पीएचपी पैकेज संक्रमित: ओपन सोर्स का भी है एक अंधकारमय पक्ष

2026 May 25 प्रकाशित | स्पैनिश से अनुवादित

PHP के लिए पुस्तकालयों का एक समूह पासवर्ड चुराने के लिए डिज़ाइन किए गए वायरस से समझौता किया गया था। जिन लोगों ने इन पैकेजों को अपनी परियोजनाओं में शामिल किया, उनका डेटा उजागर हो गया। यह हमला याद दिलाता है कि बिना नियंत्रण के ओपन-सोर्स कोड का उपयोग करने के गंभीर परिणाम हो सकते हैं। सुरक्षित संस्करणों में अपडेट करने और प्रत्येक निर्भरता की अखंडता की पुष्टि करने की अनुशंसा की जाती है।

सिनेमाई तकनीकी चित्रण जिसमें PHP कोड रिपॉजिटरी स्क्रीन दिख रही है जिसमें दुर्भावनापूर्ण पैकेज इंजेक्शन चल रहा है, चमकती लाल वायरस कोड स्ट्रैंड्स एक पासवर्ड डेटाबेस आइकन के चारों ओर लिपट रहे हैं, ओपन-सोर्स लाइब्रेरी ब्लॉक्स के बीच टूटी हुई चेन लिंक्स, अंधेरा सर्वर रूम बैकग्राउंड जिसमें टिमटिमाती मॉनिटर लाइट्स हैं, टर्मिनल विंडोज़ में दूषित डिपेंडेंसी ट्री दिख रहे हैं, सुरक्षा लॉक आइकन्स टूट रहे हैं, समझौता किए गए सर्वरों से डेटा स्ट्रीम्स लीक हो रही हैं, अति-विस्तृत डिजिटल फोरेंसिक विज़ुअलाइज़ेशन, नाटकीय लाल और नीली चेतावनी रोशनी, फोटोरियलिस्टिक साइबर खतरा प्रतिनिधित्व

डिपेंडेंसी नियंत्रण आपके स्टैक में हमलों को कैसे रोकता है 🛡️

संक्रमण आधिकारिक रिपॉजिटरी के माध्यम से फैला, जहां हमलावरों ने पैकेजों के विशिष्ट संस्करणों में दुर्भावनापूर्ण कोड डाला। सर्वर पर निष्पादित होने पर, मैलवेयर एनवायरनमेंट वेरिएबल्स या कॉन्फ़िगरेशन फ़ाइलों में संग्रहीत क्रेडेंशियल्स निकाल लेता था। जोखिमों को कम करने के लिए, सॉफ़्टवेयर कंपोज़िशन एनालिसिस (SCA) टूल का उपयोग करना और प्रत्येक निर्भरता का हैश रिकॉर्ड रखना महत्वपूर्ण है। सबक सरल है: आप जो डाउनलोड करते हैं उस पर आँख बंद करके भरोसा न करें

वह दिन जब आपके पैकेज मैनेजर ने आपका पासवर्ड चुरा लिया 😅

पता चला कि सबसे बड़ा सुरक्षा जोखिम हुड वाला कोई हैकर नहीं था, बल्कि एक साधारण composer install था। अब डेवलपर्स अपनी composer.json फ़ाइलों को ऐसे देखते हैं जैसे वे वर्गीकृत दस्तावेज़ हों। अगला कदम सर्वर से require चलाने से पहले फूंक मारने के लिए कहना होगा। अच्छी बात है कि ओपन-सोर्स मुफ़्त है, क्योंकि जो शांति मिलती है, उसके लिए अलग से भुगतान करना पड़ता है।