AI सुरक्षा एजेंटों को गुमराह करने वाले पायथन वर्म (Python worm) की संरचना

क्या आप उस बिंदु पर पहुँच गए हैं जहाँ आप अपनी स्वयं की मैन्युअल समीक्षा से अधिक अपने AI कोड सहायक पर भरोसा करते हैं? कई डेवलपर्स ऐसा करते हैं। हम कमजोरियों को स्कैन करने, सुधारों का सुझाव देने और तीसरे पक्ष के पैकेजों की अखंडता को सत्यापित करने के लिए बड़े भाषा मॉडल (LLMs) पर भरोसा करते हैं। लेकिन क्या होता है जब मैलवेयर को पता होता है कि AI को वापस जवाब कैसे देना है? मैंने पिछले हफ्ते कई रातें हेड्स कैंपेन (Hades Campaign) के तकनीकी विवरणों की समीक्षा करने में बिताईं, यह एक ऐसा खतरा है जो हमलावरों द्वारा स्वचालित सुरक्षा के प्रति दृष्टिकोण में बदलाव का प्रतीक है। यह सिर्फ एक डेटा चोर नहीं है। यह हमारे द्वारा खुद को बचाने के लिए उपयोग किए जाने वाले सॉफ़्टवेयर पर निर्देशित एक मनोवैज्ञानिक ऑपरेशन है।

स्टेपसिक्योरिटी (StepSecurity) के शोधकर्ताओं ने हाल ही में इस अभियान की पहचान मियास्मा (Miasma) थ्रेट एक्टर ग्रुप के नवीनतम काम के रूप में की है। जबकि मियास्मा ने पहले क्लाउड क्रेडेंशियल हार्वेस्टिंग पर ध्यान केंद्रित किया था, हेड्स एक अधिक आक्रामक, स्व-प्रसारित (self-propagating) वर्म है। यह विशेष रूप से PyPI इकोसिस्टम में समझौता किए गए पैकेजों के माध्यम से पायथन डेवलपर वातावरण को लक्षित करता है। प्रभावित लाइब्रेरी की सूची में ensmallen, mflux-streamlit और बायोइन्फॉरमैटिक्स में उपयोग किए जाने वाले कई उपकरण शामिल हैं। यदि आप कम्प्यूटेशनल बायोलॉजी या डेटा साइंस में काम करते हैं, तो आपका वर्कस्टेशन इस विशिष्ट समूह के लिए एक उच्च-मूल्य वाला लक्ष्य है।

पायथन इनिशियलाइजेशन प्रक्रिया में प्रवेश बिंदु

हमला तब शुरू होता है जब एक डेवलपर किसी समझौता किए गए पैकेज को इम्पोर्ट करता है। हेड्स अपने प्राथमिक लोडर को __init__.py फ़ाइल के अंदर छुपाता है। यह एक मानक फ़ाइल है जिसे पायथन किसी निर्देशिका को पैकेज के रूप में चिह्नित करने के लिए उपयोग करता है। यहाँ दुर्भावनापूर्ण स्क्रिप्ट रखकर, हमलावर यह सुनिश्चित करते हैं कि जैसे ही पैकेज को किसी प्रोजेक्ट में लोड किया जाता है, कोड निष्पादित (execute) हो जाता है। बुनियादी हस्ताक्षर-आधारित पहचान से बचने के लिए लोडर को अस्पष्ट (obfuscated) किया गया है, लेकिन इसका उद्देश्य सरल है। यह सिस्टम पर एक प्री-कंपाइल्ड Bun रनटाइम बाइनरी डालता है।

