माइक्रोसॉफ्ट ने क्रिप्टो वॉलेट्स को लक्षित करने वाले दुर्भावनापूर्ण npm पैकेजों की खोज की

• माइक्रोसॉफ्ट ने हगिंग फेस API का दुरुपयोग करने वाले दो घातक npm पैकेज को चिह्नित किया।
• पैकेज ने कीस्ट्रोक्स, स्क्रीनशॉट्स और वॉलेट डेटा चुराने के लिए एक RAT तैनात किया।
• घटना क्रिप्टो उपयोगकर्ताओं को लक्षित करने वाले लगातार npm सप्लाई चेन जोखिमों को उजागर करती है।

26 जून, 2026 को, माइक्रोसॉफ्ट थ्रेट इंटेलिजेंस ने रिपोर्ट किया कि दो दुरुपयोगित npm पैकेज रिमोट एक्सेस ट्रोजन (RAT) को डिप्लॉय कर रहे थे, जो कीस्ट्रोक्स, स्क्रीनशॉट्स और क्रिप्टो वॉलेट क्रेडेंशियल्स चुरा रहे थे और डेटा एक्सफिल्ट्रेशन के लिए हगिंग फेस रिपॉजिटरीज (repos) का दुरुपयोग कर रहे थे।

माइक्रोसॉफ्ट थ्रेट इंटेलिजेंस ने पहचाना है कि दो दुर्भावनापूर्ण npm पैकेज, [email protected] और [email protected], को दुर्भावनापूर्ण उद्देश्य से संक्रमित या प्रकाशित किया गया था। ये पैकेज एक RAT डिप्लॉय करते हैं जो कीस्ट्रोक्स को कैप्चर कर सकता है, स्क्रीनशॉट ले सकता है, और क्रिप्टोकरेंसी वॉलेट क्रेडेंशियल्स चुरा सकता है।

पैकेज Hugging Face रिपॉजिटरी का दुरुपयोग करते हैं जिससे डेटा निकालने की सुविधा मिलती है, और दुर्भावनापूर्ण ट्रैफिक को वैध मशीन लर्निंग वर्कलोड के साथ मिलाकर पता लगाने से बचते हैं। ये पैकेज npm उपयोगकर्ता hexalpha10 (लेखक: toskypi) द्वारा प्रकाशित किए गए थे।

जब डेवलपर्स या बिल्ड पाइपलाइन्स संक्रमित npm पैकेजेस स्थापित करते हैं, तो पैकेज एक पूर्ण-फ़ीचर्ड RAT को चुपचाप डिप्लॉय कर देते हैं। यह RAT पीछे से चलने के लिए डिज़ाइन किया गया है और संवेदनशील जानकारी को सक्रिय रूप से चुराता है। यह संक्रमित सिस्टम पर उपयोगकर्ता गतिविधि को मॉनिटर करके, इनपुट को कैप्चर करके जो अक्सर वॉलेट पासवर्ड, सीड फ्रेज या प्राइवेट कीज़ शामिल होते हैं, और लोकप्रिय क्रिप्टो वॉलेट एप्लिकेशन और ब्राउज़र एक्सटेंशन्स से संग्रहीत पार्यों को निकालकर इसे प्राप्त करता है।

लंबे समय तक पहुँच बनाए रखने के लिए, मैलवेयर स्थापना के तुरंत बाद प्लेटफॉर्म-विशिष्ट विधियों का उपयोग करके स्थायित्व स्थापित करता है:

• विंडोज पर: यह HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 पर एक Run कुंजी बनाता है और MicrosoftSystem64 नाम का एक नियोजित कार्य सेटअप करता है।
• लिनक्स पर: यह MicrosoftSystem64.service नामक एक systemd सेवा स्थापित करता है।

पेलोड को एक अलग निर्देशिका (MicrosoftSystem64/payload.js) में डाल दिया जाता है, जिससे RAT मूल npm पैकेज से स्वतंत्र रूप से कार्य कर सकता है। RAT दो कमांड-एंड-कंट्रोल (C2) सर्वर्स, 195.201.194.107:8010 (WebSocket) और c2-toskypi.onrender.com (HTTP) का उपयोग करता है, और अपने डेटा निकास एंडपॉइंट के रूप में वैध Hugging Face रिपॉजिटरी का दुरुपयोग करके चोरी किए गए डेटा को सुचारू रूप से बाहर भेजता है (huggingface.co/api)।

दुष्ट npm पैकेज की खोज यह एक और स्पष्ट याद दिलाती है कि सॉफ्टवेयर सप्लाई चेन हमले कितनी तेजी से विकसित हो रहे हैं, खासकर वे हमले जो Hugging Face जैसे विश्वसनीय AI इंफ्रास्ट्रक्चर का उपयोग चुपचाप संचालन के लिए करते हैं।

तुरंत प्रभाव स्पष्ट है क्योंकि npm निर्भरताओं पर निर्भर डेवलपर और संगठन अब क्रिप्टोकरेंसी या संवेदनशील डेवलपर टोकन्स के साथ काम करने वाले वातावरणों में क्रेडेंशियल चोरी और दीर्घकालिक दुरुपयोग के बढ़े हुए जोखिम का सामना कर रहे हैं। Hugging Face ट्रैफ़िक को “निष्पाप ML गतिविधि” के रूप में व्हाइटलिस्ट करने वाले मानक सुरक्षा उपकरण अब अतिरिक्त संदर्भ के बिना भरोसेमंद नहीं हैं।

आगे देखते हुए, Microsoft थ्रेट इंटेलिजेंस डिफेंडर्स को सुझाव देती है कि huggingface.co/api पर गैर-ML वर्कलोड्स से अप्रत्याशित ट्रैफिक को किसी कम्प्रोमाइज का संकेत माना जाए। यह अभियान अधिक जटिल AI-सक्षम मैलवेयर को उजागर करता है और व्यवहार-आधारित पता लगाने, निरंतर आउटबाउंड API मॉनिटरिंग, कठोर npm सप्लाई चेन नियंत्रण, और ओपन-सोर्स निर्भरताओं की जीरो-ट्रस्ट पुष्टि की ओर एक बदलाव को बढ़ावा देता है।

संबंधित:TrapDoor मैलवेयर अभियान Aptos, Solana और Sui डेवलपर परितंत्रों को लक्षित करता है