बुरे अभिनेता एआई क्रांति में शामिल हो रहे हैं: यहां वह है जो हमने जंगल में पाया है

फिल्मों और टीवी शो ने हमें कंप्यूटर हैकर्स को कठिन कार्यों, विस्तृत भूखंडों और विस्तृत योजनाओं से जोड़ना सिखाया है।

सुरक्षा शोधकर्ता कार्लोस फर्नांडीज और मैंने हाल ही में ओपन-सोर्स रजिस्ट्रियों पर जो पाया है, वह एक अलग कहानी बताता है: बुरे अभिनेता सादगी, प्रभावशीलता और उपयोगकर्ता-केंद्रित सोच के पक्षधर हैं। और अपने दुर्भावनापूर्ण कोड को अगले स्तर पर ले जाने के लिए, वे ChatGPT द्वारा समर्थित नई सुविधाएँ भी जोड़ रहे हैं।

सॉफ़्टवेयर-एज़-ए-सर्विस ( सास ) की तरह, मालवेयर-एज़-ए-सर्विस (एमएएएस) ऑफ़रिंग जैसे डकलॉग्स , रेडलाइन स्टीलर और रैकून स्टीलर अंडरग्राउंड बाज़ारों में इतने लोकप्रिय क्यों हो गए हैं, इसका एक कारण यह है कि उनके पास सक्रिय ग्राहक सहायता चैनल और उनके उत्पाद चालाक और उपयोगकर्ता के अनुकूल होते हैं। इन बक्सों को चेक करें, इस फ़ॉर्म को भरें, इस बटन पर क्लिक करें... यह रहा आपका उपयोग के लिए तैयार मैलवेयर का नमूना! कहने की जरूरत नहीं है कि ये उत्पाद अक्सर पेशेवर साइबर अपराधियों द्वारा बनाए जाते हैं।

जंगली में पाए जाने वाले कम लोकप्रिय MaaS प्रसाद में, जैसे कि डिस्कोर्ड टोकन हड़पने वाला Z3US , मानव-केंद्रित डिजाइन सिद्धांतों को शामिल करने का प्रयास है, लेकिन उत्पाद ग्राहक सहायता में विफल रहता है। ज्यादातर किशोरों द्वारा संचालित और उपभोग किए जाने वाले, संबद्ध टेलीग्राम खाते "जीवन भर की वारंटी" के टूटे हुए वादे के कारण शिकायतों और शत्रुतापूर्ण "ब्रो-स्पीक" से भरे हुए हैं:

सोनाटाइप में शामिल होने से पहले ही, मैं सोच रहा था कि साइबर अपराध का आधुनिक चेहरा कैसा दिखता है । और अब जब मैं दुनिया भर के अभियानों और बुरे अभिनेताओं की एक श्रृंखला का अनुसरण कर रहा हूं, तो मेरे लिए कुछ साफ हो गया है: अधिकांश दुर्भावनापूर्ण पैकेज जो सुरक्षा अनुसंधान टीम मेरे ध्यान में लाती है, वे एक हुडी में एक विचित्र प्रतिभा का उत्पाद नहीं हैं। मॉनिटर से भरे एक अंधेरे तहखाने से कोडिंग। MaaS की सरल प्रकृति के लिए धन्यवाद, कोई भी आसानी से न्यूनतम सेटअप लागत और तकनीकी ज्ञान के साथ ओपन-सोर्स रजिस्ट्रियों में मैलवेयर नमूने बना और अपलोड कर सकता है।

अवास्ट के शोधकर्ताओं ने देखा है कि चल रही कोविड-19 महामारी की शुरुआत के बाद से, डिस्कॉर्ड और टेलीग्राम जैसे प्लेटफॉर्म युवा आबादी के बीच तेजी से लोकप्रिय हो गए हैं। मुख्यधारा के सोशल मीडिया का उपयोग करने के बजाय, ये किशोर माता-पिता की देखरेख से दूर गेमिंग, चैटिंग और सामाजिककरण के उद्देश्य से डिस्कॉर्ड में मैलवेयर समुदाय बनाते हैं। इन समुदायों का नेतृत्व आमतौर पर सबसे तकनीकी रूप से कुशल सदस्यों द्वारा किया जाता है, जो प्रतिस्पर्धी सर्वरों का स्वामित्व लेकर दिखावा करते हैं, या यहां तक कि उन सूचनाओं के स्क्रीनशॉट साझा करके जो उन्होंने पहले से न सोचा पीड़ितों से चुराई हैं। वे सक्रिय रूप से अन्य सदस्यों को उनके प्रोग्रामिंग कौशल या उनके अभियानों में योगदान करने की क्षमता के आधार पर खोज रहे हैं।

