यदि आपने पिछले दशक में कभी कोई वेबसाइट बनाई है, कोई स्टार्टअप चलाया है, या किसी भी प्रकार का सॉफ़्टवेयर भेजा है, तो इस बात की अच्छी संभावना है कि आपने एक्सियोस का उपयोग किया है। यह उन सॉफ़्टवेयर टूल में से एक है जो इंटरनेट के विशाल हिस्से को शक्ति प्रदान करता है। यह एक जावास्क्रिप्ट लाइब्रेरी है जो सर्वर से डेटा लाने के बुनियादी लेकिन आवश्यक कार्य को संभालती है। लाखों डेवलपर और स्वचालित सिस्टम इसे हर सप्ताह डाउनलोड करते हैं।
इस सप्ताह, हैकरों ने एनपीएम पैकेज के विरुद्ध किए गए अब तक के सबसे परिचालनात्मक रूप से परिष्कृत आपूर्ति श्रृंखला हमलों में से एक में इसे जलाने की कोशिश की। एक्सियोस एक एनपीएम पैकेज है – एक एनपीएम (नोड पैकेज मैनेजर) कोड के लिए एक ऐप स्टोर की तरह है और डेवलपर्स इसका उपयोग प्री-बिल्ड सॉफ़्टवेयर टूल डाउनलोड करने के लिए करते हैं।
साइबर सुरक्षा स्टार्टअप स्टेपसिक्योरिटी की एक रिपोर्ट के अनुसार, एक ख़तरा अभिनेता एक्सियोस से समझौता करने में कामयाब रहा और इसके माध्यम से, संभावित रूप से किसी भी दुर्भाग्यशाली डेवलपर की मशीनों में गलत समय पर नियमित पैकेज इंस्टॉल चलाने के लिए एक पिछला दरवाजा बना दिया।
एक चोरी हुआ पासवर्ड
हमला चोरी हुए पासवर्ड से शुरू हुआ। हमलावर ने एक लीड एक्सियोस मेंटेनर के एनपीएम अकाउंट क्रेडेंशियल्स को हाईजैक कर लिया – कोई ऐसा व्यक्ति जो सॉफ़्टवेयर में अपडेट भेजता है – और फिर तुरंत खाते से संबंधित ईमेल को एक अनाम प्रोटॉनमेल पते में बदल दिया। इससे वास्तविक मालिक को जवाब देने से पहले ही प्रभावी ढंग से बाहर कर दिया गया।
उन चाबियों को हाथ में लेकर, हमलावर ने जल्दबाजी नहीं की। वास्तव में कुछ भी प्रकाशित करने से 18 घंटे पहले, हैकर ने चुपचाप ‘प्लेन-क्रिप्टो-जेएस’ नामक एनपीएम पर एक दुर्भावनापूर्ण पैकेज अपलोड किया और उसे वहीं छोड़ दिया। यह प्री-स्टेजिंग चरण एक अवसरवादी हैक को गणना किए गए ऑपरेशन से अलग करता है – हमलावर ने पहले से ही macOS, Windows और Linux के लिए अलग-अलग पेलोड बनाए हैं, यह सुनिश्चित करते हुए कि किसी भी प्लेटफ़ॉर्म पर किसी भी डेवलपर को बख्शा नहीं जाएगा।
फिर फाँसी हुई। एक्सियोस के दो ज़हरीले संस्करण प्रकाशित किए गए – ‘axios@1.14.1’ और ‘axios@0.30.4’ – दोनों प्रमुख रिलीज शाखाओं को प्रभावित किया जो डेवलपर्स सक्रिय रूप से उपयोग करते हैं। स्टेपसिक्योरिटी की रिपोर्ट में देखा गया कि दोनों एक-दूसरे से 39 मिनट की दूरी पर लाइव थे।
यदि किसी डेवलपर या स्वचालित सिस्टम ने कोई भी संस्करण डाउनलोड किया होता और कोड खोला होता, तो उन्हें स्पष्ट रूप से कुछ भी गलत नहीं मिलता। एक्सियोस कोड स्वयं साफ़ था। इसके कार्यों में कोई मैलवेयर छिपा नहीं था, लाइब्रेरी में कोई संदिग्ध स्क्रिप्ट छिपी नहीं थी। त्वरित स्पॉट-चेक करने वाला डेवलपर संतुष्ट होकर चला गया होगा।
एक स्तर गहरा
असली हैक एक स्तर अधिक गहरा था क्योंकि हमलावरों ने चुपचाप ‘प्लेन-क्रिप्टो-जेएस’ को सूचीबद्ध किया था – वह पैकेज 18 घंटे पहले तैयार किया गया था – एक निर्भरता के रूप में। जब npm एक पैकेज स्थापित करता है, तो यह स्वचालित रूप से इसकी सभी निर्भरताएँ भी स्थापित करता है।
