लाखों JS डेवलपर्स हुए हैक... (axios pwned)

हिन्दीالعربيةDeutschEnglishEspañolFrançaisBahasa Indonesia日本語한국어PortuguêsРусский中文
BBetter Stack
Computing/SoftwareBusiness NewsInternet Technology

Transcript

00:00:00यह अब तक का सबसे बड़ा NPM सप्लाई चेन उल्लंघन हो सकता है जो हमने कभी देखा है,
00:00:03और नहीं, यह अप्रैल फूल नहीं है, यह बस खराब समय है और लोगों को इसके बारे में पता होना चाहिए।
00:00:07यह Axios पैकेज में हुआ, HTTP क्लाइंट इस हफ्ते 10.1 करोड़ बार इंस्टॉल किया गया है
00:00:13और इसके 1,74,000 से अधिक डिपेंडेंट हैं। तो इसने Datadog,
00:00:18OpenClaw और WordPress जैसे पैकेजों को पहले ही प्रभावित कर दिया है, और इसे उत्तर कोरियाई हैकर्स से भी जोड़ा गया है।
00:00:22तो चलिए सीधे देखते हैं कि आखिर हुआ क्या।
00:00:29तो कहानी यह है, 31 मार्च, 2026 को एक हमलावर ने NPM अकाउंट के साथ छेड़छाड़ की
00:00:34Axios के लीड मेंटेनर का अकाउंट और दो बैकडोर रिलीज़ प्रकाशित किए, वर्ज़न 1.14.1 जो
00:00:39लेटेस्ट रिलीज़ के रूप में टैग किया गया था और वर्ज़न 0.30.4 जिसे लेगेसी के रूप में टैग किया गया था।
00:00:44इन पैकेजों में उन्होंने plaincryptojs नाम की एक फैंटम डिपेंडेंसी पेश की
00:00:48जो मूल रूप से सामान्य crypto.js पैकेज ही था लेकिन इसमें एक छोटा सा बदलाव था,
00:00:52इसमें setup.js नाम की एक पोस्ट इंस्टॉल स्क्रिप्ट थी। इसका मतलब है कि हर कोई और हर CI जो
00:00:58इन प्रभावित पैकेजों को इंस्टॉल कर रहा था, वह इस स्क्रिप्ट को भी चला रहा था। स्क्रिप्ट में
00:01:02ओबफस्केटेड कोड था जो जाँच कर रहा था कि आप किस ऑपरेटिंग सिस्टम का उपयोग कर रहे हैं और फिर एक सर्वर से जुड़ रहा था
00:01:07ताकि आपके ऑपरेटिंग सिस्टम के हिसाब से दूसरा पेलोड डाउनलोड किया जा सके। तो कोई भी
00:01:12इस हमले से सुरक्षित नहीं था और उन्होंने यहाँ तक सुनिश्चित किया कि Mac OS पेलोड
00:01:16Intel और Apple Macs दोनों पर काम करे। और यह दूसरा पेलोड ही वास्तव में बहुत बुरा है,
00:01:20यह RAT या रिमोट एक्सेस ट्रोजन है और यह सभी ऑपरेटिंग सिस्टम पर मूल रूप से एक ही तरह से काम करता है।
00:01:25पहले यह आपकी फ़ाइलों को स्कैन करेगा, आपके डॉक्यूमेंट्स, डेस्कटॉप
00:01:29और कॉन्फ़िगरेशन फ़ोल्डर्स की जाँच करेगा और विंडोज़ वर्ज़न आपके OneDrive, AppData और सिस्टम के
00:01:33हर ड्राइव लेटर को भी स्कैन कर रहा था और फिर वह फ़ाइलों की सूची सर्वर पर वापस भेज देगा
00:01:38शायद यह जाँचने के लिए कि क्या कुछ चुराने लायक है। उसके बाद यह बीकनिंग शुरू कर देगा,
00:01:42यानी हर 60 सेकंड में यह आपके होस्टनेम, यूजरनेम, ऑपरेटिंग सिस्टम,
00:01:47टाइम ज़ोन, हार्डवेयर मॉडल और सभी चल रही प्रोसेस की पूरी सूची के साथ घर पर संपर्क कर रहा था ताकि हमलावर देख सके कि
00:01:52आप कौन सा सॉफ़्टवेयर चला रहे हैं और क्या आप सक्रिय रूप से उसका उपयोग कर रहे हैं। और अगर यह सब सुनने में काफी बुरा नहीं लग रहा है,
00:01:56तो सबसे बुरा हिस्सा अभी आना बाकी है क्योंकि हमलावर किसी भी समय रिमोटली चार कमांड जारी कर सकता है
00:02:00जो उन्हें आपके सिस्टम पर किसी भी डायरेक्टरी को ब्राउज़ करने, मनमाने शेल कमांड या स्क्रिप्ट चलाने,
00:02:05अतिरिक्त मैलवेयर डालने और चलाने या अपने निशान मिटाने के लिए पूरी प्रोसेस को ही खत्म करने की अनुमति देगा। वास्तव में
