剣 KENSAI
← All posts · security · 2026-03-25 · 3 min

LiteLLM सप्लाई-चेन बैकडोर क्रेडेंशियल चुराता है, FCC विदेशी राउटर पर प्रतिबंध, HackerOne और डच मंत्रालय में सेंधमारी

TeamPCP ने लोकप्रिय LiteLLM AI प्रॉक्सी पैकेज को तीन-चरणीय क्रेडेंशियल हार्वेस्टर, Kubernetes लेटरल मूवमेंट टूलकिट और स्थायी systemd बैकडोर से समझौता किया। FCC ने अमेरिका के बाहर बने सभी उपभोक्ता राउटर पर प्रतिबंध लगाया। HackerOne ने तृतीय-पक्ष Navia हैक के माध्यम से कर्मचारी डेटा उल्लंघन का खुलासा किया। डच वित्त मंत्रालय ने कर्मचारियों को प्रभावित करने वाली सेंधमारी की पुष्टि की। PTC ने आसन्न शोषण खतरे के तहत Windchill में गंभीर RCE की चेतावनी दी।


1. TeamPCP ने LiteLLM AI प्रॉक्सी पैकेज में बैकडोर डाला — तीन-चरणीय हमला श्रृंखला

⚠️ गंभीर — लोकप्रिय AI इंफ्रास्ट्रक्चर पैकेज Trivy CI/CD चेन के माध्यम से समझौता

PyPI पर LiteLLM संस्करण 1.82.7 और 1.82.8 को TeamPCP द्वारा बहु-चरणीय पेलोड के साथ समझौता किया गया जो क्रेडेंशियल एकत्र करता है, Kubernetes क्लस्टर के माध्यम से लेटरल मूवमेंट करता है और स्थायी बैकडोर स्थापित करता है।

TeamPCP खतरा समूह — जो पहले से Trivy और KICS समझौतों के लिए जिम्मेदार है — ने अब LiteLLM पर हमला किया है, जो प्रदाताओं में LLM API कॉल को रूट करने के लिए सबसे व्यापक रूप से उपयोग किए जाने वाले Python पैकेजों में से एक है। यह समझौता संभवतः LiteLLM द्वारा अपनी CI/CD पाइपलाइन में Trivy के उपयोग के माध्यम से संभव हुआ, जिससे एक कैस्केडिंग सप्लाई-चेन हमला बना।

दुर्भावनापूर्ण पेलोड एक तीन-चरणीय हमला निष्पादित करता है:

यह विशेष रूप से खतरनाक क्यों है

LiteLLM AI इंफ्रास्ट्रक्चर के केंद्र में बैठता है — यह एप्लिकेशन और OpenAI, Anthropic और Azure जैसे LLM प्रदाताओं के बीच गेटवे है। LiteLLM को समझौता करने का मतलब है कि हमलावर संभावित रूप से हर LLM प्रदाता की API कुंजियों तक पहुंच प्राप्त करते हैं जिनका एक संगठन उपयोग करता है, साथ ही उन API कॉल के माध्यम से बहने वाले संवेदनशील डेटा तक। Kubernetes वातावरण में LiteLLM चलाने वाले संगठनों को पूर्ण क्लस्टर समझौता का अतिरिक्त जोखिम है।

दोनों दुर्भावनापूर्ण संस्करणों को PyPI से हटा दिया गया है, लेकिन प्रकाशन और हटाने के बीच उन्हें स्थापित करने वाला कोई भी सिस्टम समझौता हो सकता है।

तत्काल कार्रवाई


2. FCC ने संयुक्त राज्य अमेरिका के बाहर बने सभी उपभोक्ता राउटर पर प्रतिबंध लगाया

⚠️ गंभीर — व्यापक हार्डवेयर सुरक्षा विनियमन लागू

Federal Communications Commission ने राज्य-प्रायोजित सप्लाई-चेन खतरों का हवाला देते हुए विदेशी देशों में निर्मित सभी उपभोक्ता राउटर को अमेरिका में बिक्री पर प्रतिबंध लगाने के लिए अपनी कवर्ड लिस्ट अपडेट की है।

अमेरिकी नियामक द्वारा अब तक की सबसे आक्रामक हार्डवेयर सुरक्षा कार्रवाइयों में से एक में, FCC ने प्रभावी रूप से संयुक्त राज्य अमेरिका के बाहर बने नए उपभोक्ता राउटर की बिक्री पर प्रतिबंध लगा दिया है। अपडेटेड कवर्ड लिस्ट में अब विदेशी देशों में निर्मित सभी उपभोक्ता रूटिंग उपकरण शामिल हैं, चाहे उन्हें बेचने वाला ब्रांड कोई भी हो।

