फिल्मों और टीवी शो ने हमें कंप्यूटर हैकर्स को कठिन कार्यों, विस्तृत भूखंडों और विस्तृत योजनाओं से जोड़ना सिखाया है। सुरक्षा शोधकर्ता कार्लोस फर्नांडीज और मैंने हाल ही में ओपन-सोर्स रजिस्ट्रियों पर जो पाया है, वह एक अलग कहानी बताता है: बुरे अभिनेता सादगी, प्रभावशीलता और उपयोगकर्ता-केंद्रित सोच के पक्षधर हैं। और अपने दुर्भावनापूर्ण कोड को अगले स्तर पर ले जाने के लिए, वे ChatGPT द्वारा समर्थित नई सुविधाएँ भी जोड़ रहे हैं। सॉफ़्टवेयर-एज़-ए-सर्विस ( ) की तरह, मालवेयर-एज़-ए-सर्विस (एमएएएस) ऑफ़रिंग जैसे , और अंडरग्राउंड बाज़ारों में इतने लोकप्रिय क्यों हो गए हैं, इसका एक कारण यह है कि उनके पास सक्रिय ग्राहक सहायता चैनल और उनके उत्पाद चालाक और उपयोगकर्ता के अनुकूल होते हैं। कहने की जरूरत नहीं है कि ये उत्पाद अक्सर पेशेवर साइबर अपराधियों द्वारा बनाए जाते हैं। सास डकलॉग्स रेडलाइन स्टीलर रैकून स्टीलर इन बक्सों को चेक करें, इस फ़ॉर्म को भरें, इस बटन पर क्लिक करें... यह रहा आपका उपयोग के लिए तैयार मैलवेयर का नमूना! जंगली में पाए जाने वाले कम लोकप्रिय MaaS प्रसाद में, जैसे कि टोकन हड़पने वाला , मानव-केंद्रित डिजाइन सिद्धांतों को शामिल करने का प्रयास है, लेकिन उत्पाद ग्राहक सहायता में विफल रहता है। ज्यादातर किशोरों द्वारा संचालित और उपभोग किए जाने वाले, संबद्ध टेलीग्राम खाते "जीवन भर की वारंटी" के टूटे हुए वादे के कारण शिकायतों और शत्रुतापूर्ण "ब्रो-स्पीक" से भरे हुए हैं: डिस्कोर्ड Z3US सोनाटाइप में शामिल होने से पहले ही, मैं सोच रहा था । और अब जब मैं दुनिया भर के अभियानों और बुरे अभिनेताओं की एक श्रृंखला का अनुसरण कर रहा हूं, तो मेरे लिए कुछ साफ हो गया है: अधिकांश दुर्भावनापूर्ण पैकेज जो सुरक्षा अनुसंधान टीम मेरे ध्यान में लाती है, वे एक हुडी में एक विचित्र प्रतिभा का उत्पाद नहीं हैं। मॉनिटर से भरे एक अंधेरे तहखाने से कोडिंग। MaaS की सरल प्रकृति के लिए धन्यवाद, कोई भी आसानी से न्यूनतम सेटअप लागत और तकनीकी ज्ञान के साथ ओपन-सोर्स रजिस्ट्रियों में नमूने बना और अपलोड कर सकता है। कि साइबर अपराध का आधुनिक चेहरा कैसा दिखता है मैलवेयर अवास्ट के शोधकर्ताओं ने कि चल रही कोविड-19 महामारी की शुरुआत के बाद से, डिस्कॉर्ड और टेलीग्राम जैसे प्लेटफॉर्म युवा आबादी के बीच तेजी से लोकप्रिय हो गए हैं। मुख्यधारा के सोशल मीडिया का उपयोग करने के बजाय, ये किशोर माता-पिता की देखरेख से दूर गेमिंग, चैटिंग और सामाजिककरण के उद्देश्य से डिस्कॉर्ड में मैलवेयर समुदाय बनाते हैं। इन समुदायों का नेतृत्व आमतौर पर सबसे तकनीकी रूप से कुशल सदस्यों द्वारा किया जाता है, जो प्रतिस्पर्धी सर्वरों का स्वामित्व लेकर दिखावा करते हैं, या यहां तक कि उन सूचनाओं के स्क्रीनशॉट साझा करके जो उन्होंने पहले से न सोचा पीड़ितों से चुराई हैं। वे सक्रिय रूप से अन्य सदस्यों को उनके प्रोग्रामिंग कौशल या उनके अभियानों में योगदान करने की क्षमता के आधार पर खोज रहे हैं। देखा है इन गतिविधियों के एक अनपेक्षित परिणाम के रूप में, लचीले ओपन-सोर्स