S1ngularity लीक: GitHub और NPM प्रभावित 🚨
Nx के खिलाफ "s1ngularity" नामक सप्लाई चेन हमले की हालिया जाँच से एक बड़े पैमाने पर क्रेडेंशियल लीक का पता चला है: हज़ारों अकाउंट टोकन और रिपॉजिटरी सीक्रेट्स उजागर हुए, जिसके परिणाम घटना के कई चरणों में दिखाई दिए। Wiz की एक घटना-पश्चात रिपोर्ट इस घटना के दायरे का दस्तावेजीकरण करती है और इस बात की जानकारी देती है कि एक्सफ़िल्ट्रेशन कैसे विकसित हुआ और इसका क्या प्रभाव पड़ा। 🚨📊
विज़ शोधकर्ताओं द्वारा प्रकाशित मूल्यांकन के अनुसार, इस उल्लंघन के परिणामस्वरूप तीन अलग-अलग चरणों में 2,180 खाते और 7,200 रिपॉजिटरी उजागर हुए, जिनमें से कई रहस्य अभी भी वैध हैं और निरंतर क्षति का जोखिमश्वेत पत्र में समयरेखा, हमलावर की तकनीकों और लीक हुए रहस्यों की प्रकृति के बारे में विवरण दिया गया है।
एनएक्स सप्लाई चेन अटैक ⚠️🚀
Nx एक ओपन-सोर्स, सिंगल-रिपॉजिटरी बिल्ड और मैनेजमेंट सिस्टम है जिसका व्यापक रूप से एंटरप्राइज़-स्तरीय जावास्क्रिप्ट/टाइपस्क्रिप्ट इकोसिस्टम में उपयोग किया जाता है। NPM रजिस्ट्री पर लाखों साप्ताहिक डाउनलोड के साथ, एक समझौता पैकेज का कई एकीकरणों और विकास पाइपलाइनों पर दूरगामी प्रभाव पड़ता है। ⚙️
समझौता वेक्टर और घटना की तारीख 📅
26 अगस्त, 2025 को, हमलावर ने Nx रिपॉजिटरी में एक असुरक्षित GitHub Actions वर्कफ़्लो का फ़ायदा उठाकर NPM पर पैकेज का एक दुर्भावनापूर्ण संस्करण प्रकाशित किया। इस पैकेज में "telemetry.js" नामक एक दुर्भावनापूर्ण पोस्ट-इंस्टॉल स्क्रिप्ट शामिल थी, जो प्रभावित सिस्टम पर क्रेडेंशियल-एक्सट्रैक्टर मैलवेयर के रूप में काम करती थी। 🔥
टेलीमेट्री.जेएस मैलवेयर कैसे काम करता है 🕵️♂️
telemetry.js मैलवेयर ने Linux और macOS पर क्रेडेंशियल चुराने का काम किया, GitHub टोकन, npm टोकन, SSH कुंजियाँ, .env फ़ाइलें, क्रिप्टोकरेंसी वॉलेट और अन्य गोपनीय जानकारी चुराने की कोशिश की, फिर उन्हें "s1ngularity-repository" नामक सार्वजनिक GitHub रिपॉजिटरी में अपलोड कर दिया। इस पैटर्न ने हमलावर को चुराई गई जानकारी को केंद्रीकृत और उजागर करने की अनुमति दी। 🔐
स्रोत: विज़
हमलावर ने लक्षित प्रॉम्प्ट का उपयोग करके खोज और हार्वेस्टिंग को स्वचालित करने के लिए AI प्लेटफ़ॉर्म (जैसे, क्लाउड, क्यू, और जेमिनी) के लिए कमांड-लाइन टूल भी एकीकृत किए। विज़ ने दस्तावेज़ों में बताया है कि हमले के दौरान प्रॉम्प्ट कैसे विकसित हुआ, निष्कर्षण को अनुकूलित किया और कुछ निर्देशों के लिए मॉडल अस्वीकृति को दरकिनार किया, जो एलएलएम तकनीकों के प्रति अभिनेता के सक्रिय अनुकूलन को दर्शाता है। ✨💡
प्रभाव सीमा: क्षति त्रिज्या और चरण 📈🔥
यह घटना तीन चरणों में सामने आई। पहले चरण में, 26 और 27 अगस्त के बीच, Nx के संक्रमित संस्करणों ने 1,700 उपयोगकर्ताओं को सीधे प्रभावित किया और 2,000 से ज़्यादा विशिष्ट गोपनीय जानकारियाँ लीक कर दीं, साथ ही संक्रमित सिस्टम की लगभग 20,000 फ़ाइलें भी उजागर कर दीं। GitHub ने हस्तक्षेप किया, लेकिन अधिकांश डेटा पहले ही डुप्लिकेट हो चुका था।
- 🔹 चरण 1 (26-27 अगस्त): 1,700 उपयोगकर्ता प्रभावित हुए, ~2,000 गोपनीय जानकारी लीक हुई, 20,000 फाइलें खतरे में पड़ीं।
