- GitHub पर "mods" या "cracks" के रूप में छिपी हुई बड़ी संख्या में repositories मौजूद हैं, जो डाउनलोड करने पर उपयोगकर्ता के कंप्यूटर से संवेदनशील जानकारी चुराने वाला scam हैं
- Roblox, Fortnite, FL Studio, Adobe Photoshop जैसे लोकप्रिय प्रोग्राम और गेम्स के नाम का इस्तेमाल करके इन्हें "free download" या "crack version" की तरह प्रचारित किया जा रहा है
- इन malicious files को चलाने पर Redox Stealer जैसे information-stealing malware सक्रिय हो जाते हैं
- चोरी किया गया डेटा Discord servers या Anonfiles जैसी sharing sites पर भेजा जाता है, जहां से crypto wallets या social media accounts जैसी चीजें चुराई जाती हैं
- GitHub search से भी ऐसी repositories आसानी से मिल सकती हैं, और इनका वास्तविक पैमाना कम से कम 1,000 से अधिक repositories का माना जा रहा है
- GitHub पर public issues के जरिए कभी-कभी "virus" या "malware" की चेतावनी दी जाती है, लेकिन यह कुल का लगभग 10% ही है, इसलिए बहुत से उपयोगकर्ता जोखिम में हैं
TL;DR
- खोज की प्रक्रिया
- social engineering से जुड़े एक forum में GitHub पर बड़े पैमाने पर malicious repositories फैलाने की विस्तृत guide मिली
- उसी guide के आधार पर attackers द्वारा बनाई गई वास्तविक repositories का भी पता लगाया गया
- पैमाना
- 1,115 से अधिक repositories मिलीं, जिनमें से कम से कम 351 का structure संदिग्ध था और उनके malicious होने की संभावना अधिक थी
- 10% से भी कम repositories को ‘issue’ के जरिए चेतावनी मिली थी, जबकि बाकी सामान्य दिख रही थीं
- malware की विशेषताएं
- यह Redox Stealer family का लगता है और Discord webhook के जरिए victim के कंप्यूटर से cookies, passwords, crypto wallets, game accounts जैसी कई संवेदनशील जानकारियां चुराता है
- डेटा को sharing sites (जैसे: Anonfiles) पर compressed file के रूप में भेजा जाता है, फिर webhook से follow-up links भेजकर उसका analysis और trading किया जाता है
Some background
- Telegram bot का प्रचार
- लेखक को पहले इस्तेमाल किए गए TikTok analysis bot के message में इस forum का प्रचार मिला
- इस forum में अलग invitation या Tor access के बिना सिर्फ email और password से signup करके illegal trade/guides देखी जा सकती थीं
- forum की विशेषताएं
- account trading (जैसे: TikTok, Instagram, Facebook Ads) से लेकर scam के लिए “affiliate” programs तक की सामग्री खुलकर साझा की जाती है
- ransomware as a service(RaaS), CryptoGrab जैसे पहले से मशहूर scams भी बहुत हैं, लेकिन GitHub के जरिए malware distribution की guide नई और चौंकाने वाली थी
- Redox Stealer
- यह Telegram आदि पर फैलाया जाने वाला malware है, जो अपेक्षाकृत सरल Python script है
- यह PC से मिलने वाली हर तरह की संवेदनशील जानकारी इकट्ठा करके Discord server पर भेजता है
GitHub पर [traffic] लाने का तरीका A से Z तक
- GitHub accounts की bulk procurement
- लगभग 1.5 डॉलर में accounts खरीदे जाते हैं या कई accounts खुद बनाकर attack में इस्तेमाल किए जाते हैं
- malicious files upload करने का तरीका
.zip, .rar जैसे compressed formats में files GitHub पर upload की जाती हैं, या README में external sharing links दिए जाते हैं ताकि virus scan से बचा जा सके
- README templates
- असली screenshots, videos, virustotal scan results (नकली) आदि जोड़कर भरोसा पैदा किया जाता है
- ChatGPT जैसी सेवाओं से README text में हल्के बदलाव करके duplicate detection से बचा जाता है
- Topics tags का उपयोग
- GitHub के
topic feature का इस्तेमाल करके game names, crack, hack, cheat जैसे keywords बार-बार जोड़े जाते हैं
- इससे search engines पर "free crack" जैसी चीजें खोजने वालों तक पहुंचना आसान हो जाता है
- banned topic से बचने के लिए पहले जांचने का तरीका भी बताया जाता है
Redox Stealer analysis
- file execution process
- जैसे ही उपयोगकर्ता repository डाउनलोड करके malicious script चलाता है, PC के अंदर की जानकारी इकट्ठा की जाने लगती है
- ip, geolocation, username, browser cookies, passwords, Discord, Telegram, Steam, Riot Games accounts, crypto wallet files आदि बड़ी मात्रा में target किए जाते हैं
- collection method
- malware sqlite DB files को अस्थायी रूप से copy करके browser cookies, passwords, Discord tokens आदि निकालता है
- Metamask, Exodus जैसी crypto extensions की files और Steam, Riot Games जैसी game account info files को अलग से compress करके upload किया जाता है
