S1ngularity लीक: GitHub और NPM प्रभावित 🚨
Nx के खिलाफ "s1ngularity" नामक सप्लाई चेन हमले की हालिया जाँच से एक बड़े पैमाने पर क्रेडेंशियल लीक का पता चला है: हज़ारों अकाउंट टोकन और रिपॉजिटरी सीक्रेट्स उजागर हुए, जिसके परिणाम घटना के कई चरणों में दिखाई दिए। Wiz की एक घटना-पश्चात रिपोर्ट इस घटना के दायरे का दस्तावेजीकरण करती है और इस बात की जानकारी देती है कि एक्सफ़िल्ट्रेशन कैसे विकसित हुआ और इसका क्या प्रभाव पड़ा। 🚨📊
विज़ शोधकर्ताओं द्वारा प्रकाशित मूल्यांकन के अनुसार, इस उल्लंघन के परिणामस्वरूप तीन अलग-अलग चरणों में 2,180 खाते और 7,200 रिपॉजिटरी उजागर हुए, जिनमें से कई रहस्य अभी भी वैध हैं और निरंतर क्षति का जोखिमश्वेत पत्र में समयरेखा, हमलावर की तकनीकों और लीक हुए रहस्यों की प्रकृति के बारे में विवरण दिया गया है।
एनएक्स सप्लाई चेन अटैक ⚠️🚀
Nx एक ओपन-सोर्स, सिंगल-रिपॉजिटरी बिल्ड और मैनेजमेंट सिस्टम है जिसका व्यापक रूप से एंटरप्राइज़-स्तरीय जावास्क्रिप्ट/टाइपस्क्रिप्ट इकोसिस्टम में उपयोग किया जाता है। NPM रजिस्ट्री पर लाखों साप्ताहिक डाउनलोड के साथ, एक समझौता पैकेज का कई एकीकरणों और विकास पाइपलाइनों पर दूरगामी प्रभाव पड़ता है। ⚙️
समझौता वेक्टर और घटना की तारीख 📅
El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como मैलवेयर extractor de credenciales en los sistemas afectados. 🔥
टेलीमेट्री.जेएस मैलवेयर कैसे काम करता है 🕵️♂️
El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository. Este patrón permitió al atacante centralizar y exponer la información robada. 🔐
स्रोत: विज़
हमलावर ने लक्षित प्रॉम्प्ट का उपयोग करके खोज और हार्वेस्टिंग को स्वचालित करने के लिए AI प्लेटफ़ॉर्म (जैसे, क्लाउड, क्यू, और जेमिनी) के लिए कमांड-लाइन टूल भी एकीकृत किए। विज़ ने दस्तावेज़ों में बताया है कि हमले के दौरान प्रॉम्प्ट कैसे विकसित हुआ, निष्कर्षण को अनुकूलित किया और कुछ निर्देशों के लिए मॉडल अस्वीकृति को दरकिनार किया, जो एलएलएम तकनीकों के प्रति अभिनेता के सक्रिय अनुकूलन को दर्शाता है। ✨💡
प्रभाव सीमा: क्षति त्रिज्या और चरण 📈🔥
यह घटना तीन चरणों में सामने आई। पहले चरण में, 26 और 27 अगस्त के बीच, Nx के संक्रमित संस्करणों ने 1,700 उपयोगकर्ताओं को सीधे प्रभावित किया और 2,000 से ज़्यादा विशिष्ट गोपनीय जानकारियाँ लीक कर दीं, साथ ही संक्रमित सिस्टम की लगभग 20,000 फ़ाइलें भी उजागर कर दीं। GitHub ने हस्तक्षेप किया, लेकिन अधिकांश डेटा पहले ही डुप्लिकेट हो चुका था।
- 🔹 चरण 1 (26-27 अगस्त): 1,700 उपयोगकर्ता प्रभावित हुए, ~2,000 गोपनीय जानकारी लीक हुई, 20,000 फाइलें खतरे में पड़ीं।
- 🔸 चरण 2 (28-29 अगस्त): लीक हुए टोकनों का उपयोग करके निजी रिपॉजिटरी को सार्वजनिक में परिवर्तित किया गया; 480 अतिरिक्त खातों को जोखिम में डाला गया तथा 6,700 रिपॉजिटरी को उजागर किया गया।