- 🔸 चरण 2 (28-29 अगस्त): लीक हुए टोकनों का उपयोग करके निजी रिपॉजिटरी को सार्वजनिक में परिवर्तित किया गया; 480 अतिरिक्त खातों को जोखिम में डाला गया तथा 6,700 रिपॉजिटरी को उजागर किया गया।
- 🔹 चरण 3 (31 अगस्त से): पीड़ित संगठन को निशाना बनाकर किया गया हमला प्रकाशित करने के लिए खातों से छेड़छाड़ की गई 500 से अधिक निजी रिपॉजिटरी।
दूसरे चरण के दौरान, हमलावरों ने चुराए गए GitHub टोकन का इस्तेमाल निजी रिपॉजिटरीज़ को सार्वजनिक करने और उनका नाम बदलकर 's1ngularity' स्ट्रिंग से बदलने के लिए किया, जिससे हमलावरों की सक्रियता और बढ़ गई। तीसरे चरण में, एक विशिष्ट लक्ष्य का इस्तेमाल सैकड़ों अतिरिक्त निजी रिपॉजिटरीज़ प्रकाशित करने के लिए किया गया, जिससे हमलावर की दृढ़ता और उसकी बढ़ती हुई गतिविधियों का पता चलता है। 🎯
स्रोत: विज़
एनएक्स परियोजना प्रतिक्रिया और शमन 🔧✅
Nx टीम ने GitHub पर एक मूल कारण विश्लेषण प्रकाशित किया, जिसमें बताया गया कि कैसे एक पुल अनुरोध के शीर्षक में एक इंजेक्शन और pull_request_target के असुरक्षित उपयोग ने उन्नत अनुमतियों के साथ मनमाने कोड को निष्पादित करने की अनुमति दी, जिससे प्रकाशन पाइपलाइन चालू हो गई और npm प्रकाशन टोकन के निष्कासन में सुविधा हुई। 🛠️
लागू की गई कार्रवाइयों में दुर्भावनापूर्ण पैकेज हटाना, समझौता किए गए टोकन को रद्द करना और रोटेट करना, और सभी प्रकाशक खातों के लिए दो-कारक प्रमाणीकरण अनिवार्य करना शामिल था। इसके अतिरिक्त, Nx ने NPM के विश्वसनीय प्रकाशक मॉडल को अपनाया और PR-ट्रिगर वर्कफ़्लोज़ के लिए मैन्युअल अनुमोदन जोड़ा। 🔐📌
त्वरित सुझाव और मुख्य बिंदु ✏️
- ✅ यदि समझौता होने का संदेह हो तो टोकन और रहस्यों की तुरंत समीक्षा करें और उन्हें घुमाएं।
- 📌 pull_request_target के असुरक्षित उपयोग से बचें और संवेदनशील प्रवाहों पर मैन्युअल अनुमोदन लागू करें।
- 🔧 बहु-कारक प्रमाणीकरण और विश्वसनीय प्रकाशक जैसे विश्वसनीय प्रकाशन मॉडल लागू करें।
- ⚡ सार्वजनिक रिपॉजिटरी की निगरानी करें और शीघ्र पता लगाने के लिए स्वचालित गुप्त खोज करें।
स्निपेट्स और FAQ को परिभाषित करना ✨
टेलीमेट्री.जेएस क्या है?
telemetry.js, Nx पैकेज के समझौता किए गए संस्करण में शामिल दुर्भावनापूर्ण पोस्ट-इंस्टॉल स्क्रिप्ट का नाम है; यह लिनक्स और macOS सिस्टम पर क्रेडेंशियल चुराने वाले के रूप में काम करता था, ताकि हमलावर द्वारा नियंत्रित सार्वजनिक रिपॉजिटरी में रहस्यों को इकट्ठा और बाहर निकाला जा सके।
कितने खाते और रिपॉजिटरी प्रभावित हुए?
विज़ की रिपोर्ट के अनुसार, हमले ने घटना के तीन प्रलेखित चरणों के दौरान 2,180 खातों और 7,200 रिपॉजिटरी को उजागर किया, जिनमें से कई रहस्य अभी भी वैध हैं और निरंतर प्रभाव का जोखिम है।
461 TP3T परिवेशों में पासवर्ड लीक हुए थे, जो पिछले वर्ष के 251 TP3T से लगभग दोगुना है। डेटा एक्सफ़िल्ट्रेशन की रोकथाम, पता लगाने और रुझानों के संपूर्ण विश्लेषण के लिए पिकस ब्लू रिपोर्ट 2025 प्राप्त करें। 📈
रिपोर्ट में सुरक्षा को मजबूत करने तथा गुप्त जानकारी लीक होने पर प्रतिक्रिया में सुधार करने के लिए मापदण्ड, सिफारिशें और केस अध्ययन उपलब्ध कराए गए हैं।