रजिस्ट्रियां जिन पर हम भरोसा करते हैं, वे संसाधनों के अत्यधिक बोझ का सामना कर रही हैं। हमारे सुरक्षा शोधकर्ताओं ने एनपीएम और पीईपीआई रजिस्ट्रियों में अपलोड किए गए 6,933 पैकेजों को दुर्भावनापूर्ण होने की पुष्टि की। पिछले महीने अकेले हमने हाल ही में EsqueleSquad नामक एक स्पैनिश-भाषी समूह के जिसने PyPI पर 5,000 से अधिक पैकेज अपलोड किए हैं। इन पैकेजों में पेलोड ने PowerShell कमांड का उपयोग करके ड्रॉपबॉक्स, गिटहब और डिस्कोर्ड से विंडोज ट्रोजन डाउनलोड करने का प्रयास किया। अभियान पर नज़र रखी, हमने बाद में संभवत: स्पेन से सिलेक्सस्क्वाड नामक एक अन्य समूह की , जिसने संवेदनशील जानकारी को बाहर निकालने के लिए डिज़ाइन किए गए मैलवेयर वाले पैकेज बनाए। YouTube वीडियो के साथ अपने उत्पादों का विज्ञापन करने और उन्हें बाज़ार में बेचने के अलावा, नए सदस्यों की भर्ती के लिए उनके पास एक छोटा डिस्कॉर्ड समुदाय है। और ऐसा लगता है कि उनके पास ओपन-सोर्स सॉफ्टवेयर सप्लाई चेन को प्रदूषित करने के लिए काफी समय है। गतिविधियों की जांच की AI के डैश के साथ स्किड कोड अप्रैल के पहले सप्ताह के दौरान, हमारे AI सिस्टम ने PyPI पर अपलोड किए गए पैकेजों की एक श्रृंखला को संदिग्ध के रूप में फ़्लैग किया, बाद में हमारे सुरक्षा शोधकर्ताओं द्वारा दुर्भावनापूर्ण होने की पुष्टि की गई। इन पैकेजों में एक नामकरण पैटर्न था जिसमें उपसर्ग "py" शामिल था, जिसके बाद एंटीवायरस सॉफ़्टवेयर के संदर्भ थे: , , , और । pydefenderultra pyjunkerpro pyanalizate pydefenderpro कार्लोस फर्नांडीज ने देखा कि पैकेजों को सिलेक्सस्क्वाड समूह में श्रेय दिया गया था, यह सुझाव देते हुए कि हमने और पैकेजों को शामिल करने से पहले एक अभियान को जारी रखा था। इस खोज के बाद हमने उनकी गतिविधियों की मैपिंग शुरू की। रिवर्स_शेल सिंटैक्सिसॉययो बिल्ली और चूहे के खेल में, हर बार जब हम इन पैकेजों में से किसी एक को दुर्भावनापूर्ण के रूप में पुष्टि करते हैं, तो PyPI टीम हमें इसे नीचे ले जाने में मदद करेगी, और कुछ घंटों बाद, बुरे अभिनेता समान नाम वाले पैकेज में घुस जाएंगे। आपको इस अभियान की पूरी तस्वीर देने के लिए, आइए हम अपने शुरुआती निष्कर्षों को फिर से देखें: यदि डेवलपर्स PyPI पैकेज स्थापित करते हैं, तो निष्पादित करेगा, जो कि GitHub पर होस्ट की गई एक हल्की अस्पष्ट स्क्रिप्ट है और ASCII कोड के अनुरूप संख्याओं की एक श्रृंखला के रूप में एन्कोडेड है। रिवर्स_शेल को setup.py bypass.py उलझन को कम करने के बाद, यह दृढ़ता के लिए Windows पर नए रजिस्ट्री मान बनाएगा, और इसके परिणामस्वरूप, यह एक अन्य GitHub-होस्ट की गई फ़ाइल, , को सूचना चुराने वाला कहेगा। ब्राउज़र की जानकारी (इतिहास, कुकीज़, पासवर्ड…), स्टीम खाते, टेलीग्राम खाते, क्रेडिट कार्ड और यहां तक कि पीड़ित के डेस्कटॉप के स्क्रीनशॉट जैसे संवेदनशील डेटा को हमलावर के डिस्कॉर्ड वेबहुक का उपयोग करके अपलोड किया जाएगा। WindowsDefender.py इस समूह को क्रेडिट किए गए नए पैकेजों के लिए फास्ट-फॉरवर्ड करें और हमें एक पूरी तरह से अलग