इन गतिविधियों के एक अनपेक्षित परिणाम के रूप में, लचीले ओपन-सोर्स रजिस्ट्रियां जिन पर हम भरोसा करते हैं, वे संसाधनों के अत्यधिक बोझ का सामना कर रही हैं। पिछले महीने अकेले हमारे सुरक्षा शोधकर्ताओं ने एनपीएम और पीईपीआई रजिस्ट्रियों में अपलोड किए गए 6,933 पैकेजों को दुर्भावनापूर्ण होने की पुष्टि की।

हमने हाल ही में EsqueleSquad नामक एक स्पैनिश-भाषी समूह के अभियान पर नज़र रखी, जिसने PyPI पर 5,000 से अधिक पैकेज अपलोड किए हैं। इन पैकेजों में पेलोड ने PowerShell कमांड का उपयोग करके ड्रॉपबॉक्स, गिटहब और डिस्कोर्ड से विंडोज ट्रोजन डाउनलोड करने का प्रयास किया।

हमने बाद में संभवत: स्पेन से सिलेक्सस्क्वाड नामक एक अन्य समूह की गतिविधियों की जांच की , जिसने संवेदनशील जानकारी को बाहर निकालने के लिए डिज़ाइन किए गए मैलवेयर वाले पैकेज बनाए। YouTube वीडियो के साथ अपने उत्पादों का विज्ञापन करने और उन्हें बाज़ार में बेचने के अलावा, नए सदस्यों की भर्ती के लिए उनके पास एक छोटा डिस्कॉर्ड समुदाय है। और ऐसा लगता है कि उनके पास ओपन-सोर्स सॉफ्टवेयर सप्लाई चेन को प्रदूषित करने के लिए काफी समय है।

AI के डैश के साथ स्किड कोड

अप्रैल के पहले सप्ताह के दौरान, हमारे AI सिस्टम ने PyPI पर अपलोड किए गए पैकेजों की एक श्रृंखला को संदिग्ध के रूप में फ़्लैग किया, बाद में हमारे सुरक्षा शोधकर्ताओं द्वारा दुर्भावनापूर्ण होने की पुष्टि की गई। इन पैकेजों में एक नामकरण पैटर्न था जिसमें उपसर्ग "py" शामिल था, जिसके बाद एंटीवायरस सॉफ़्टवेयर के संदर्भ थे: pydefenderultra , pyjunkerpro , pyanalizate , और pydefenderpro ।

कार्लोस फर्नांडीज ने देखा कि पैकेजों को सिलेक्सस्क्वाड समूह में श्रेय दिया गया था, यह सुझाव देते हुए कि हमने रिवर्स_शेल और सिंटैक्सिसॉययो पैकेजों को शामिल करने से पहले एक अभियान को जारी रखा था। इस खोज के बाद हमने उनकी गतिविधियों की मैपिंग शुरू की।

बिल्ली और चूहे के खेल में, हर बार जब हम इन पैकेजों में से किसी एक को दुर्भावनापूर्ण के रूप में पुष्टि करते हैं, तो PyPI टीम हमें इसे नीचे ले जाने में मदद करेगी, और कुछ घंटों बाद, बुरे अभिनेता समान नाम वाले पैकेज में घुस जाएंगे।

आपको इस अभियान की पूरी तस्वीर देने के लिए, आइए हम अपने शुरुआती निष्कर्षों को फिर से देखें:

यदि डेवलपर्स PyPI पैकेज रिवर्स_शेल को स्थापित करते हैं, तो setup.py bypass.py निष्पादित करेगा, जो कि GitHub पर होस्ट की गई एक हल्की अस्पष्ट स्क्रिप्ट है और ASCII कोड के अनुरूप संख्याओं की एक श्रृंखला के रूप में एन्कोडेड है।

उलझन को कम करने के बाद, यह दृढ़ता के लिए Windows पर नए रजिस्ट्री मान बनाएगा, और इसके परिणामस्वरूप, यह एक अन्य GitHub-होस्ट की गई फ़ाइल, WindowsDefender.py , को सूचना चुराने वाला कहेगा। ब्राउज़र की जानकारी (इतिहास, कुकीज़, पासवर्ड…), स्टीम खाते, टेलीग्राम खाते, क्रेडिट कार्ड और यहां तक कि पीड़ित के डेस्कटॉप के स्क्रीनशॉट जैसे संवेदनशील डेटा को हमलावर के डिस्कॉर्ड वेबहुक का उपयोग करके अपलोड किया जाएगा।

