Node Package Manager (npm) पर AsyncAPI पैकेजों के पाँच दुर्भावनापूर्ण संस्करण प्रकाशित हुए, जिससे रिमोट एक्सेस ट्रोजन और संवेदनशील डेटा चोरी का जोखिम बढ़ा। यह हमला गिटहब एक्शन्स वर्कफ़्लो की गलत कॉन्फ़िगरेशन का फायदा उठाकर किया गया था।

मुख्य बिंदु (Key Takeaways)

  • AsyncAPI के @asyncapi नेमस्पेस में पाँच मालिशियस npm पैकेज प्रकाशित हुए
  • पैकेजों ने 2.25 मिलियन से अधिक साप्ताहिक डाउनलोड्स के साथ आपूर्ति‑श्रृंखला में प्रवेश किया
  • हमले का उद्देश्य क्रेडेंशियल, टोकन और अन्य संवेदनशील डेटा चोरी करना था

जुलाई 14, 2026 को, सुरक्षा अनुसंधानकर्ताओं ने रिपोर्ट किया कि दो AsyncAPI गिटहब रेपोजिटरीज़ समझौता किए गए और इन रेपोजिटरीज़ में मालिशियस कोड इन्जेक्ट किया गया। इस कोड को npm के @asyncapi नेमस्पेस के तहत पाँच अलग‑अलग पैकेजों में प्रकाशित किया गया, जिनमें से कुछ ने 100,000 से अधिक साप्ताहिक डाउनलोड की संख्या हासिल की।

हमले की तकनीकी प्रक्रिया

हमलावर ने गिटहब एक्शन्स वर्कफ़्लो की गलत कॉन्फ़िगरेशन का उपयोग किया और एक प्लेसहोल्डर गिट आइडेंटिटी के तहत कमिट पुश किए। इस प्रक्रिया ने npm के GitHub OIDC ट्रस्टेड‑पब्लिशर इंटीग्रेशन को वैध SLSA प्रमाणपत्र प्रदान किया, जिससे पैकेजों को वैध मानते हुए प्रकाशित किया गया। परिणामस्वरूप, डिपेंडेंसी स्कैनर और CI/CD पाइपलाइन आसानी से इन पैकेजों को भरोसेमंद मानते रहे।

मालवेयर की परत‑दर‑परत संरचना

पहला चरण एक ओबफ़ुस्केटेड जावास्क्रिप्ट स्टेटमेंट है, जो पैकेज को इम्पोर्ट करने पर डाउनलोडर ट्रिगर करता है। दूसरा चरण IPFS पीयर‑टू‑पीर कंटेंट डिलीवरी नेटवर्क से एक स्क्रिप्ट लाता है, जिसे छिपे प्रोसेस के रूप में चलाया जाता है। तीसरा चरण 92,000 लाइनों का जटिल फ्रेमवर्क है, जो सिस्टम पर स्थायित्व स्थापित करता है और C2 सर्वर से कई चैनलों (HTTP, Nostr, Ethereum स्मार्ट कॉन्ट्रैक्ट, libp2p मेष) के माध्यम से संवाद करता है।

उद्देश्य और संभावित प्रभाव

मालवेयर का मुख्य लक्ष्य विभिन्न प्रकार के सीक्रेट्स को चुराना है: क्लाउड क्रेडेंशियल, टोकन, ब्राउज़र डेटा, CI/CD सिस्टम के लॉग, AI डेवलपर टूल्स, क्रिप्टो वॉलेट्स और डेटाबेस। इस प्रक्रिया में Gitleaks और HackBrowserData जैसे टूल्स को डाउनलोड करके संवेदनशील जानकारी एकत्र करने की कोशिश की जाती है, हालांकि कुछ रिपोर्टों के अनुसार ये टूल्स वास्तविक रूप से काम नहीं करते।

प्रतिक्रिया और सिफ़ारिशें

जैसे ही पैकेजों को पता चला, npm से सभी पाँच संस्करण हटा दिए गए। फिर भी, उन डेवलपर्स को चेतावनी दी गई है जिन्होंने पहले से इन पैकेजों को इंस्टॉल किया है, क्योंकि लॉक‑फ़ाइलें और स्थानीय कैश में अभी भी मालिशियस कोड रह सकता है। सुरक्षा सलाह में ज्ञात‑सुरक्षित फ़ाइलों को पिन करना, लॉक‑फ़ाइलें पुनः जेनरेट करना, ‘NodeJS/sync.js’ फ़ाइल को हटाना, सभी संदेहजनक प्रोसेस को समाप्त करना और प्रभावित क्रेडेंशियल को रोटेट करना शामिल है।