PhantomRaven मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने एनपीएम पारिस्थितिकी तंत्र को निशाना बनाकर किए गए एक अत्यधिक सक्रिय सॉफ़्टवेयर आपूर्ति श्रृंखला हमले का खुलासा किया है। 100 से ज़्यादा दुर्भावनापूर्ण पैकेजों की पहचान की गई है, जो संवेदनशील डेवलपर क्रेडेंशियल्स, जैसे प्रमाणीकरण टोकन, CI/CD सीक्रेट्स और GitHub क्रेडेंशियल्स, को सीधे प्रभावित मशीनों से चुराने में सक्षम हैं।

फैंटमरेवेन कोडनाम वाला यह अभियान पहली बार अगस्त 2025 में सामने आया था। तब से, यह 126 एनपीएम लाइब्रेरी तक विस्तारित हो चुका है और 86,000 से अधिक इंस्टॉल प्राप्त कर चुका है, जो इन दुर्भावनापूर्ण पैकेजों के तेजी से प्रसार और अपनाने को दर्शाता है।

रडार के नीचे उड़ते दुर्भावनापूर्ण पैकेज

चिह्नित पैकेजों में से कई में निम्नलिखित शामिल हैं:

• ऑप-क्ली-इंस्टॉलर - 486 डाउनलोड
• अप्रयुक्त आयात – 1,350 डाउनलोड
• badgekit-api-client – 483 डाउनलोड
• polyfill-corejs3 – 475 डाउनलोड
• eslint-comments – 936 डाउनलोड

फैंटमरेवेन को विशेष रूप से कपटी बनाने वाली बात है इसका रिमोट डायनेमिक डिपेंडेंसीज़ (RDD) का उपयोग। आधिकारिक npm रजिस्ट्री से कोड प्राप्त करने के बजाय, दुर्भावनापूर्ण पैकेज एक कस्टम HTTP URL (packages.storeartifact.com) की ओर इशारा करते हैं। इससे npm को एक अविश्वसनीय बाहरी स्रोत से निर्भरताएँ प्राप्त करने की अनुमति मिलती है, जिससे npmjs.com सुरक्षा को प्रभावी ढंग से दरकिनार किया जा सकता है।

पारंपरिक सुरक्षा स्कैनर और निर्भरता विश्लेषण उपकरण इन RDDs का पता लगाने में विफल रहते हैं, क्योंकि स्वचालित प्रणालियां पैकेजों को '0 निर्भरताओं' के रूप में देखती हैं।

हमला कैसे काम करता है

जैसे ही कोई डेवलपर किसी भी सौम्य पैकेज को इंस्टॉल करता है, हमले की श्रृंखला शुरू हो जाती है। मुख्य तत्व इस प्रकार हैं:

प्री-इंस्टॉल हुक निष्पादन : पैकेज में एक प्री-इंस्टॉल जीवनचक्र स्क्रिप्ट होती है जो स्वचालित रूप से मुख्य पेलोड को निष्पादित करती है।

रिमोट पेलोड रिट्रीवल : स्क्रिप्ट हमलावर-नियंत्रित सर्वर से दुर्भावनापूर्ण निर्भरता को प्राप्त करती है।

डेटा एक्सफ़िलट्रेशन : एक बार निष्पादित होने के बाद, मैलवेयर डेवलपर के वातावरण को ईमेल पतों के लिए स्कैन करता है, CI/CD वातावरण विवरण एकत्र करता है, सिस्टम (सार्वजनिक IP सहित) की फिंगरप्रिंटिंग करता है, और डेटा को दूरस्थ सर्वर पर भेजता है।

हमलावर अपनी इच्छानुसार पेलोड को संशोधित कर सकता है, तथा पैकेज के स्वीकृत हो जाने पर दुर्भावनापूर्ण अपडेट भेजने से पहले, पता लगाने से बचने के लिए शुरुआत में हानिरहित कोड प्रदान कर सकता है।

मानव और एआई के अंध बिंदुओं का दोहन

पैकेज नामों का चुनाव सोच-समझकर किया जाता है। खतरा पैदा करने वाला व्यक्ति स्लॉपस्क्वाटिंग नामक एक रणनीति का इस्तेमाल करता है, जिसमें बड़े भाषा मॉडल (एलएलएम) गैर-मौजूद लेकिन विश्वसनीय लगने वाले पैकेज नामों का भ्रम पैदा करते हैं। डेवलपर्स इन पैकेजों पर उनके वास्तविक नामकरण के कारण भरोसा कर सकते हैं, और छिपे हुए खतरे से अनजान होते हैं।

जैसा कि शोधकर्ताओं ने बताया है, फैंटमरेवेन हमलावरों की बढ़ती हुई परिष्कृतता पर प्रकाश डालता है:

• दूरस्थ गतिशील निर्भरताएँ स्थैतिक विश्लेषण से बचती हैं।
• एआई-जनरेटेड पैकेज नाम डेवलपर के विश्वास का फायदा उठाते हैं।
• जीवनचक्र स्क्रिप्ट उपयोगकर्ता की सहभागिता के बिना स्वचालित रूप से निष्पादित होती हैं।

यह अभियान इस बात को रेखांकित करता है कि किस प्रकार दुर्भावनापूर्ण अभिनेता पारंपरिक सुरक्षा उपकरणों में खामियों का फायदा उठाकर ओपन-सोर्स पारिस्थितिकी तंत्र में कोड छिपाने के नए तरीके खोज रहे हैं।

एनपीएम एक प्रमुख लक्ष्य क्यों है?

पैकेज प्रकाशित करने के लिए एनपीएम इकोसिस्टम की कम घर्षण क्षमता, प्रीइंस्टॉल, इंस्टॉल और पोस्टइंस्टॉल स्क्रिप्ट के स्वचालित निष्पादन के साथ मिलकर, इसे एक प्रमुख लक्ष्य बनाती है। हमलावर अक्सर डेवलपर की जानकारी के बिना, लाइफसाइकल स्क्रिप्ट में दुर्भावनापूर्ण व्यवहार छिपा सकते हैं, जो आधुनिक विकास परिवेशों में बढ़ी हुई सतर्कता और मज़बूत सुरक्षा प्रथाओं की आवश्यकता को दर्शाता है।