axios npm हैक: ओपन-सोर्स सप्लाई चेन पर बड़ा साइबर हमला

4/17/2026, 12:52:00 PM

नॉर्थ कोरिया से जुड़े हैकर ग्रुप ने axios के npm अकाउंट को हैक कर बैकडोर वाले वर्जन पब्लिश कर दिए, जिनमें मालिशियस स्क्रिप्ट के जरिए सिस्टम पर हमला संभव था। हालांकि ये वर्जन कुछ घंटों में हटा दिए गए, लेकिन इस घटना ने ओपन-सोर्स सिक्योरिटी और डेवलपर्स के लिए बड़े खतरे और जरूरी सावधानियों को उजागर कर दिया।

ओपन-सोर्स जावास्क्रिप्ट इकोसिस्टम में हाल ही में एक बड़े सप्लाई-चेन साइबर हमले का खुलासा हुआ, जिसने डेवलपर्स और टेक इंडस्ट्री को हिला कर रख दिया। रिपोर्ट के अनुसार, नॉर्थ कोरिया से जुड़े हैकर ग्रुप “सैफायर स्लीट” ने लोकप्रिय HTTP लाइब्रेरी **axios** के npm अकाउंट से छेड़छाड़ कर दी। हैकर्स ने axios के मेंटेनर “jasonsaayman” का npm अकाउंट हैक कर लिया और इसके दो वर्जन—1.14.1 और 0.30.4—को बैकडोर कोड के साथ पब्लिश कर दिया। इन खतरनाक वर्जन्स में एक मालिशियस “postinstall” स्क्रिप्ट छिपाई गई थी, जो पैकेज इंस्टॉल होते ही यूज़र के सिस्टम पर रिमोट एक्सेस ट्रोजन (RAT) डाउनलोड और रन कर सकती थी। axios हर हफ्ते 7 करोड़ से ज्यादा डाउनलोड होने वाली एक बेहद लोकप्रिय और बेसिक लाइब्रेरी है, इसलिए इस हमले का संभावित असर बहुत बड़ा हो सकता था। हालांकि राहत की बात यह रही कि ये संक्रमित वर्जन सिर्फ 2–3 घंटे तक ही लाइव रहे, जिसके बाद npm ने इन्हें हटा दिया। इस हमले को माइक्रोसॉफ्ट और गूगल दोनों ने स्वतंत्र रूप से