिट करें।

The Hacker News · BleepingComputer

Trivy सप्लाई चेन हमले के ज़रिए Cisco में सेंध — सोर्स कोड चोरी

गंभीर supply-chain breach TeamPCP

Trivy भेद्यता स्कैनर सप्लाई चेन हमले से चुराए गए क्रेडेंशियल्स का उपयोग करके Cisco के आंतरिक विकास वातावरण में सेंध लगाई गई। खतरनाक अभिकर्ताओं ने AI Assistants, AI Defense और अप्रकाशित उत्पादों के सोर्स कोड सहित 300+ GitHub रिपॉज़िटरी क्लोन कीं।

  • कई AWS कुंजियाँ चोरी हुईं और Cisco AWS अकाउंट्स में अनधिकृत गतिविधियों के लिए उपयोग की गईं
  • चोरी की गई रिपॉज़ में बैंकों, BPO और अमेरिकी सरकारी एजेंसियों का कोड शामिल
  • अलग-अलग गतिविधि स्तरों वाले कई खतरनाक अभिकर्ता शामिल
  • हमले का श्रेय TeamPCP खतरा समूह को — वही अभिकर्ता जो Trivy, LiteLLM और Checkmarx कम्प्रोमाइज़ के पीछे हैं
  • Cisco ने प्रभावित सिस्टमों को अलग कर दिया है और क्रेडेंशियल रोटेशन शुरू किया है

BleepingComputer

🎯 सक्रिय शोषण और ज़ीरो-डे

TrueConf ज़ीरो-डे (CVE-2026-3502) का दक्षिण-पूर्व एशियाई सरकारों के विरुद्ध शोषण

उच्च — CVSS 7.8 zero-day apt china-nexus

TrueConf वीडियो कॉन्फ़्रेंसिंग क्लाइंट में एक ज़ीरो-डे का TrueChaos नामक अभियान में दक्षिण-पूर्व एशिया की सरकारी संस्थाओं को लक्षित करते हुए जंगल में शोषण किया गया। यह खामी उन हमलावरों को अनुमति देती है जो ऑन-प्रिमाइसेस TrueConf सर्वर को नियंत्रित करते हैं, सभी कनेक्टेड एंडपॉइंट्स पर छेड़छाड़ किए गए अपडेट वितरित कर सकते हैं।

  • DLL साइड-लोडिंग के माध्यम से Havoc C2 फ़्रेमवर्क तैनात करने के लिए शोषण किया गया
  • मध्यम विश्वास के साथ चीनी-संबद्ध खतरा अभिकर्ता को श्रेय दिया गया
  • C2 के लिए Alibaba Cloud और Tencent इन्फ़्रास्ट्रक्चर का उपयोग
  • उसी समयावधि में उन्हीं पीड़ितों को ShadowPad से भी लक्षित किया गया
  • TrueConf Windows क्लाइंट संस्करण 8.5.3 में पैच किया गया

The Hacker News · Check Point Research

Citrix NetScaler गंभीर खामी (CVE-2026-3055) का सक्रिय शोषण जारी

गंभीर — CVSS 9.3 active-exploitation citrix

Citrix NetScaler ADC और NetScaler Gateway में एक गंभीर भेद्यता का 27 मार्च से सक्रिय शोषण किया जा रहा है। यह खामी अपर्याप्त इनपुट वैलिडेशन से संबंधित है जो मेमोरी ओवररीड का कारण बनती है और संभावित संवेदनशील जानकारी लीक करती है। शोषण के लिए एप्लायंस को SAML Identity Provider के रूप में कॉन्फ़िगर होना आवश्यक है।

कार्रवाई: तुरंत पैच करें। कम्प्रोमाइज़ के संकेतकों के लिए SAML IDP कॉन्फ़िगरेशन की जाँच करें।

The Hacker News साप्ताहिक सारांश

Fortinet FortiClient EMS SQL Injection — शोषण शुरू

गंभीर active-exploitation fortinet

Fortinet FortiClient EMS में एक गंभीर SQL Injection भेद्यता अनधिकृत हमलावरों को तैयार किए गए HTTP अनुरोधों के माध्यम से दूरस्थ रूप से मनमाना कोड निष्पादित करने की अनुमति देती है। जंगल में शोषण देखा गया है।

SecurityWeek

🔬 भेद्यताएँ और CVE

Vim और Emacs RCE बग Claude AI द्वारा खोजे गए

उच्च rce ai-discovered vim emacs

शोधकर्ता Hung Nguyen ने Claude का उपयोग करके Vim और GNU Emacs दोनों में RCE भेद्यताएँ खोजीं जो केवल एक फ़ाइल खोलने पर सक्रिय होती हैं।