00:02:10उन्होंने यहाँ तक सुनिश्चित किया कि मूल सेटअप स्क्रिप्ट खुद को डिलीट कर दे और फिर उस package.json को हटा दे
00:02:15जिसमें पोस्ट इंस्टॉल था और इसे एक क्लीन वर्ज़न से बदल दे ताकि इसे
00:02:19जहाँ तक संभव हो पता न लगने योग्य बनाया जा सके। तो आप देख सकते हैं कि यह हैक वाकई बहुत बुरा था और इसे
00:02:23डेवलपर वर्कस्टेशन और CI/CD रनर्स को निशाना बनाने के लिए डिज़ाइन किया गया है ताकि .env फ़ाइलों,
00:02:28NPM टोकन, SSH कुंजियों और कुछ भी अन्य रहस्यों को ढूँढा जा सके और कोई भी सिस्टम जिसने इन घातक पेलोड्स को चलाया है,
00:02:34उसे पूर्ण क्रेडेंशियल चोरी का मामला माना जाना चाहिए। इन सबके ऊपर,
00:02:38यह भी एक रहस्य है कि NPM अकाउंट कैसे हैक हुआ। मेंटेनर ने बताया कि उसका टू-फैक्टर ऑथ इनेबल्ड है और
00:02:43उसके GitHub एक्शन पाइपलाइनों में भी ऑथ इनेबल्ड है। तो जो प्रतीत होता है वह यह है कि
00:02:47पैकेज NPM CLI का उपयोग करके एक लंबे समय तक चलने वाले NPM एक्सेस टोकन के माध्यम से प्रकाशित किए गए थे। तो अगला सवाल
00:02:53यह है कि उन्हें उस टोकन तक पहुँच कैसे मिली और मेंटेनर को लगता है कि शायद किसी ने
00:02:56उसके अकाउंट रिकवरी कोड हासिल कर लिए हैं, लेकिन उन्होंने ऐसा कैसे किया यह अभी के लिए पूरी तरह से एक रहस्य है। अगर आप
00:03:01देखना चाहते हैं कि क्या आप इससे प्रभावित हुए हैं, तो अपनी लॉक फाइल्स में प्रभावित
00:03:04axios वर्ज़न और plain crypto.js पैकेज को सर्च करें और अपने node modules में भी
00:03:09पैकेज को ढूँढें। यदि आप उनमें से किसी को भी देखते हैं, तो दुर्भाग्य से यह बुरी खबर है। आप अपने सिस्टम को
00:03:14RAT के कुछ आर्टिफैक्ट्स के लिए भी जाँच सकते हैं और मैं नीचे इसके बारे में पूरा विवरण छोड़ दूँगा ताकि आप चरणों का पालन कर सकें
00:03:18और जान सकें कि अगर आपके साथ छेड़छाड़ हुई है तो क्या करना है। भविष्य के लिए भी कुछ
00:03:22कदम हैं जो आप इन हमलों को रोकने के लिए उठा सकते हैं और पहला हमेशा अपनी लॉक फाइल्स को कमिट करना है
00:03:26और सुनिश्चित करें कि आप अपने पाइपलाइन में NPM install कमांड के बजाय NPM CI कमांड का उपयोग कर रहे हैं।
00:03:31आप यह भी सुनिश्चित करना चाहते हैं कि आपके पैकेज मैनेजर में एक न्यूनतम आयु सेट हो, यह सुनिश्चित करते हुए कि
00:03:35पैकेज इंस्टॉल होने से पहले कम से कम 48 घंटे पुराने हों, इस उम्मीद के साथ कि कोई भी घातक पैकेज
00:03:39समय रहते पकड़ लिया जाए क्योंकि इस axios वाले को वास्तव में तीन घंटे बाद खोज लिया गया और डिलीट कर दिया गया। अंत में,
00:03:44यदि संभव हो तो NPM install चलाते समय ignore scripts फ्लैग का उपयोग करें या बस एक पैकेज
00:03:48मैनेजर जैसे bun का उपयोग करें जो वास्तव में डिफ़ॉल्ट रूप से सभी पोस्ट इंस्टॉल स्क्रिप्ट को ब्लॉक करता है और उन्हें केवल” उन
00:03:53डिपेंडेंसी पर चलाता है जिन्हें आपने विशेष रूप से भरोसेमंद के रूप में सूचीबद्ध किया है। मुझे उम्मीद है कि यह इस साल का
00:03:57सबसे बड़ा हमला होगा जिसे हम देखेंगे, लेकिन हम इनमें से अधिक से अधिक देख रहे हैं इसलिए सुरक्षित
00:04:01रहना सुनिश्चित करें और मुझे नीचे कमेंट्स में बताएं कि आप इस सब के बारे में क्या सोचते हैं।
00:04:04या उस सब्सक्राइब बटन को दबाएं और हमेशा की तरह, अगले वीडियो में मिलते हैं।