- data transmission
- चुराई गई files Anonfiles जैसी sharing services पर upload की जाती हैं, और उनके links या जानकारी Discord webhook के जरिए attackers तक पहुंचती है
- अंतिम लक्ष्य उन accounts (जैसे crypto, game items) या financial information (credit card, PayPal) को हासिल करना है जिनकी resale value हो
GitHub पर search और discovery
- पैमाने का अनुमान
- guide में कहा गया है कि एक व्यक्ति भी 300-500 repositories अपलोड करके रोज 50-100 से अधिक victim logs पैदा कर सकता है
- वास्तव में कई लोग एक साथ इसी schema पर काम कर रहे हों, तो malicious repositories की संख्या कहीं अधिक हो सकती है
- PoC(Proof of Concept) script
- लेखक ने guide में दिए गए keywords (जैसे: "fortnite hack", "roblox cheat") को मिलाकर GitHub Search API से repositories को automatically crawl किया
- लगभग 2,100 topic keywords की जांच में 1,155 repositories मिलीं
- उनमें से 351 repositories README और
.rar/.zip file structure के आधार पर high-risk malicious लग रही थीं
- समस्याएं
- 10% से भी कम repositories पर “यह malicious है” जैसी issue warning मौजूद थी, यानी user warning system कमजोर है
- बहुत से उपयोगकर्ताओं के इन्हें legitimate program समझकर चलाने का जोखिम बड़ा है
Conclusion
- online illegal information
- ऐसे forums मौजूद हैं जो Tor या अलग invitation के बिना भी सामान्य web से आसानी से पहुंच में हैं
- ransomware, crypto drainer जैसे तरह-तरह के scams वहां सक्रिय रूप से साझा किए जा रहे हैं
- Redox Stealer की सरलता
- कुछ सौ से कुछ हजार lines की Python code से ही व्यापक जानकारी अपने-आप इकट्ठा करके attackers तक भेजी जा सकती है
- तकनीकी रूप से कठिन न होने के कारण इसका mass distribution आसान है
- GitHub की तरफ से कार्रवाई की जरूरत
- कई repositories, जिनके malicious होने की बात issues में public है, फिर भी वैसे ही पड़ी रहती हैं
- GitHub अगर सक्रिय monitoring और blocking करे तो नुकसान कम हो सकता है
- समापन
- game या program crack डाउनलोड करने की कोशिश करते समय open source होने, virus scan, और source की विश्वसनीयता को बहुत ध्यान से जांचना चाहिए
- लेखक ने scam/fraud advertising पर आगे और analysis देने का संकेत दिया है
सारांश
- GitHub का इस्तेमाल करके malware फैलाया जा रहा है : ज्यादातर “free”, “crack”, “mod” जैसे नाम इस्तेमाल किए जाते हैं, जबकि वास्तव में उनमें Redox Stealer शामिल होता है
- Redox Stealer इतना आसान है कि लगभग कोई भी इसे बड़े पैमाने पर distribute कर सकता है
- मुख्य target : crypto wallets, Steam/Riot Games accounts, PayPal, Facebook, Twitter आदि सहित व्यापक account information
- बचाव के उपाय
- केवल विश्वसनीय स्रोतों से ही download करें
- संदिग्ध links या README को ध्यान से जांचें
- GitHub Issues, ratings, और दूसरे users की reviews देखें
- antivirus और latest security patches अपडेट रखें
- forum-आधारित scamming का विस्तार
- कम entry barrier की वजह से कोई भी guide हासिल करके malicious scripts फैला सकता है
- एक attacker कई accounts खरीदकर सैकड़ों repositories अपलोड करके इसे फैलाता है
- GitHub और security community की जिम्मेदारी
- malicious repositories की पहचान और blocking systems को मजबूत करने की जरूरत
- आम users में जागरूकता बढ़ाना जरूरी है
- GitHub पर “Crack” या “mod” मुफ्त देने का दावा करने वाली repositories पर हमेशा शक करना चाहिए
- Spreadsheet (link देखें) में लेखक द्वारा इकट्ठा की गई 1,000 से अधिक संदिग्ध repositories की सूची है
- सभी malware अंततः एक ही उद्देश्य, यानी financial gain, से जुड़े हैं, और इनकी खासियत तेज और बड़े पैमाने पर distribution है
1 टिप्पणियां
Hacker News की राय
Microsoft को अपने ecosystem में गैर-ज़रूरी चीज़ों को हटाने में आम तौर पर समस्या होती है
नए compromise हुए systems की सूचना Discord webhook के ज़रिए दी जाती है
Microsoft की कुछ हद तक ज़िम्मेदारी है
malware repositories हटाने की ज़रूरत पर सवाल
दिलचस्प तथ्य: Discord webhook मिल जाए तो उसे delete किया जा सकता है
curl -X DELETEकमांड का उपयोग करेंMicrosoft का support दुखद रूप से बहुत खराब है
समस्या की जड़ यह है कि applications OS level पर isolate नहीं हैं
GitHub के abuse reporting system की effectiveness पर बड़ा सवाल
Plants vs. Zombies mod install करने में मदद मांगी गई
GitHub repository में malware मिले तो Abuse Report page के ज़रिए सीधे report किया जा सकता है