विशाल npm आपूर्ति-श्रृंखला समझौता 18 पैकेजों में ब्राउज़र क्रिप्टो-चोर को इंजेक्ट करता है

Node.jsnpmसुरक्षा

प्रमुख अपडेट

8 सितंबर, 2025 को, हमलावरों ने एक prolific मेंटेनर (Qix / Josh Junon) के npm खाते को फिश किया और 18 पैकेजों में दुर्भावनापूर्ण रिलीज़ प्रकाशित की, जिनका संयुक्त साप्ताहिक डाउनलोड संख्या अरबों में मापी गई; इंजेक्ट किया गया कोड ब्राउज़रों में चलता है ताकि वॉलेट/नेटवर्क एपीआई को इंटरसेप्ट किया जा सके और क्रिप्टोक्यूरेंसी प्राप्तकर्ताओं को फिर से लिखा जा सके ताकि फंड हमलावर-नियंत्रित पते पर diverted हो जाएं। (pt.aikido.dev)

यह क्यों महत्वपूर्ण है

यह एक सैद्धांतिक रिपॉजिटरी समझौता नहीं है: ये पैकेज (chalk, debug, ansi‑styles और कई छोटे लेकिन अत्यधिक ट्रांजिटिव उपयोगिताएँ) विशाल निर्भरता ग्राफ में स्थित हैं और नियमित रूप से फ्रंटेंड बिल्ड में बंडल किए जाते हैं। पेलोड केवल ब्राउज़र संदर्भों में चलता है, इसलिए Node.js चलाने वाले सर्वर सीधे दुर्भावनापूर्ण लॉजिक को निष्पादित नहीं कर रहे थे, लेकिन कोई भी बिल्ड जो ट्रोजन संस्करणों को शामिल करता है और फ्रंटेंड एसेट्स को शिप करता है, वह अंत उपयोगकर्ताओं के क्रिप्टो प्रवाह को संक्षिप्त लाइव विंडो के दौरान उजागर कर सकता है। समुदाय और रजिस्ट्रियों द्वारा उठाए गए नियंत्रण उपायों ने संस्करणों को जल्दी हटा दिया, लेकिन सुधार कार्यात्मक रूप से दर्दनाक है: टीमों को आर्टिफैक्ट्स को पिन और पुनर्निर्माण करना, कैश और सीडीएन को साफ करना, लॉकफाइल और डिप्लॉयमेंट आर्टिफैक्ट्स को सत्यापित करना और इसको एक लाइव आपूर्ति-श्रृंखला घटना के रूप में घटना प्रतिक्रिया और पोस्ट-मॉर्टम कार्य के लिए मानना होगा। (pt.aikido.dev)

स्रोत

आगे पढ़ें

नवीनतम डाइजेस्ट देखेंसभी डाइजेस्ट देखें