CoinFeed
लॉगिन
Ethereum
Ethereum·All

31 मार्च 2026 को 12:04 pm बजे

Axios npm पर सप्लाई चेन हमला, अपनी कीज़ तुरंत बदलें

Axios npm पर सप्लाई चेन हमला, अपनी कीज़ तुरंत बदलें
Quick Take
  • सप्लाई चेन हमले के बाद लोकप्रिय जावास्क्रिप्ट HTTP क्लायंट लाइब्रेरी Axios के लिए सुरक्षा अलर्ट जारी किए गए हैं।
  • Axios वर्जन 1.14.1 और 0.30.4 को समझौता किया हुआ और दुर्भावनापूर्ण कोड (malicious code) से युक्त पाया गया है।
  • डेवलपर्स और यूजर्स से प्रभावित सिस्टम में उपयोग किए गए सभी API की, लॉगिन क्रेडेंशियल और सेशन टोकन को तुरंत बदलने (rotate) का आग्रह किया गया है।

दुर्भावनापूर्ण रिलीज की खोज

साइबर सुरक्षा फर्मों Socket और OX Security ने हाल ही में व्यापक रूप से उपयोग किए जाने वाले npm पैकेज Axios के दो समझौता किए गए रिलीज को चिन्हित किया है। प्रभावित वर्जन axios@1.14.1 और axios@0.30.4 को plain-crypto-js@4.2.1 नामक एक दुर्भावनापूर्ण डिपेंडेंसी शामिल करने के लिए संशोधित किया गया था। यह डिपेंडेंसी हमले से कुछ समय पहले ही प्रकाशित की गई थी और इसे इंस्टॉलेशन प्रक्रिया के दौरान पोस्ट-इंस्टॉल स्क्रिप्ट के माध्यम से स्वचालित रूप से चलाने के लिए डिज़ाइन किया गया था।

OX Security के अनुसार, परिवर्तित कोड हमलावरों को संक्रमित उपकरणों तक रिमोट एक्सेस प्रदान करता है। यह अनधिकृत पहुंच संवेदनशील डेटा की चोरी की अनुमति देती है, जिसमें शामिल हैं:

  • लॉगिन क्रेडेंशियल और सेशन टोकन
  • विभिन्न सेवाओं के लिए उपयोग की जाने वाली API की (Keys)
  • क्रिप्टो वॉलेट की जानकारी

डेवलपर्स के लिए प्रभाव और सिफारिशें

यह घटना ओपन-सोर्स इकोसिस्टम की संवेदनशीलता को उजागर करती है, जहां एक समझौता किया गया घटक हजारों संबंधित एप्लिकेशन को प्रभावित कर सकता है। Socket ने नोट किया कि चूंकि दुर्भावनापूर्ण स्क्रिप्ट उपयोगकर्ता की अतिरिक्त बातचीत के बिना चलती है, इसलिए इन विशिष्ट Axios वर्जन को डाउनलोड करने वाले किसी भी सिस्टम को पूरी तरह से समझौता किया हुआ माना जाना चाहिए।

सुरक्षा विशेषज्ञ डेवलपर्स को तुरंत अपनी प्रोजेक्ट डिपेंडेंसी फाइलों की समीक्षा करने की सलाह देते हैं। यदि प्रभावित वर्जन मिलते हैं, तो उन्हें हटा दिया जाना चाहिए या सुरक्षित वर्जन पर वापस (roll back) कर दिया जाना चाहिए। इसके अलावा, आगे के शोषण को रोकने के लिए उन प्रणालियों पर संग्रहीत या उनके माध्यम से एक्सेस किए गए सभी क्रेडेंशियल को बदल दिया जाना चाहिए।

सप्लाई चेन कमजोरियों का इतिहास

यह उल्लंघन क्रिप्टो क्षेत्र को लक्षित करने वाले सप्लाई चेन हमलों के पैटर्न का हिस्सा है। 3 जनवरी को, ऑन-चेन अन्वेषक ZachXBT ने बताया कि Ethereum Virtual Machine (EVM) संगत नेटवर्क पर सैकड़ों वॉलेट खाली कर दिए गए थे। Vladimir S. जैसे शोधकर्ताओं ने सुझाव दिया है कि ये घटनाएं दिसंबर में Trust Wallet को प्रभावित करने वाले उल्लंघन से जुड़ी हो सकती हैं।

उस पिछले हमले में, जिसके परिणामस्वरूप 2,500 से अधिक वॉलेट में लगभग $7 मिलियन का नुकसान हुआ था, उसे भी npm पैकेज से जुड़े सप्लाई चेन समझौते के लिए जिम्मेदार ठहराया गया था। ये घटनाएं वित्तीय और ब्लॉकचेन एप्लिकेशन में उपयोग की जाने वाली थर्ड-पार्टी लाइब्रेरी के कड़े सुरक्षा ऑडिट की तत्काल आवश्यकता को रेखांकित करती हैं।

इस समाचार पर बाज़ार की प्रतिक्रिया?

0%लॉन्ग/शॉर्ट0%

commentCount

commentLogin

commentEmpty

commentEmptySubtitle