  • Vim: मॉडलाइन हैंडलिंग बाइपास सैंडबॉक्स एस्केप और मनमाना कमांड निष्पादन की अनुमति देता है। सभी संस्करण ≤9.2.0271 प्रभावित। 9.2.0272 में पैच किया गया।
  • Emacs: vc-git इंटीग्रेशन हमलावर-नियंत्रित .git/config पढ़ता है और core.fsmonitor प्रोग्राम निष्पादित करता है। Emacs मेंटेनर इसे Git की ज़िम्मेदारी मानते हैं — अनपैच्ड

BleepingComputer · Calif Blog

GIGABYTE Control Center — मनमाना फ़ाइल लिखने की खामी

उच्च arbitrary-write gigabyte

GIGABYTE Control Center में एक मनमाना फ़ाइल-लिखने की खामी है जो दूरस्थ, अनधिकृत हमलावरों को कमज़ोर होस्ट पर फ़ाइलों तक पहुँचने की अनुमति देती है।

BleepingComputer

StrongSwan इंटीजर अंडरफ़्लो — VPN क्रैश (15 वर्षों के रिलीज़)

उच्च vpn dos

StrongSwan में एक दूरस्थ रूप से शोषण योग्य इंटीजर अंडरफ़्लो भेद्यता अनधिकृत हमलावरों को VPN कनेक्शन क्रैश करने की अनुमति देती है। यह खामी 15 वर्षों के रिलीज़ में मौजूद है।

SecurityWeek

Vertex AI अनुमति मॉडल दुरुपयोग — Google Cloud डेटा एक्सपोज़र

उच्च cloud google ai

Palo Alto Unit 42 ने Google Cloud के Vertex AI प्लेटफ़ॉर्म में एक सुरक्षा कमज़ोरी का खुलासा किया जहाँ AI एजेंट्स को अनुमति मॉडल दुरुपयोग के माध्यम से संवेदनशील डेटा तक अनधिकृत पहुँच प्राप्त करने और क्लाउड वातावरण को कम्प्रोमाइज़ करने के लिए हथियार बनाया जा सकता है।

The Hacker News

CrewAI भेद्यताएँ — प्रॉम्प्ट इंजेक्शन के ज़रिए सैंडबॉक्स एस्केप

उच्च ai-agents sandbox-escape

CrewAI फ़्रेमवर्क में भेद्यताएँ हमलावरों को प्रॉम्प्ट इंजेक्शन का शोषण करके बग्स को चेन करने, सैंडबॉक्स से बाहर निकलने और होस्ट डिवाइसों पर मनमाना कोड निष्पादित करने की अनुमति देती हैं।

SecurityWeek

OpenAI Codex / ChatGPT भेद्यताएँ पैच की गईं

उच्च openai data-exfiltration

OpenAI ने दो भेद्यताएँ पैच कीं: एक ChatGPT डेटा एक्सफ़िल्ट्रेशन खामी जो एक दुर्भावनापूर्ण प्रॉम्प्ट के माध्यम से बातचीत डेटा की गुप्त निकासी की अनुमति देती थी, और एक Codex भेद्यता जो GitHub टोकन कम्प्रोमाइज़ को सक्षम करती थी।

The Hacker News · SecurityWeek

📊 डेटा उल्लंघन और घटनाएँ

Lloyds Banking Group — 4,50,000 उपयोगकर्ताओं के लेनदेन उजागर

उच्च breach banking

Lloyds Banking Group में एक दोषपूर्ण सॉफ़्टवेयर अपडेट के कारण मोबाइल बैंकिंग उपयोगकर्ताओं का लेनदेन डेटा एप्लिकेशन के अन्य उपयोगकर्ताओं को दिखाई दे गया, जिससे लगभग 4,50,000 व्यक्ति प्रभावित हुए।

SecurityWeek

CareCloud हेल्थकेयर प्लेटफ़ॉर्म — संभावित डेटा उल्लंघन

मध्यम healthcare breach

हेल्थकेयर IT प्लेटफ़ॉर्म CareCloud ने अपने एक इलेक्ट्रॉनिक हेल्थ रिकॉर्ड वातावरण से जुड़ी एक साइबर सुरक्षा घटना का खुलासा किया। जाँच जारी है।

SecurityWeek

Anthropic Claude Code सोर्स कोड लीक

मध्यम leak ai

Anthropic ने गलती से एक npm पैकेज के माध्यम से Claude Code (क्लोज़्ड सोर्स) का सोर्स कोड लीक कर दिया। कंपनी का कहना है कि कोई ग्राहक डेटा या क्रेडेंशियल्स उजागर नहीं हुए।