इस समूह को क्रेडिट किए गए नए पैकेजों के लिए फास्ट-फॉरवर्ड करें और हमें एक पूरी तरह से अलग setup.py मिलता है जिसमें Pyobfuscate के साथ उत्पन्न भारी अस्पष्ट कोड (AES 256 एन्क्रिप्शन) शामिल है, एक सेवा जो "एल्गोरिदम की 4 परतों द्वारा सुरक्षा" का वादा करती है। उलझन को कम करने की प्रक्रिया के लिए कार्लोस के तैयार होने से पहले, हम छलावरण वाले कोड के महासागर से केवल दो जानकारी निकाल सकते थे: सेवा URL, और एक पठनीय संदेश: ' why, are, you, reading, this, thing, huh ' उस संदेश का प्रत्येक शब्द उलझन को कम करने की प्रक्रिया के लिए उपयोग किया जाने वाला वेरिएबल था:

मैं इसके विवरण में नहीं जाऊंगा कि Pyobfuscate कैसे काम करता है, लेकिन धैर्य और विशेषज्ञता के साथ, कार्लोस सफलतापूर्वक कोड को स्पष्ट करने और उसके वास्तविक रूप को प्रकट करने में कामयाब रहे। उन्होंने पाया कि अस्पष्ट सामग्री न केवल setup.py में मौजूद थी, बल्कि पहले से पढ़े जाने योग्य WindowsDefender.py में भी मौजूद थी, जिसे शुरू में GitHub से और अब transfer.sh सेवा से पकड़ा गया था।

जब बुरे अभिनेता पर्याप्त तेज़ी से आगे नहीं बढ़ते हैं, तो हमारे जैसे सुरक्षा शोधकर्ताओं और गिटहब के नियमों को मैलवेयर सीडीएन के रूप में उपयोग करने की अनुमति नहीं देने के बारे में एक अच्छा मौका है - उनकी योजनाओं को बर्बाद कर देगा। ऐसा WindowsDefender.py का मामला है, जिसे शुरू में GitHub रेपो "joeldev27" पर होस्ट किया गया था, जब इसका उपयोग PyPI पैकेज pycracker और pyobfpremium द्वारा किया गया था, और इसके तुरंत बाद निष्क्रिय हो गया।

चूँकि उस फ़ाइल नाम का लगातार उपयोग किया जा रहा था, मैंने कुछ खुदाई की और पाया कि WindowsDefender.py CosasRandoms480 नामक GitHub रेपो पर होस्ट किया गया था। जब मैंने इस खोज को कार्लोस के साथ साझा किया, तो उन्होंने आश्चर्य की भावना के साथ जवाब दिया: "अगले कुछ घंटों में, PyPI पर एक अस्पष्ट setup.py के साथ एक नया पैकेज दिखाई देगा। स्थापना के बाद, यह उस रेपो से डाउनलोड होगा जिसे आपने अभी-अभी WindowsDefender.py नाम की एक भारी-भरकम स्क्रिप्ट मिली है, जो एक दृढ़ता तंत्र स्थापित करेगी और हमारे द्वारा पहले जांच की गई जानकारी-चोरी करने वाले को डाउनलोड करेगी, जिसे WindowsDefender.py भी कहा जाता है।

उनकी भविष्यवाणी हकीकत में बदल गई जब पैकेज पियोबफैडवांस 30 मिनट से भी कम समय के बाद PyPI पर दिखाई दिया, प्रभावी रूप से "CosasRandoms480" का उपयोग मैलवेयर CDN के रूप में किया। हमने इसकी सूचना PyPI टीम को दी और इसके तुरंत बाद इसे हटा लिया गया।

वैज्ञानिकों और दार्शनिकों ने सोचा है कि क्या हम कंप्यूटर सिमुलेशन में रहते हैं । एक सुरक्षा शोधकर्ता के रूप में काम करना निश्चित रूप से ऐसा ही लगता है। आप शोध करने, खोजने और रिपोर्ट करने के चक्कर में फंस गए हैं और वही खतरे बार-बार सामने आते रहते हैं।

दो दिन बाद, हमारे सिस्टम पर एक नया SylexSquad-क्रेडिट पैकेज फ़्लैग किया गया: pydefenderpro। वही उलझा हुआ setup.py । समान GitHub रेपो से समान URL समान दृढ़ता तंत्र कोड के साथ समान WindowsDefender.py निष्पादित करता है और WindowsDefender.py में जानकारी-चोरी करने वाला समान निष्पादन करता है। सब कुछ एक जैसा दिख रहा था, फिर भी फ़ाइल अब अस्पष्ट नहीं थी और एक नई स्क्रिप्ट को transfer.sh से तलब किया जा रहा था:

"यह एक चूहा है!" कार्लोस ने मुझे स्लैक पर मैसेज किया। "और एक जानकारी-चोरी करने वाला भी-"

"एक चूहा उत्परिवर्ती?" मैंने उत्तर दिया, उस प्रवृत्ति का जिक्र करते हुए जिसे हम एक प्रकार के मैलवेयर के जंगल में ट्रैक कर रहे हैं जो रिमोट एक्सेस ट्रोजन और सूचना-चोरी करने वालों को जोड़ती है।

"बिल्कुल," कार्लोस ने कहा।

OSINT शोध से पता चला कि नया RAT कोड मूल नहीं था, लेकिन DiscordRAT की एक प्रति की एक प्रति थी:

खंगालें और दोहराएं : एक दुर्भावनापूर्ण पैकेज की रिपोर्ट PyPI टीम को दी जाती है, और PyPy टीम इसे हटा देती है।

बेशक, एक नया पैकेज, pydefenderultra, जल्द ही दृश्य में प्रवेश कर गया। यहां जो बात अलग थी WindowsDefender.py .

हमें संदेह है कि WindowsDefender.py के पठनीय संस्करण ने यह पुष्टि करना आसान बना दिया है कि यह GitHub नियमों का उल्लंघन कर रहा है। लेकिन बुरे अभिनेताओं ने स्क्रिप्ट को खराब करने का फैसला क्यों किया? क्या यह उनकी सरलीकृत प्रक्रिया के लिए बहुत जटिल था?

RAT उत्परिवर्तित करता रहा। मेनू और टिप्पणियों का अब स्पेनिश में अनुवाद किया गया था और इसमें अतिरिक्त कार्यात्मकताएं थीं।

चक्र जारी रहा जब उन्होंने एक और पैकेज, pyjunkerpro अपलोड किया। इस बार अतिरिक्त कार्यात्मकताओं में एक कीलॉगर, ऑडियो रिकॉर्डर, OS डेटा का एक्सफिल्ट्रेशन, और पीड़ित से किसी भी फ़ाइल को हमलावर के डिस्कॉर्ड चैनल पर अपलोड करने की क्षमता शामिल थी। कोड पर टिप्पणियां असामान्य रूप से प्रचुर मात्रा में थीं, जो आमतौर पर केवल ट्यूटोरियल कोड से जुड़ी होती हैं और मैलवेयर का एक टुकड़ा नहीं।

"रुको," कार्लोस ने जोर से सोचते हुए कहा, "क्या होगा अगर वे एआई का उपयोग नई कार्यात्मकताओं को बनाने के लिए कर रहे हैं?"

GPTZero और Copyleaks जैसे उपकरण AI-जनित पाठ का पता लगाने के लिए एक अच्छा प्रारंभिक बिंदु प्रदान करते हैं। हालाँकि, AI-जनित कोड की पहचान करना अभी भी चुनौतीपूर्ण है, क्योंकि वर्तमान में कोई भी उपकरण उपलब्ध नहीं है (जो मुझे पता है) इसे सही ढंग से करने में सक्षम है। सौभाग्य से, मनुष्य पैटर्न को पहचानने में अभी भी बहुत अच्छे हैं...

मैंने जल्दी से एक चैटजीपीटी टैब खोला, और स्पेनिश में एक प्रॉम्प्ट टाइप किया, जिसका अनुवाद इस प्रकार है: "पीयूडियो का उपयोग करके एक दूरस्थ कंप्यूटर से ऑडियो अपलोड करने वाले डिस्कोर्ड बॉट के लिए पायथन कोड लिखें।" मुझे जो आउटपुट मिला वह समान रूप से समान था:

ऐसा लगता है कि हम स्क्रिप्ट किडिज़ को ट्रैक कर रहे थे जिन्होंने विभिन्न स्रोतों से कोड कॉपी किया और फिर नई क्षमताओं को जोड़ने के लिए चैटजीपीटी का इस्तेमाल किया। परिणामी अद्वितीय कोड ने उन्हें YouTube पर इसका विज्ञापन करने या इसे अपने स्वयं के बाज़ार के माध्यम से बेचने का विश्वास दिलाया। और किसी को शक नहीं होगा कि यह एक मौलिक रचना नहीं थी।

यह एक पेचीदा सवाल उठाता है: हमें इन बुरे अभिनेताओं को क्या कहना चाहिए? एआई-स्क्रिप्टेड किडिज़? शीघ्र बच्चे?