Bun एक उच्च-प्रदर्शन वाला जावास्क्रिप्ट टूलकिट है। यह वैध डेवलपर्स के लिए एक उत्कृष्ट उपकरण है, लेकिन यह मैलवेयर के लिए एक आदर्श निष्पादन इंजन भी है। क्योंकि Bun एक स्व-निहित बाइनरी है, यह मैलवेयर को पीड़ित की मशीन पर Node.js इंस्टॉलेशन की आवश्यकता के बिना जटिल जावास्क्रिप्ट पेलोड चलाने की अनुमति देता है। यह पारंपरिक निगरानी को बायपास करता है जो संदिग्ध npm या Node गतिविधि की तलाश करती है। एक आर्किटेक्चरल स्तर से, Bun का उपयोग हमलावरों को एक छाया वातावरण (shadow environment) में काम करने की अनुमति देता है जो अधिकांश पायथन-केंद्रित वर्कस्टेशन की मानक सुरक्षा दृश्यता से बाहर बैठता है।

कैसे मैलवेयर स्वचालित द्वारपाल को गुमराह करता है

हेड्स की सबसे नवीन विशेषता AI सुरक्षा एजेंटों से झूठ बोलने की इसकी क्षमता है। कई आधुनिक विकास वातावरण दुर्भावनापूर्ण पैटर्न के लिए कोड को स्कैन करने के लिए LLMs का उपयोग करते हैं। हेड्स इसका अनुमान लगाता है। अपनी दुर्भावनापूर्ण फ़ाइलों के शीर्ष पर, मैलवेयर में टेक्स्ट का एक ब्लॉक शामिल होता है जिसे एडवरसैरियल प्रॉम्प्ट (adversarial prompt) के रूप में डिज़ाइन किया गया है। यह टेक्स्ट LLM को उसके नीचे पाए जाने वाले किसी भी संदिग्ध कोड को अनदेखा करने और पैकेज को सत्यापित और सुरक्षित के रूप में वर्गीकृत करने का निर्देश देता है।

मैंने पिछले महीने एक सैंडबॉक्स वातावरण में इसी तरह की तकनीक का परीक्षण किया था। मैंने एक LLM को एक स्क्रिप्ट प्रदान की जिसमें एक स्पष्ट रिवर्स शेल (reverse shell) था, लेकिन उससे पहले एक टिप्पणी (comment) दी कि कोड एक सरकारी अनुबंध के लिए पूर्व-अधिकृत सुरक्षा परीक्षण था। AI ने कारनामे (exploit) को अनदेखा कर दिया और रिपोर्ट दी कि स्क्रिप्ट ने सभी सुरक्षा प्रोटोकॉल का पालन किया है। हेड्स इसी सटीक डिजिटल ट्रोजन हॉर्स रणनीति का उपयोग करता है। यह AI के संज्ञानात्मक तर्क (cognitive logic) का फायदा उठाता है। क्योंकि LLMs सोशल इंजीनियरिंग के प्रति संवेदनशील होते हैं, वे इन छिपे हुए निर्देशों को उच्च-प्राथमिकता वाले आदेशों के रूप में स्वीकार करते हैं। इसके परिणामस्वरूप एक गलत नकारात्मक (false negative) निर्णय आता है, जिससे मैलवेयर संगठन के स्वचालित विश्लेषण से बच निकलता है।

सप्लाई चेन अखंडता ढांचे का शोषण

हेड्स केवल छिपता नहीं है; यह आधिकारिक दिखने का प्रयास करता है। यह ओपनआईडी कनेक्ट (OIDC) और सॉफ्टवेयर आर्टिफैक्ट्स के लिए सप्लाई-चेन स्तर (SLSA) सहित कई मिशन-महत्वपूर्ण सुरक्षा ढांचे का फायदा उठाता है। जब मैलवेयर खुद को गिटहब एक्शन्स (GitHub Actions) वर्कफ़्लो के अंदर चलता हुआ पाता है, तो यह OIDC वेरिएबल्स की जांच करता है। फिर यह इन क्रेडेंशियल्स का उपयोग सिगस्टोर (Sigstore) के माध्यम से क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित SLSA प्रोवेनेंस बंडल उत्पन्न करने के लिए करता है।