यह निर्णय नेटवर्किंग उपकरणों में राज्य-प्रायोजित बैकडोर के बारे में वर्षों की बढ़ती चिंताओं के बाद आया है:

वैश्विक प्रभाव

हालांकि यह एक अमेरिका-विशिष्ट कार्रवाई है, यह साइबर सुरक्षा में हार्डवेयर संप्रभुता की ओर व्यापक प्रवृत्ति का संकेत देती है। EU का Cyber Resilience Act (CRA) एक अलग दृष्टिकोण अपनाता है — विदेशी हार्डवेयर पर प्रतिबंध लगाने के बजाय, यह EU में बेचे जाने वाले सभी कनेक्टेड उपकरणों के लिए सुरक्षा आवश्यकताओं को अनिवार्य करता है। दोनों दृष्टिकोण एक ही अंतर्निहित वास्तविकता को दर्शाते हैं: नेटवर्क परिधि राउटर से शुरू होती है, और अपारदर्शी विदेशी सप्लाई चेन पर भरोसा करना अब स्वीकार्य नहीं है।

NIS2 के अधीन EU संगठनों के लिए, यह अपने नेटवर्क हार्डवेयर सप्लाई चेन का ऑडिट करने का एक अनुस्मारक है। भले ही EU स्पष्ट रूप से विदेशी राउटर पर प्रतिबंध नहीं लगाता है, NIS2 अनुच्छेद 21 की सप्लाई-चेन सुरक्षा आवश्यकताओं का मतलब है कि आपको अपने नेटवर्क सीमाओं की सुरक्षा करने वाले हार्डवेयर पर उचित परिश्रम प्रदर्शित करना होगा।


3. HackerOne ने Navia Benefits हैक के बाद कर्मचारी डेटा उल्लंघन का खुलासा किया

🔶 उच्च — तृतीय-पक्ष लाभ प्रदाता के माध्यम से बग बाउंटी प्लेटफॉर्म के कर्मचारी डेटा चोरी

HackerOne सैकड़ों कर्मचारियों को सूचित कर रहा है कि हमलावरों द्वारा उसके अमेरिकी लाभ प्रशासकों में से एक Navia को समझौता करने के बाद उनका व्यक्तिगत डेटा चोरी हो गया।

HackerOne, दुनिया का सबसे बड़ा बग बाउंटी प्लेटफॉर्म, ने खुलासा किया है कि कर्मचारियों की व्यक्तिगत जानकारी तृतीय-पक्ष लाभ प्रशासक Navia की सेंधमारी के माध्यम से समझौता की गई। सुरक्षा समुदाय से विडंबना छिपी नहीं है — भेद्यता प्रकटीकरण के केंद्र में एक संगठन स्वयं तृतीय-पक्ष सप्लाई-चेन जोखिम का शिकार है जिसे कम करने में यह दूसरों की मदद करता है।

समझौता किए गए डेटा में कथित रूप से शामिल हैं:

तृतीय-पक्ष जोखिम का सबक

यह उल्लंघन पूरी तरह से दर्शाता है कि NIS2 अनुच्छेद 21(2)(d) सप्लाई-चेन सुरक्षा प्रबंधन को अनिवार्य क्यों करता है। HackerOne की अपनी सुरक्षा स्थिति मजबूत है — आखिरकार, वे वह प्लेटफॉर्म हैं जहां शोधकर्ता अन्य संगठनों में भेद्यताओं की रिपोर्ट करते हैं। लेकिन उनके कर्मचारियों का डेटा एक लाभ प्रदाता के माध्यम से समझौता किया गया जिस पर उनकी संभवतः सीमित दृश्यता थी। कोई भी संगठन अपने सबसे कमजोर विक्रेता से मजबूत नहीं है।

तत्काल कार्रवाई


4. डच वित्त मंत्रालय ने कर्मचारियों को प्रभावित करने वाली सेंधमारी का खुलासा किया

🔶 उच्च — EU सरकारी मंत्रालय ने सुरक्षा घटना की पुष्टि की

डच वित्त मंत्रालय ने एक सुरक्षा उल्लंघन का खुलासा किया है जिसने कर्मचारी जानकारी को समझौता किया, खतरे के अभिनेताओं द्वारा लक्षित यूरोपीय सरकारी एजेंसियों की बढ़ती सूची में नवीनतम।