Key Takeaway

Axios NPM सप्लाई चेन हमले ने plaincryptojs डिपेंडेंसी के माध्यम से लाखों सिस्टम में रिमोट एक्सेस ट्रोजन फैलाया है, जिससे क्रेडेंशियल चोरी से बचने के लिए तुरंत लॉक फाइल्स की जांच और 'ignore-scripts' जैसे सुरक्षा उपायों की आवश्यकता है।

Highlights

31 मार्च, 2026 को Axios पैकेज के लीड मेंटेनर का NPM अकाउंट हैक हुआ और वर्ज़न 1.14.1 और 0.30.4 के रूप में दो बैकडोर रिलीज़ किए गए।

हमलावरों ने plaincryptojs नामक एक नकली डिपेंडेंसी का उपयोग किया जिसमें सेटअप स्क्रिप्ट के माध्यम से रिमोट एक्सेस ट्रोजन (RAT) इंस्टॉल होता है।

यह मैलवेयर Mac OS (Intel और Apple), Windows और Linux पर फ़ाइलों को स्कैन करता है और हर 60 सेकंड में यूज़र डेटा सर्वर पर भेजता है।

मैलवेयर में रिमोट कमांड क्षमताएं हैं जो हमलावरों को ब्राउज़ करने, शेल स्क्रिप्ट चलाने और अतिरिक्त मैलवेयर डालने की अनुमति देती हैं।

Axios के 1.74,000 से अधिक डिपेंडेंट हैं, जिससे Datadog, OpenClaw और WordPress जैसे बड़े प्रोजेक्ट पहले ही प्रभावित हो चुके हैं।

Timeline

Axios सप्लाई चेन उल्लंघन की गंभीरता

  • Axios पैकेज को इस सप्ताह 10.1 करोड़ बार इंस्टॉल किया गया है।
  • इस उल्लंघन ने Datadog, OpenClaw और WordPress जैसे व्यापक रूप से उपयोग किए जाने वाले पैकेजों को प्रभावित किया है।
  • इस हमले के पीछे उत्तर कोरियाई हैकर्स का हाथ होने का संदेह है।