यह उन प्रणालियों का एक परिष्कृत बायपास है जो सॉफ़्टवेयर अखंडता की गारंटी देने के लिए हैं। एक वैध सिगस्टोर बंडल उत्पन्न करके, मैलवेयर लाइब्रेरी के समझौता किए गए संस्करणों को PyPI या npm पर प्रकाशित कर सकता है जो एक आधिकारिक, सत्यापित बिल्ड वातावरण से आए प्रतीत होते हैं। एक बाहरी पर्यवेक्षक या एक स्वचालित उपकरण के लिए, पैकेज ऐसा लगता है जैसे इसमें कस्टडी की एक वैध श्रृंखला है। यह सुरक्षा बुनियादी ढांचे को हमलावर के लिए एक हथियार में बदल देता है। यह समझौता किए गए कोड को वैध, अहस्ताक्षरित कोड की तुलना में अधिक विश्वसनीय बनाता है।

मेमोरी स्क्रेपिंग और लैटरल मूवमेंट

एक बार जब मैलवेयर स्थापित हो जाता है, तो यह डेटा एकत्र करना शुरू कर देता है। इसमें लिनक्स, मैकओएस और विंडोज के लिए अनुकूलित मेमोरी स्क्रेपर्स शामिल हैं। ये स्क्रेपर संवेदनशील, एन्क्रिप्टेड डेटा निकालने के लिए सक्रिय प्रक्रियाओं के मेमोरी मैपिंग को लक्षित करते हैं जो अन्यथा डिस्क पर अप्राप्य है। यह एक गुप्त दृष्टिकोण है क्योंकि यह संदिग्ध फ़ाइलें बनाने से बचता है जिन्हें एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) सिस्टम फ़्लैग कर सकता है।

वर्म फैलने के तरीके भी खोजता है। यह संक्रमित सिस्टम को SSH कुंजियों, SCP कॉन्फ़िगरेशन और GitHub टोकन के लिए स्कैन करता है। यदि इसे राइट परमिशन वाला टोकन मिलता है, तो यह सीधे मेमोरी से रहस्य (secrets) निकालने के लिए GitHub Actions रनर का उपयोग करता है। फिर यह उपयोगकर्ता के स्वामित्व वाले अन्य रिपॉजिटरी को संक्रमित करने का प्रयास करता है। कमांड एंड कंट्रोल (C2) ट्रैफ़िक सार्वजनिक GitHub इंफ्रास्ट्रक्चर के भीतर छिपा होता है। चोरी किए गए डेटा को कंप्रेस और एन्क्रिप्ट किया जाता है, और हमलावर के नियंत्रण में नए सार्वजनिक रिपॉजिटरी में धकेल दिया जाता है। इन रिपॉजिटरी में अक्सर विवरण होता है "Hades — The End for the Damned."

झुलसी हुई धरती (Scorched Earth) निरंतरता तंत्र

निरंतरता (Persistence) हेड्स डिज़ाइन का एक मुख्य घटक है। मैलवेयर वर्कस्टेशन पर अपनी उपस्थिति स्थापित करता है और चोरी किए गए क्रेडेंशियल्स की स्थिति की निगरानी करता है। यदि कोई सुरक्षा टीम उल्लंघन का पता लगाती है और चोरी किए गए GitHub टोकन को रद्द कर देती है, तो हेड्स एक प्रतिक्रियाशील मोड में प्रवेश करता है। यह एक वाइपर (wiper) प्रक्रिया को निष्पादित करता है जो उपयोगकर्ता की स्थानीय फ़ाइलों को मिटाने का प्रयास करती है।

