कमज़ोरी के बिना भी घुसपैठ — open source डेवलपर्स को निशाना बनाने वाले 'trust-based' हमले की हकीकत

 (cybersecuritynews.com)
12 पॉइंट द्वारा darjeeling 17 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें

open source डेवलपर्स एक नए तरह के खतरे का सामना कर रहे हैं। यह कोई जटिल exploit या zero-day vulnerability नहीं, बल्कि डेवलपर कम्युनिटी के "trust" को ही हथियार बनाने वाला social engineering हमला है.

हमलावर इस समय Slack पर Linux Foundation के एक वास्तविक व्यक्ति का रूप धरकर malicious फ़ाइल install करवाने वाला अभियान चला रहे हैं।

घटना का क्रम

यह हमला पहली बार 7 अप्रैल 2026 को सामने आया, जब OpenSSF(Open Source Security Foundation) के CTO और chief security architect Christopher "CRob" Robinson ने OpenSSF Siren mailing list पर high-risk advisory पोस्ट की।

हमले का मंच Linux Foundation के अंतर्गत आने वाले working group TODO Group का Slack workspace और उससे जुड़े open source कम्युनिटी थे। TODO Group, open source program office(OSPO) practitioners का एक समूह है।

हमलावर ने Linux Foundation के एक प्रसिद्ध leader की fake identity बहुत सावधानी से तैयार की और Slack DM के ज़रिए पीड़ितों को ऐसा संदेश भेजा, जिसमें phishing लिंक शामिल था और वह Google Sites पर host किया गया था — एक ऐसा प्लेटफ़ॉर्म जिस पर कई डेवलपर्स भरोसा करते हैं।

Socket.dev की analysis team ने सबसे पहले इस हमले की जांच की और इसके technical behavior को document किया। जांच में पता चला कि यह सिर्फ एक साधारण phishing प्रयास नहीं था, बल्कि open source कम्युनिटी के भीतर स्वाभाविक रूप से बने गहरे भरोसे का फ़ायदा उठाने के लिए डिज़ाइन किया गया multi-stage operation था।

चारा: "आप पहले से जान सकते हैं कि आपका PR merge होगा या नहीं"

हमलावर का संदेश बहुत बारीकी से तैयार किया गया था। Linux Foundation leader का रूप धरने वाले हमलावर ने एक exclusive AI tool का परिचय दिया, जो open source project की dynamics का विश्लेषण कर सकता है और reviewer के देखने से पहले ही यह अनुमान लगा सकता है कि कौन-सा code contribution(PR) merge होगा

संदेश में यह कहकर scarcity पर ज़ोर दिया गया कि "इसे अभी सिर्फ कुछ लोगों के साथ साझा किया जा रहा है", और phishing लिंक के साथ fake email address तथा access key भी दिए गए ताकि fake workspace असली लगे।

हमले का चरण-दर-चरण विश्लेषण

हमला कुल 4 चरणों में आगे बढ़ता है:

1वां चरण — identity theft (Impersonation)

Linux Foundation के एक वास्तविक व्यक्ति की Slack प्रोफ़ाइल कॉपी कर भरोसा बनाया जाता है।

2वां चरण — phishing (Phishing)

Google Sites पर host किए गए phishing लिंक पर क्लिक करवाया जाता है। सामान्य authentication flow जैसा दिखने वाला fake पेज email address और authentication code चुरा लेता है।

3वां चरण — credential harvesting (Credential Harvesting)

credentials चुराने के बाद phishing site पीड़ित को "Google certificate" के रूप में छिपा हुआ malicious root certificate install करने के लिए उकसाती है।

4वां चरण — malware delivery (Malware Delivery)

root certificate install होते ही हमलावर पीड़ित के device और सभी websites के बीच के encrypted traffic को चुपचाप intercept कर सकता है।

प्लेटफ़ॉर्म के अनुसार infection mechanism

macOS

malicious root certificate install होने के बाद एक script remote IP(2.26.97.61) से gapi नाम का binary अपने-आप download करके चलाती है। यह binary हमलावर को files तक पहुँच, अतिरिक्त credentials की चोरी, remote command execution जैसी क्षमताएँ देकर device पर पूरा control दे देता है।

Windows

browser trust dialog के ज़रिए malicious certificate install करवाया जाता है, और install होने के बाद इसी तरह encrypted traffic interception संभव हो जाता है।

OpenSSF की सलाह

OpenSSF ने open source Slack कम्युनिटी में सक्रिय डेवलपर्स को निम्नलिखित सलाह दी:

  1. out-of-band identity verification: Slack के display name या profile photo के आधार पर पहचान पर भरोसा न करें; किसी अलग, पहले से ज्ञात channel के माध्यम से पुष्टि करें
  2. root certificate install करने के अनुरोध को ठुकराएँ: chat या email से मिले लिंक के जरिए कभी भी root certificate install न करें। कोई वैध service ऐसा अनुरोध नहीं करती
  3. MFA सक्षम करें: credentials चोरी हो जाएँ तब भी नुकसान को कम किया जा सकता है

निहितार्थ

यह हमला इसलिए खास ध्यान देने योग्य है क्योंकि यह technical vulnerability नहीं, बल्कि कम्युनिटी के trust structure को ही attack vector बनाता है। open source ecosystem जैसी घनिष्ठ कम्युनिटी में परिचित नामों और भरोसेमंद दिखने वाले प्रस्तावों के सामने security instinct सुस्त पड़ सकती है।

"AI से अनुमान लगाना कि PR merge होगा या नहीं" जैसा चारा डेवलपर्स को खास तौर पर आकर्षक लग सकता है — यही इस हमले की बारीकी भी दिखाता है। अनजान लिंक और root certificate install करने के अनुरोध के सामने, स्रोत कितना भी भरोसेमंद क्यों न लगे, एक बार और संदेह करना ज़रूरी है।

यह लेख Cyber Security News मूल लेख का अनुवाद और संपादन है।

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.