इसलिए जबकि डेवलपर्स ने सोचा कि वे सिर्फ एक विश्वसनीय टूल को अपडेट कर रहे थे, वे चुपचाप एक रिमोट एक्सेस ट्रोजन (आरएटी) को भी खींच रहे थे – एक मैलवेयर जो संक्रमित मशीन में एक लगातार पिछला दरवाजा खोलता है और एक दूरस्थ हमलावर को इसकी सामग्री तक पूरी पहुंच प्रदान करता है।
चीजों को बदतर बनाने के लिए, मैलवेयर को निष्पादन के बाद स्वयं को नष्ट करने, स्वयं के निशान हटाने, फोरेंसिक विश्लेषण करने में कठिनाई के लिए बनाया गया था। और हमले ने सामान्य रिलीज़ प्रक्रिया को पूरी तरह से दरकिनार कर दिया – साइबर सुरक्षा फर्म की रिपोर्ट के अनुसार, एक्सियोस गिटहब रिपॉजिटरी पर कहीं भी 1.14.1 टैग नहीं है। स्वचालित परीक्षण पाइपलाइनों और कोड समीक्षा प्रक्रियाओं को छोड़ कर इसे सीधे एनपीएम पर प्रकाशित किया गया था, जो वास्तव में इस तरह की चीज़ को पकड़ने वाली होती हैं।
अंतिम उपयोगकर्ता प्रभाव
वेबसाइटों और ऐप्स के अंतिम उपयोगकर्ता एनपीएम पैकेज इंस्टॉल नहीं करते हैं, लेकिन वे ऐसा करने वाले डेवलपर्स द्वारा निर्मित सॉफ़्टवेयर का उपयोग करते हैं। यदि किसी डेवलपर की मशीन पर इस तरह के हमले के माध्यम से समझौता किया जाता है, तो डेवलपर जिस किसी भी चीज़ तक पहुंच सकता है वह एक संभावित लक्ष्य बन जाता है, जिसमें उत्पादन डेटाबेस और उपयोगकर्ता डेटा शामिल हैं। सही कंपनी में एकल समझौता किए गए डेवलपर खाते का ब्लास्ट दायरा बहुत बड़ा हो सकता है। उपयोगकर्ता इसे स्वयं पैच नहीं कर सकते हैं, इसलिए जो कंपनियां ऐसे सॉफ़्टवेयर का उपयोग करती हैं उन्हें पैकेज प्रकाशन के आसपास बेहतर सुरक्षा उपाय लागू करने चाहिए।
इस हमले को इतना परेशान करने वाली बात यह है कि हैकर्स को बस एक एक्सियोस अनुरक्षकों में से एक का पासवर्ड चुराना था। इससे उन्हें दो मैलवेयर इंस्टॉल करने की सुविधा मिल गई, जिन्हें लाखों अज्ञात डेवलपर्स द्वारा विश्वसनीय पैकेज के रूप में डाउनलोड किया गया था। ओपन-सोर्स पारिस्थितिकी तंत्र विश्वास और सुविधा पर चलता है, और ये दोनों सिस्टम की सबसे बड़ी कमजोरी बन गए हैं।
जब तक एक समझौता किया गया खाता एक महीने में एक अरब से अधिक बार डाउनलोड किए गए पैकेज को चुपचाप प्रकाशित कर सकता है, तब तक हम सभी, कुछ अर्थों में, आपदा से एक फ़िशिंग ईमेल दूर हैं।
आपको अभी क्या करने की आवश्यकता है?
यदि आपने ‘axios@1.14.1’ या ‘axios@0.30.4’ स्थापित किया है, तो अनुशंसित अगला कदम सबसे खराब मान लेना और अपनी मशीनों को पूरी तरह से समझौता कर लेना है। इसका मतलब है कि मशीन द्वारा अब तक छूए गए हर रहस्य को तुरंत घुमाना – एपीआई कुंजी, एसएसएच कुंजी, डेटाबेस पासवर्ड, पर्यावरण चर, ओएथ टोकन, यह सब। जिन क्रेडेंशियल्स को उजागर किया गया है, उन्हें हर उस सिस्टम में खोजा जाना चाहिए, जिस तक वे पहुंच प्रदान करते हैं।
स्टेप सिक्योरिटी रिपोर्ट के अनुसार, डेवलपर्स को ‘axios@1.14.0’ या ‘axios@0.30.3’ पर वापस जाना चाहिए – ये दोनों साफ हैं। संदिग्ध आउटबाउंड कनेक्शन के लिए नेटवर्क लॉग की जांच करना – विशेष रूप से अपरिचित बाहरी सर्वर तक पहुंचने वाली किसी भी चीज की जांच करना भी आवश्यक है, क्योंकि आरएटी नेटवर्क पर हमलावर के कमांड-एंड-कंट्रोल सर्वर पर वापस संचार करता है।
प्रकाशित – 02 अप्रैल, 2026 01:29 अपराह्न IST