नीदरलैंड वित्त मंत्रालय ने अपने कर्मचारियों को प्रभावित करने वाली सेंधमारी की पुष्टि की है, हालांकि हमले के वेक्टर और दायरे के बारे में विवरण सीमित हैं। यह विशेष रूप से संवेदनशील समय पर आया है क्योंकि नीदरलैंड NIS2 लागू करने और मजबूत सरकारी साइबर सुरक्षा मानकों को आगे बढ़ाने में EU के सबसे आक्रामक सदस्य राज्यों में से एक रहा है।

यह उल्लंघन 2026 में EU सरकारी संस्थानों को लक्षित करने के एक पैटर्न का अनुसरण करता है:

NIS2 प्रासंगिकता

सरकारी संस्थाएं पूरी तरह से NIS2 के दायरे में हैं। डच सरकार निर्देश की एक मुखर समर्थक रही है — यह उल्लंघन रेखांकित करता है कि अच्छी तरह से संसाधन वाली सरकारी एजेंसियां भी लगातार खतरों का सामना करती हैं। यह घटना संभवतः नीदरलैंड की पहले से आक्रामक NIS2 कार्यान्वयन समयरेखा को तेज करेगी और अन्य सदस्य राज्यों के सरकारी क्षेत्र अनुपालन दृष्टिकोण को प्रभावित कर सकती है।


5. PTC ने आसन्न खतरे के तहत Windchill और FlexPLM में गंभीर RCE की चेतावनी दी

⚠️ गंभीर — एंटरप्राइज PLM प्लेटफॉर्म रिमोट कोड निष्पादन के लिए संवेदनशील

PTC Inc. ने Windchill और FlexPLM उत्पाद जीवनचक्र प्रबंधन प्रणालियों में एक गंभीर RCE भेद्यता के लिए तत्काल सलाह जारी की है, चेतावनी देते हुए कि शोषण आसन्न है।

PTC Windchill और FlexPLM एंटरप्राइज उत्पाद जीवनचक्र प्रबंधन (PLM) प्लेटफॉर्म हैं जिनका उपयोग दुनिया भर के प्रमुख निर्माताओं और रक्षा ठेकेदारों द्वारा उत्पाद डिजाइन, इंजीनियरिंग डेटा और सप्लाई-चेन दस्तावेज़ीकरण प्रबंधित करने के लिए किया जाता है। एक गंभीर रिमोट कोड निष्पादन भेद्यता अब इन वातावरणों को खतरा दे रही है।

PTC द्वारा अपनी सलाह में "आसन्न" शब्द का उपयोग उल्लेखनीय है — यह सुझाव देता है कि सक्रिय शोषण प्रयास पहचाने गए हैं या प्रूफ-ऑफ-कॉन्सेप्ट कोड प्रसारित हो रहा है। विनिर्माण, एयरोस्पेस, रक्षा और ऑटोमोटिव में संगठनों के लिए, यह एक आपातकालीन पैच स्थिति है।

PLM सिस्टम उच्च-मूल्य लक्ष्य क्यों हैं

तत्काल कार्रवाई


6. ShinyHunters द्वारा डेटा चोरी के दावे के बाद Infinite Campus ने उल्लंघन की चेतावनी दी

🔶 उच्च — K-12 छात्र सूचना प्रणाली समझौता

Infinite Campus, जिसका उपयोग हजारों अमेरिकी स्कूल जिलों द्वारा छात्र डेटा प्रबंधित करने के लिए किया जाता है, खतरा समूह ShinyHunters द्वारा छात्र और परिवार रिकॉर्ड चोरी करने का दावा करने के बाद ग्राहकों को उल्लंघन की चेतावनी दे रहा है।

Infinite Campus संयुक्त राज्य अमेरिका में सबसे व्यापक रूप से उपयोग की जाने वाली छात्र सूचना प्रणालियों (SIS) में से एक है, जो लाखों K-12 छात्रों के रिकॉर्ड प्रबंधित करती है जिसमें ग्रेड, उपस्थिति, स्वास्थ्य रिकॉर्ड, अनुशासनात्मक रिकॉर्ड और परिवार संपर्क जानकारी शामिल है। ShinyHunters समूह — Ticketmaster, AT&T और Santander सहित उच्च-प्रोफ़ाइल उल्लंघनों के लिए जाना जाता है — जिम्मेदारी का दावा कर रहा है।

छात्र डेटा विशेष रूप से संवेदनशील है क्योंकि:

तत्काल कार्रवाई


7. Yanluowang रैनसमवेयर एक्सेस ब्रोकर को 81 महीने की सजा

कानून प्रवर्तन की जीत: एक रूसी नागरिक को Yanluowang रैनसमवेयर समूह के लिए प्रारंभिक एक्सेस ब्रोकर (IAB) के रूप में कार्य करने के लिए अमेरिकी संघीय जेल में 81 महीने (लगभग 7 साल) की सजा सुनाई गई है। यह सजा इस बात को पुष्ट करती है कि अमेरिकी न्याय विभाग सफलतापूर्वक पूरे रैनसमवेयर पारिस्थितिकी तंत्र का पीछा कर रहा है — न केवल रैनसमवेयर तैनात करने वाले ऑपरेटर, बल्कि प्रारंभिक पहुंच बेचने वाले ब्रोकर, घुसपैठ करने वाले सहयोगी और भुगतान संसाधित करने वाले मनी लॉन्ड्रर भी।

Yanluowang समूह ने 2022 में Cisco पर हमला करके कुख्याति प्राप्त की और वित्त, विनिर्माण और प्रौद्योगिकी में उद्यमों को लक्षित किया है। यह सजा रैनसमवेयर प्रतिभागियों के लिए बढ़ते कानूनी परिणामों की व्यापक प्रवृत्ति का हिस्सा है, जो धीरे-धीरे साइबर अपराधियों के लिए जोखिम गणना को बदल रही है।


8. नकली रिज़्यूमे फिशिंग अभियान फ्रांसीसी-भाषी उद्यमों को लक्षित करता है

🔶 उच्च — FAUX#ELEVATE अभियान क्रेडेंशियल चोरी, डेटा एक्सफ़िल्ट्रेशन और क्रिप्टोमाइनिंग को जोड़ता है

एक चल रहा फिशिंग अभियान फ्रांसीसी-भाषी कॉर्पोरेट वातावरण में CV/रिज़्यूमे के रूप में प्रच्छन्न अत्यधिक अस्पष्ट VBScript फाइलें वितरित करता है, एक बहुउद्देशीय टूलकिट तैनात करता है।

Securonix शोधकर्ताओं ने FAUX#ELEVATE अभियान का खुलासा किया है, जो फ्रांसीसी-भाषी संगठनों को नकली रिज़्यूमे दस्तावेजों के साथ लक्षित करता है जो क्रेडेंशियल चोरी, डेटा एक्सफ़िल्ट्रेशन और Monero माइनिंग को संयोजित करने वाला ट्रिपल-थ्रेट पेलोड तैनात करते हैं। यह अभियान वैध सेवाओं के दुरुपयोग के लिए उल्लेखनीय है:

DACH संगठनों के लिए

हालांकि यह अभियान वर्तमान में फ्रांसीसी-भाषी वातावरण को लक्षित करता है, जर्मन-भाषी संगठनों को लक्षित करने वाले समान अभियान संभावित हैं। कई भाषाओं में आवेदन संसाधित करने वाले HR विभागों को विशेष रूप से सतर्क रहना चाहिए। हमले का पैटर्न — नौकरी आवेदन के रूप में भेजे गए हथियारबद्ध दस्तावेज — एक प्रसिद्ध वेक्टर है जो लगातार सफल होता है क्योंकि HR टीमों को अज्ञात प्रेषकों से अटैचमेंट खोलने होते हैं।

तत्काल कार्रवाई


आज के खतरे परिदृश्य का सारांश

खतरा गंभीरता प्रकार आवश्यक कार्रवाई
LiteLLM सप्लाई-चेन बैकडोर गंभीर सप्लाई चेन संस्करण जांचें, क्रेडेंशियल रोटेट करें
FCC विदेशी राउटर प्रतिबंध गंभीर विनियमन नेटवर्क हार्डवेयर सप्लाई चेन का ऑडिट करें
PTC Windchill/FlexPLM RCE गंभीर भेद्यता तुरंत आपातकालीन पैच लागू करें
HackerOne/Navia उल्लंघन उच्च डेटा उल्लंघन Navia से संपर्क करें, विक्रेता PII का ऑडिट करें
डच मंत्रालय उल्लंघन उच्च डेटा उल्लंघन अनुवर्ती हमलों की निगरानी करें
Infinite Campus / ShinyHunters उच्च डेटा उल्लंघन विक्रेता से संपर्क करें, छात्र क्रेडिट फ्रीज करें
FAUX#ELEVATE रिज़्यूमे फिशिंग उच्च फिशिंग VBScript ब्लॉक करें, HR अटैचमेंट सैंडबॉक्स करें
Yanluowang IAB को सजा सूचना कानून प्रवर्तन जागरूकता — निवारण संकेत