मिलता है जिसमें के साथ उत्पन्न भारी अस्पष्ट कोड (AES 256 एन्क्रिप्शन) शामिल है, एक सेवा जो "एल्गोरिदम की 4 परतों द्वारा सुरक्षा" का वादा करती है। उलझन को कम करने की प्रक्रिया के लिए कार्लोस के तैयार होने से पहले, हम छलावरण वाले कोड के महासागर से केवल दो जानकारी निकाल सकते थे: सेवा URL, और एक पठनीय संदेश: ' ' उस संदेश का प्रत्येक शब्द उलझन को कम करने की प्रक्रिया के लिए उपयोग किया जाने वाला वेरिएबल था: setup.py Pyobfuscate why, are, you, reading, this, thing, huh मैं इसके विवरण में नहीं जाऊंगा कि Pyobfuscate कैसे काम करता है, लेकिन धैर्य और विशेषज्ञता के साथ, कार्लोस सफलतापूर्वक कोड को स्पष्ट करने और उसके वास्तविक रूप को प्रकट करने में कामयाब रहे। उन्होंने पाया कि अस्पष्ट सामग्री न केवल में मौजूद थी, बल्कि पहले से पढ़े जाने योग्य में भी मौजूद थी, जिसे शुरू में GitHub से और अब सेवा से पकड़ा गया था। setup.py WindowsDefender.py transfer.sh जब बुरे अभिनेता पर्याप्त तेज़ी से आगे नहीं बढ़ते हैं, तो हमारे जैसे सुरक्षा शोधकर्ताओं और गिटहब के नियमों के बारे में एक अच्छा मौका है - उनकी योजनाओं को बर्बाद कर देगा। ऐसा का मामला है, जिसे शुरू में GitHub रेपो "joeldev27" पर होस्ट किया गया था, जब इसका उपयोग PyPI पैकेज और द्वारा किया गया था, और इसके तुरंत बाद निष्क्रिय हो गया। को मैलवेयर सीडीएन के रूप में उपयोग करने की अनुमति नहीं देने WindowsDefender.py pycracker pyobfpremium चूँकि उस फ़ाइल नाम का लगातार उपयोग किया जा रहा था, मैंने कुछ खुदाई की और पाया कि नामक GitHub रेपो पर होस्ट किया गया था। जब मैंने इस खोज को कार्लोस के साथ साझा किया, तो उन्होंने आश्चर्य की भावना के साथ जवाब दिया: "अगले कुछ घंटों में, PyPI पर एक अस्पष्ट के साथ एक नया पैकेज दिखाई देगा। स्थापना के बाद, यह उस रेपो से डाउनलोड होगा जिसे आपने अभी-अभी नाम की एक भारी-भरकम स्क्रिप्ट मिली है, जो एक दृढ़ता तंत्र स्थापित करेगी और हमारे द्वारा पहले जांच की गई जानकारी-चोरी करने वाले को डाउनलोड करेगी, जिसे भी कहा जाता है। WindowsDefender.py CosasRandoms480 setup.py WindowsDefender.py WindowsDefender.py उनकी भविष्यवाणी हकीकत में बदल गई जब पैकेज 30 मिनट से भी कम समय के बाद PyPI पर दिखाई दिया, प्रभावी रूप से "CosasRandoms480" का उपयोग मैलवेयर CDN के रूप में किया। हमने इसकी सूचना PyPI टीम को दी और इसके तुरंत बाद इसे हटा लिया गया। पियोबफैडवांस वैज्ञानिकों और दार्शनिकों ने सोचा है कि क्या । एक सुरक्षा शोधकर्ता के रूप में काम करना निश्चित रूप से ऐसा ही लगता है। आप शोध करने, खोजने और रिपोर्ट करने के चक्कर में फंस गए हैं और वही खतरे बार-बार सामने आते रहते हैं। हम कंप्यूटर सिमुलेशन में रहते हैं दो दिन बाद, हमारे सिस्टम पर एक नया SylexSquad-क्रेडिट पैकेज फ़्लैग किया गया: वही उलझा हुआ । से समान URL समान दृढ़ता तंत्र कोड के साथ समान निष्पादित करता है और में जानकारी-चोरी करने वाला समान निष्पादन करता है। सब कुछ एक जैसा दिख रहा था, फिर भी