मैंने चैटजीपीटी से पूछा, और उसने कहा: यदि कोई व्यक्ति अपने मैलवेयर में नई क्षमताओं को जोड़ने के लिए चैटजीपीटी का उपयोग कर रहा है, तो उन्हें पारंपरिक स्क्रिप्ट किडी की तुलना में अधिक उन्नत प्रकार का हैकर माना जा सकता है। इसके बजाय उन्हें "हैकर्स" या "एआई-असिस्टेड हैकर्स" के रूप में संदर्भित करना अधिक सटीक हो सकता है।

चित्ताकर्षक।

चैटजीपीटी उन्हें और अधिक दर्जा दे रहा है।

AI के डैश के साथ OSINT

प्रयोग के लिए, कार्लोस यह देखने के लिए एक त्वरित प्रयास करना चाहता था कि क्या उपकरण हमें बुरे अभिनेताओं की गतिविधियों में और अंतर्दृष्टि प्राप्त करने में भी मदद करेगा।

"मुझे पायथन कोड की आवश्यकता है जो डिस्कोर्ड एपीआई को बॉट (एक टोकन का उपयोग करके) के रूप में उपयोग कर सकता है। स्क्रिप्ट को बॉट से कनेक्ट होना चाहिए और गिल्ड की जानकारी, गिल्ड सदस्यों, गिल्ड चैनल और संदेश इतिहास को प्रदर्शित करना चाहिए।

जैसा कि अपेक्षित था, चैटजीपीटी ने भारी टिप्पणी वाला कोड उत्पन्न किया और आरंभ करने के लिए स्पष्ट निर्देश दिए: इस कोड का उपयोग करने के लिए, "your_bot_token_here" को अपने बॉट टोकन से बदलें और पायथन स्क्रिप्ट को चलाएं। इसलिए हमने MicrosoftUpdate.py में "AI-असिस्टेड हैकर्स" द्वारा जोड़े गए टोकन को कॉपी किया और इसे हमारे AI-जनित Python स्क्रिप्ट में पेस्ट किया।

हमने वह कोड चलाया …

…और हम अंदर थे! हमने सदस्यों (MEE6, $Demon666, $̷y̷n̷t̷a̷x̷E̷r̷r̷o̷r̷, aitanaxx05 + 4 प्रतिनिधि, Esmeralda, SylexNaranjoDomina, और AI इमेज जेनरेटर), चैनल और संदेश इतिहास के बारे में जानकारी एकत्र की। यह पता चला है, उन्होंने पहले से ही कुछ उपयोगकर्ताओं को संक्रमित कर दिया था - हमने क्यूबा से एक आईपी और भारत से दूसरे आईपी की पहचान की। और OS की जानकारी को संक्रमित पीड़ित के उपयोगकर्ता नाम के नाम वाले चैनलों में एक्सफ़िलिएट किया जा रहा था:

हमें पता चला कि हम "SylexNaranjoDomina'' नामक बॉट से जुड़े हुए थे, जिसके पास व्यवस्थापकीय विशेषाधिकार थे। यह किसी को सदस्य जोड़ने, वेबहुक हटाने, या मौजूदा चैनल संशोधित करने में सक्षम कर सकता है।

कोई आसानी से गिल्ड नाम को "Demon666 के सर्वर" से "स्क्रिप्ट किडी के सर्वर" में बदल सकता है - इस प्रकार के बुरे अभिनेता के लिए एक उपयुक्त विवरण, हालांकि मेरा मानना है कि चैटजीपीटी उस विचार पर भड़क सकता है।

सतर्क रहें

इस जाँच से यह स्पष्ट है कि MaaS के प्रसार और AI-सहायता प्राप्त कोड के उपयोग ने कम तकनीकी रूप से कुशल बुरे अभिनेताओं के लिए नए अवसर पैदा किए हैं। अधिक उपयोगकर्ताओं द्वारा इन उपकरणों और पेशकशों का लाभ लेने के साथ, दुर्भावनापूर्ण पैकेजों के लिए आपके निर्माण वातावरण को संक्रमित करने के और भी अधिक अवसर हैं। जैसे-जैसे साइबर सुरक्षा परिदृश्य विकसित होता जा रहा है, वैसे-वैसे हमारी सुरक्षा भी विकसित होनी चाहिए। सूचित, सतर्क और सुरक्षित रहकर हम साइबर अपराध के लगातार बदलते खतरे के खिलाफ एक कदम आगे बढ़ सकते हैं।