- 🔹 चरण 3 (31 अगस्त से): पीड़ित संगठन को निशाना बनाकर किया गया हमला प्रकाशित करने के लिए खातों से छेड़छाड़ की गई 500 से अधिक निजी रिपॉजिटरी।
दूसरे चरण के दौरान, हमलावरों ने चुराए गए GitHub टोकन का इस्तेमाल निजी रिपॉजिटरीज़ को सार्वजनिक करने और उनका नाम बदलकर 's1ngularity' स्ट्रिंग से बदलने के लिए किया, जिससे हमलावरों की सक्रियता और बढ़ गई। तीसरे चरण में, एक विशिष्ट लक्ष्य का इस्तेमाल सैकड़ों अतिरिक्त निजी रिपॉजिटरीज़ प्रकाशित करने के लिए किया गया, जिससे हमलावर की दृढ़ता और उसकी बढ़ती हुई गतिविधियों का पता चलता है। 🎯
स्रोत: विज़
एनएक्स परियोजना प्रतिक्रिया और शमन 🔧✅
Nx टीम ने GitHub पर एक मूल कारण विश्लेषण प्रकाशित किया, जिसमें बताया गया कि कैसे एक पुल अनुरोध के शीर्षक में एक इंजेक्शन और pull_request_target के असुरक्षित उपयोग ने उन्नत अनुमतियों के साथ मनमाने कोड को निष्पादित करने की अनुमति दी, जिससे प्रकाशन पाइपलाइन चालू हो गई और npm प्रकाशन टोकन के निष्कासन में सुविधा हुई। 🛠️
लागू की गई कार्रवाइयों में दुर्भावनापूर्ण पैकेज हटाना, समझौता किए गए टोकन को रद्द करना और रोटेट करना, और सभी प्रकाशक खातों के लिए दो-कारक प्रमाणीकरण अनिवार्य करना शामिल था। इसके अतिरिक्त, Nx ने NPM के विश्वसनीय प्रकाशक मॉडल को अपनाया और PR-ट्रिगर वर्कफ़्लोज़ के लिए मैन्युअल अनुमोदन जोड़ा। 🔐📌
त्वरित सुझाव और मुख्य बिंदु ✏️
- ✅ यदि समझौता होने का संदेह हो तो टोकन और रहस्यों की तुरंत समीक्षा करें और उन्हें घुमाएं।
- 📌 pull_request_target के असुरक्षित उपयोग से बचें और संवेदनशील प्रवाहों पर मैन्युअल अनुमोदन लागू करें।
- 🔧 बहु-कारक प्रमाणीकरण और विश्वसनीय प्रकाशक जैसे विश्वसनीय प्रकाशन मॉडल लागू करें।
- ⚡ सार्वजनिक रिपॉजिटरी की निगरानी करें और शीघ्र पता लगाने के लिए स्वचालित गुप्त खोज करें।
स्निपेट्स और FAQ को परिभाषित करना ✨
टेलीमेट्री.जेएस क्या है?
telemetry.js, Nx पैकेज के समझौता किए गए संस्करण में शामिल दुर्भावनापूर्ण पोस्ट-इंस्टॉल स्क्रिप्ट का नाम है; यह लिनक्स और macOS सिस्टम पर क्रेडेंशियल चुराने वाले के रूप में काम करता था, ताकि हमलावर द्वारा नियंत्रित सार्वजनिक रिपॉजिटरी में रहस्यों को इकट्ठा और बाहर निकाला जा सके।
कितने खाते और रिपॉजिटरी प्रभावित हुए?
विज़ की रिपोर्ट के अनुसार, हमले ने घटना के तीन प्रलेखित चरणों के दौरान 2,180 खातों और 7,200 रिपॉजिटरी को उजागर किया, जिनमें से कई रहस्य अभी भी वैध हैं और निरंतर प्रभाव का जोखिम है।
46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈
रिपोर्ट में सुरक्षा को मजबूत करने तथा गुप्त जानकारी लीक होने पर प्रतिक्रिया में सुधार करने के लिए मापदण्ड, सिफारिशें और केस अध्ययन उपलब्ध कराए गए हैं।