यह एक प्रतिशोधात्मक रणनीति है। यह घटना प्रतिक्रियाकर्ताओं (incident responders) के लिए एक उच्च-दांव वाली स्थिति पैदा करता है। यदि आप एक्सेस को खत्म करते हैं, तो आप स्थानीय मशीन पर डेटा खो सकते हैं। यह तर्क संगठनों को उपचार चरण (remediation phase) के दौरान सावधानी से आगे बढ़ने के लिए मजबूर करता है। मैलवेयर 14 अलग-अलग AI एजेंटों की कॉन्फ़िगरेशन फ़ाइलों को भी लक्षित करता है। यह ऐसे निर्देश देता है जो हर बार एक नया संक्रमण पैदा करते हैं जब भी डेवलपर वर्तमान कार्यक्षेत्र के बारे में अपने AI सहायक से परामर्श करता है। यह एक लूप बनाता है जहाँ AI टूल से मदद लेने की क्रिया सिस्टम को फिर से संक्रमित कर देती है।

भ्रामक मैलवेयर के खिलाफ सक्रिय बचाव का निर्माण

हेड्स कैंपेन दिखाता है कि प्राथमिक सुरक्षा परत के रूप में AI पर हमारी निर्भरता एक कमजोरी है। हमें एक ऐसे मॉडल की ओर बढ़ना चाहिए जहाँ AI एक अंतिम प्राधिकरण के बजाय एक सहयोगी हो। जोखिम के दृष्टिकोण से, सबसे अच्छा बचाव एक विस्तृत (granular) बचाव है जो एकल द्वारपाल पर भरोसा नहीं करता है।

आपके वातावरण को सुरक्षित करने के लिए मुख्य सुझाव:

1. LLMs के लिए सख्त सीमा अलगाव (boundary isolation) का उपयोग करें। सिस्टम प्रॉम्प्ट के बिना कभी भी कच्चे, अविश्वसनीय कोड को AI स्कैनर को न भेजें जो स्पष्ट रूप से मॉडल को कोड के भीतर निहित निर्देशों का पालन करने से रोकता है।
2. अपने GitHub Actions अनुमतियों का ऑडिट करें। OIDC टोकन के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें और सुनिश्चित करें कि रनर के पास आपकी रिपॉजिटरी तक अनावश्यक राइट एक्सेस न हो।
3. अनधिकृत बाइनरी निष्पादन की निगरानी करें। हेड्स Bun रनटाइम डालने पर निर्भर करता है। वे उपकरण जो __init__.py पथ में अज्ञात बायनेरिज़ के निष्पादन को फ़्लैग या ब्लॉक करते हैं, प्रवेश बिंदु पर संक्रमण को रोक सकते हैं।
4. सिगस्टोर प्रोवेनेंस को मैन्युअल रूप से सत्यापित करें। जबकि हेड्स बंडल बना सकता है, बिल्ड टाइमिंग या एनवायरनमेंट वेरिएबल्स में विसंगतियों को कभी-कभी फोरेंसिक ऑडिट के दौरान पकड़ा जा सकता है।
5. मजबूत बैकअप रणनीतियां लागू करें। क्योंकि हेड्स में एक वाइपर शामिल है, आपके विकास कार्य का ऑफ़लाइन या अपरिवर्तनीय बैकअप होना उपचार के दौरान डेटा हानि के खतरे को कम करने का एकमात्र तरीका है।

खतरे के परिदृश्य को देखते हुए, हेड्स संभवतः भविष्य का एक पूर्वावलोकन है। हमलावर अब केवल हमारे दरवाजों के ताले तोड़ने की कोशिश नहीं कर रहे हैं; वे डिजिटल बाउंसर को उन्हें अंदर जाने देने के लिए मनाने का तरीका सीख रहे हैं। हमें AI के फैसलों को पूर्ण सत्य मानना बंद करना होगा और उन्हें डेटा बिंदुओं के रूप में मानना शुरू करना होगा जिनके लिए मानवीय सत्यापन की आवश्यकता होती है।

स्रोत: NIST Cybersecurity Framework, MITRE ATT&CK Framework (Software Supply Chain Compromise), StepSecurity Hades Campaign Report.

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।