BleepingComputer

🦠 मैलवेयर और खतरा अभिकर्ता

Silver Fox / AtlasCross RAT अभियान — एशिया-व्यापी टाइपोस्क्वॉटिंग

apt rat typosquatting

चीनी साइबर अपराध समूह Silver Fox Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams और अन्य की नकल करने वाले 11+ टाइपोस्क्वॉटेड डोमेन का उपयोग करके नए प्रलेखित AtlasCross RAT वितरित करने का सक्रिय अभियान चला रहा है। यह उनके पिछले Gh0st RAT व्युत्पन्नों से एक विकास को दर्शाता है।

The Hacker News

Venom Stealer — निरंतर क्रेडेंशियल हार्वेस्टिंग

infostealer maas

Venom Stealer, बिल्ट-इन पर्सिस्टेंस और ऑटोमेशन वाला एक लाइसेंस्ड मैलवेयर-एज़-ए-सर्विस, हमलावरों को कम्प्रोमाइज़ किए गए सिस्टम से लगातार क्रेडेंशियल, सेशन डेटा और क्रिप्टोकरेंसी एसेट्स निकालने में सक्षम बनाता है।

SecurityWeek

TeamPCP OSS से AWS वातावरण की ओर बढ़ा

cloud aws lateral-movement

TruffleHog का उपयोग करके चोरी किए गए क्रेडेंशियल्स को सत्यापित करने के बाद, TeamPCP हैकिंग समूह को AWS सेवाओं की एन्यूमरेशन और लेटरल मूवमेंट गतिविधियाँ शुरू करते देखा गया है — ओपन-सोर्स सप्लाई चेन हमलों से क्लाउड इन्फ़्रास्ट्रक्चर कम्प्रोमाइज़ तक विस्तार।

SecurityWeek

📡 उभरते रुझान

AI एजेंट सुरक्षा एक गंभीर चिंता बनी

इस चक्र की कई कहानियाँ AI एजेंट्स के बढ़ते हमले की सतह को उजागर करती हैं:

  • प्रॉम्प्ट इंजेक्शन चेन के माध्यम से CrewAI सैंडबॉक्स एस्केप
  • क्लाउड डेटा एक्सेस के लिए Vertex AI अनुमति दुरुपयोग
  • OpenAI Codex GitHub टोकन कम्प्रोमाइज़
  • LLM चुपचाप एक्सेस कंट्रोल तोड़ रहे हैं — छूटी हुई शर्तों के साथ Rego/Cedar पॉलिसी लिख रहे हैं
  • बढ़ती सहमति कि AI एजेंट्स को निहित विश्वास नहीं, ज़ीरो-ट्रस्ट सत्यापन की आवश्यकता है

सप्लाई चेन हमलों का औद्योगीकरण

TeamPCP समूह द्वारा Trivy, LiteLLM, Checkmarx और अब Axios के एक साथ कम्प्रोमाइज़ से पता चलता है कि सप्लाई चेन हमलों का बड़े पैमाने पर औद्योगीकरण किया जा रहा है। मुख्य पैटर्न: मेंटेनर अकाउंट कम्प्रोमाइज़ → डिपेंडेंसी इंजेक्ट → CI/CD क्रेडेंशियल्स चोरी → क्लाउड इन्फ़्रास्ट्रक्चर पर पिवट।

क्वांटम कंप्यूटिंग खतरे में तेज़ी

Google शोधकर्ताओं ने प्रदर्शित किया कि Bitcoin और Ethereum एन्क्रिप्शन को तोड़ने के लिए पहले के अनुमान से 20 गुना कम क्यूबिट्स की आवश्यकता है। हालाँकि यह तुरंत व्यावहारिक नहीं है, लेकिन यह पोस्ट-क्वांटम क्रिप्टोग्राफ़ी माइग्रेशन की तात्कालिकता की समयरेखा को काफ़ी तेज़ करता है।

SecurityWeek

🛠️ टूल्स और रिलीज़

Proton Meet — गोपनीयता-केंद्रित वीडियो कॉन्फ़्रेंसिंग

Proton ने Meet लॉन्च किया, Google Meet, Zoom और Microsoft Teams के विकल्प के रूप में एक गोपनीयता-केंद्रित वीडियो कॉन्फ़्रेंसिंग प्लेटफ़ॉर्म। डिफ़ॉल्ट रूप से एंड-टू-एंड एन्क्रिप्टेड।

BleepingComputer

Censys ने इंटरनेट इंटेलिजेंस प्लेटफ़ॉर्म के लिए $70M जुटाए

Censys ने अटैक सरफ़ेस मैनेजमेंट और थ्रेट हंटिंग के लिए अपने इंटरनेट इंटेलिजेंस प्लेटफ़ॉर्म का विस्तार करने हेतु $70M (कुल: $149M) जुटाए।

SecurityWeek