फ़ाइल थी और एक नई स्क्रिप्ट को से तलब किया जा रहा था: pydefenderpro। setup.py समान GitHub रेपो WindowsDefender.py WindowsDefender.py अब अस्पष्ट नहीं transfer.sh "यह एक चूहा है!" कार्लोस ने मुझे पर मैसेज किया। "और एक जानकारी-चोरी करने वाला भी-" स्लैक "एक चूहा उत्परिवर्ती?" मैंने उत्तर दिया, उस प्रवृत्ति का जिक्र करते हुए जो रिमोट एक्सेस ट्रोजन और सूचना-चोरी करने वालों को जोड़ती है। जिसे हम एक प्रकार के मैलवेयर के जंगल में ट्रैक कर रहे हैं "बिल्कुल," कार्लोस ने कहा। OSINT शोध से पता चला कि नया RAT कोड मूल नहीं था, लेकिन की की एक प्रति थी: DiscordRAT एक प्रति : एक दुर्भावनापूर्ण पैकेज की रिपोर्ट PyPI टीम को दी जाती है, और PyPy टीम इसे हटा देती है। खंगालें और दोहराएं बेशक, एक नया पैकेज, जल्द ही दृश्य में प्रवेश कर गया। यहां जो बात अलग थी pydefenderultra, WindowsDefender.py . हमें संदेह है कि के पठनीय संस्करण ने यह पुष्टि करना आसान बना दिया है कि यह उल्लंघन कर रहा है। लेकिन बुरे अभिनेताओं ने स्क्रिप्ट को खराब करने का फैसला क्यों किया? क्या यह उनकी सरलीकृत प्रक्रिया के लिए बहुत जटिल था? WindowsDefender.py GitHub नियमों का RAT उत्परिवर्तित करता रहा। मेनू और टिप्पणियों का अब स्पेनिश में अनुवाद किया गया था और इसमें अतिरिक्त कार्यात्मकताएं थीं। चक्र जारी रहा जब उन्होंने एक और पैकेज, अपलोड किया। इस बार अतिरिक्त कार्यात्मकताओं में एक कीलॉगर, ऑडियो रिकॉर्डर, OS डेटा का एक्सफिल्ट्रेशन, और पीड़ित से किसी भी फ़ाइल को हमलावर के डिस्कॉर्ड चैनल पर अपलोड करने की क्षमता शामिल थी। कोड पर टिप्पणियां असामान्य रूप से प्रचुर मात्रा में थीं, जो आमतौर पर केवल ट्यूटोरियल कोड से जुड़ी होती हैं और मैलवेयर का एक टुकड़ा नहीं। pyjunkerpro "रुको," कार्लोस ने जोर से सोचते हुए कहा, "क्या होगा अगर वे एआई का उपयोग नई कार्यात्मकताओं को बनाने के लिए कर रहे हैं?" और जैसे उपकरण AI-जनित पाठ का पता लगाने के लिए एक अच्छा प्रारंभिक बिंदु प्रदान करते हैं। हालाँकि, AI-जनित कोड की पहचान करना अभी भी चुनौतीपूर्ण है, क्योंकि वर्तमान में कोई भी उपकरण उपलब्ध नहीं है (जो मुझे पता है) इसे सही ढंग से करने में सक्षम है। सौभाग्य से, मनुष्य पैटर्न को पहचानने में अभी भी बहुत अच्छे हैं... GPTZero Copyleaks मैंने जल्दी से एक चैटजीपीटी टैब खोला, और स्पेनिश में एक प्रॉम्प्ट टाइप किया, जिसका अनुवाद इस प्रकार है: "पीयूडियो का उपयोग करके एक दूरस्थ कंप्यूटर से ऑडियो अपलोड करने वाले डिस्कोर्ड बॉट के लिए पायथन कोड लिखें।" मुझे जो आउटपुट मिला वह समान रूप से समान था: ऐसा लगता है कि हम स्क्रिप्ट किडिज़ को ट्रैक कर रहे थे जिन्होंने विभिन्न स्रोतों से कोड कॉपी किया और फिर नई क्षमताओं को जोड़ने के लिए चैटजीपीटी का इस्तेमाल किया। परिणामी अद्वितीय कोड ने उन्हें पर इसका विज्ञापन करने या इसे अपने स्वयं के बाज़ार के माध्यम से बेचने का विश्वास दिलाया। और किसी को शक नहीं होगा कि यह एक मौलिक रचना नहीं थी। YouTube यह एक पेचीदा सवाल उठाता है: हमें