- Gemini से बातचीत के दौरान सुझाई गई साइट पर गया
- "मैं रोबोट नहीं हूँ" पर क्लिक करते ही क्लिपबोर्ड में पहले से एक malicious command कॉपी हो गया, और उसके बाद इंसान होने का verification करने के लिए टर्मिनल खोलकर उसे paste करने और Enter दबाने का निर्देश दिया गया।
- चलाने पर
curl | bashरूप में अतिरिक्त स्क्रिप्ट डाउनलोड होकर execute होती है - Mac के
LaunchAgentsमें रजिस्टर हो जाता है, इसलिए reboot/login के बाद भी लगातार चलता रहता है - remote server से AppleScript डाउनलोड करके execute करता है और information collection तथा privilege escalation की कोशिश करता है
इस मामले में:
- administrator password दर्ज न करने की वजह से privilege escalation विफल रहा
- लेकिन user permission की सीमा के भीतर information access/collection आंशिक रूप से हुआ हो सकता है
जवाबी कार्रवाई:
- तुरंत network disconnect करें
~/Library/LaunchAgentsका malicious plist हटाएँ- running process बंद करें
- ब्राउज़र के सभी session logout करके फिर से login करें (cookie invalidation)
- SSH key बदलें
सीख:
- अगर कोई webpage “verification/authentication” के नाम पर local command चलाने को कहे, तो उस पर शक करना चाहिए
- AI द्वारा सुझाई गई साइटों पर भी शक करना चाहिए
- खासकर अगर वह टर्मिनल/Run window/PowerShell खोलकर paste करने के लिए कहे, तो यह लगभग इसी pattern का मामला होता है
- administrator password माँगने पर शक करना सबसे महत्वपूर्ण आदत और आख़िरी defense line है
विस्तृत analysis, actual commands और response process के लिए मूल लेख देखें
1 टिप्पणियां
टर्मिनल में जैसा कहा गया वैसा ही काम कर देना, यह वाकई कमाल की बात है।