सप्लाई चेन हमले का पैमाना अभूतपूर्व है क्योंकि Axios का उपयोग लगभग हर JavaScript इकोसिस्टम में होता है। इसकी भारी लोकप्रियता के कारण एक छोटा सा समझौता लाखों डेवलपर्स और एंटरप्राइज़ सिस्टम को असुरक्षित बना देता है। प्रभावित पैकेजों की सूची बढ़ती जा रही है जिससे व्यापक सुरक्षा संकट पैदा हो गया है।

बैकडोर का तकनीकी विश्लेषण और संक्रमण

  • हमलावरों ने क्रिप्टो लाइब्रेरी के भीतर setup.js नामक एक पोस्ट-इंस्टॉल स्क्रिप्ट छिपाई थी।
  • यह स्क्रिप्ट ऑपरेटिंग सिस्टम के प्रकार की पहचान करके विशिष्ट घातक पेलोड डाउनलोड करती है।
  • Mac OS पेलोड को विशेष रूप से Intel और Apple सिलिकॉन दोनों आर्किटेक्चर पर काम करने के लिए डिज़ाइन किया गया है।

Axios के मेंटेनर के अकाउंट से छेड़छाड़ करके हमलावरों ने वैध दिखने वाले अपडेट जारी किए। 'plaincryptojs' डिपेंडेंसी को सामान्य 'crypto.js' जैसा दिखाया गया ताकि डेवलपर्स को संदेह न हो। जैसे ही पैकेज इंस्टॉल या CI पाइपलाइन में चलता है, पोस्ट-इंस्टॉल स्क्रिप्ट तुरंत सक्रिय होकर सर्वर से दूसरा घातक पेलोड खींच लेती है।

रिमोट एक्सेस ट्रोजन (RAT) की कार्यप्रणाली

  • मैलवेयर OneDrive, AppData और सिस्टम के सभी ड्राइव लेटर में मौजूद संवेदनशील दस्तावेजों को स्कैन करता है।
  • सिस्टम होस्टनेम, यूजरनेम और चल रही सभी प्रोसेस की सूची हर मिनट हमलावर के सर्वर पर भेजी जाती है।
  • हमलावर चार विशिष्ट रिमोट कमांड के माध्यम से मनमाने शेल कमांड चलाने और साक्ष्य मिटाने में सक्षम हैं।

एक बार सिस्टम संक्रमित होने के बाद, RAT पूर्ण नियंत्रण प्राप्त कर लेता है और पहचान से बचने के लिए अपनी मूल सेटअप स्क्रिप्ट और package.json को डिलीट कर देता है। इसका मुख्य उद्देश्य .env फ़ाइलों, SSH कुंजियों और NPM एक्सेस टोकन जैसे क्रेडेंशियल्स की चोरी करना है। डेवलपर्स के वर्कस्टेशन और CI/CD रनर्स इसके प्राथमिक लक्ष्य हैं।

सुरक्षा उपाय और भविष्य की रोकथाम

  • प्रभावित सिस्टमों को क्रेडेंशियल चोरी का पूर्ण मामला मानकर तुरंत पासवर्ड और कुंजियाँ बदलनी चाहिए।
  • पाइपलाइन में 'npm install' के बजाय 'npm ci' का उपयोग करना और लॉक फाइल्स को कमिट करना अनिवार्य है।
  • पोस्ट-इंस्टॉल स्क्रिप्ट्स को रोकने के लिए 'ignore-scripts' फ्लैग या Bun जैसे पैकेज मैनेजर का उपयोग करना चाहिए।

जांच से पता चलता है कि मेंटेनर के लंबे समय तक चलने वाले NPM एक्सेस टोकन का उपयोग करके ये पैकेज प्रकाशित किए गए थे। डेवलपर्स को अपनी लॉक फाइल्स में 1.14.1 और 0.30.4 वर्ज़न की जांच करनी चाहिए। भविष्य में ऐसे हमलों से बचने के लिए पैकेज मैनेजर में न्यूनतम आयु (जैसे 48 घंटे) सेट करना एक प्रभावी रणनीति है ताकि घातक अपडेट पकड़े जा सकें।

Community Posts

No posts yet. Be the first to write about this video!

Write about this video