इन बुरे अभिनेताओं को क्या कहना चाहिए? एआई-स्क्रिप्टेड किडिज़? शीघ्र बच्चे? मैंने चैटजीपीटी से पूछा, और उसने कहा: यदि कोई व्यक्ति अपने मैलवेयर में नई क्षमताओं को जोड़ने के लिए चैटजीपीटी का उपयोग कर रहा है, तो उन्हें पारंपरिक स्क्रिप्ट किडी की तुलना में अधिक उन्नत प्रकार का हैकर माना जा सकता है। इसके बजाय उन्हें "हैकर्स" या "एआई-असिस्टेड हैकर्स" के रूप में संदर्भित करना अधिक सटीक हो सकता है। चित्ताकर्षक। चैटजीपीटी उन्हें और अधिक दर्जा दे रहा है। AI के डैश के साथ OSINT प्रयोग के लिए, कार्लोस यह देखने के लिए एक त्वरित प्रयास करना चाहता था कि क्या उपकरण हमें बुरे अभिनेताओं की गतिविधियों में और अंतर्दृष्टि प्राप्त करने में भी मदद करेगा। "मुझे पायथन कोड की आवश्यकता है जो डिस्कोर्ड एपीआई को बॉट (एक टोकन का उपयोग करके) के रूप में उपयोग कर सकता है। स्क्रिप्ट को बॉट से कनेक्ट होना चाहिए और गिल्ड की जानकारी, गिल्ड सदस्यों, गिल्ड चैनल और संदेश इतिहास को प्रदर्शित करना चाहिए। जैसा कि अपेक्षित था, चैटजीपीटी ने भारी टिप्पणी वाला कोड उत्पन्न किया और आरंभ करने के लिए स्पष्ट निर्देश दिए: इसलिए हमने में "AI-असिस्टेड हैकर्स" द्वारा जोड़े गए टोकन को कॉपी किया और इसे हमारे AI-जनित Python स्क्रिप्ट में पेस्ट किया। इस कोड का उपयोग करने के लिए, "your_bot_token_here" को अपने बॉट टोकन से बदलें और पायथन स्क्रिप्ट को चलाएं। MicrosoftUpdate.py हमने वह कोड चलाया … …और हम अंदर थे! हमने सदस्यों (MEE6, $Demon666, $̷y̷n̷t̷a̷x̷E̷r̷r̷o̷r̷, aitanaxx05 + 4 प्रतिनिधि, Esmeralda, SylexNaranjoDomina, और AI इमेज जेनरेटर), चैनल और संदेश इतिहास के बारे में जानकारी एकत्र की। यह पता चला है, उन्होंने पहले से ही कुछ उपयोगकर्ताओं को संक्रमित कर दिया था - हमने क्यूबा से एक आईपी और भारत से दूसरे आईपी की पहचान की। और OS की जानकारी को संक्रमित पीड़ित के उपयोगकर्ता नाम के नाम वाले चैनलों में एक्सफ़िलिएट किया जा रहा था: हमें पता चला कि हम "SylexNaranjoDomina'' नामक बॉट से जुड़े हुए थे, जिसके पास व्यवस्थापकीय विशेषाधिकार थे। यह किसी को सदस्य जोड़ने, वेबहुक हटाने, या मौजूदा चैनल संशोधित करने में सक्षम कर सकता है। कोई आसानी से गिल्ड नाम को "Demon666 के सर्वर" से "स्क्रिप्ट किडी के सर्वर" में बदल सकता है - इस प्रकार के बुरे अभिनेता के लिए एक उपयुक्त विवरण, हालांकि मेरा मानना है कि चैटजीपीटी उस विचार पर भड़क सकता है। सतर्क रहें इस जाँच से यह स्पष्ट है कि MaaS के प्रसार और AI-सहायता प्राप्त कोड के उपयोग ने कम तकनीकी रूप से कुशल बुरे अभिनेताओं के लिए नए अवसर पैदा किए हैं। अधिक उपयोगकर्ताओं द्वारा इन उपकरणों और पेशकशों का लाभ लेने के साथ, दुर्भावनापूर्ण पैकेजों के लिए आपके निर्माण वातावरण को संक्रमित करने के और भी अधिक अवसर हैं। जैसे-जैसे साइबर सुरक्षा परिदृश्य विकसित होता जा रहा है, वैसे-वैसे हमारी सुरक्षा भी विकसित होनी चाहिए। सूचित, सतर्क और सुरक्षित रहकर हम साइबर अपराध के लगातार बदलते खतरे के खिलाफ एक कदम आगे बढ़ सकते हैं।