ई-कॉमर्स स्किमर्स का गुप्त विकास: कैसे WebRTC डिजिटल सुरक्षा घेरे को बायपास करता है

PolyShell एक्सप्लोइट्स का चौंकाने वाला वेग

19 मार्च, 2026 के बाद के सप्ताह में, सभी असुरक्षित Magento और Adobe Commerce स्टोर्स में से आश्चर्यजनक रूप से 56.7% एक ही एक्सप्लोइट चेन द्वारा प्रभावित हुए थे। यह आंकड़ा उन प्रणालीगत खामियों के कठोर, विश्लेषणात्मक विवरण की मांग करता है जिन्होंने इतने तेज़ और व्यापक संक्रमण की अनुमति दी। हम केवल एक मानक मैलवेयर प्रकोप को नहीं देख रहे हैं; हम एक परिष्कृत हमले के वेक्टर के उद्भव को देख रहे हैं जो पारंपरिक सुरक्षा सीमाओं को अप्रचलित बनाने के लिए वैध वेब प्रोटोकॉल का हथियार के रूप में उपयोग करता है।

पर्दे के पीछे, इस डिजिटल महामारी का उत्प्रेरक PolyShell नामक एक भेद्यता (vulnerability) है। यह खामी Magento Open Source और Adobe Commerce को प्रभावित करती है, जो अनधिकृत हमलावरों को REST API के माध्यम से मनमाने ढंग से निष्पादन योग्य फ़ाइलें (executables) अपलोड करने का मार्ग प्रदान करती है। एक बार कोड निष्पादन प्राप्त हो जाने के बाद, हमलावर केवल सर्वर-साइड नियंत्रण पर नहीं रुकते हैं। वे एक अत्यधिक विशिष्ट भुगतान स्किमर स्थापित करते हैं जो गुप्त तकनीक (stealth technology) में एक महत्वपूर्ण छलांग का प्रतिनिधित्व करता है।

दर्पण को तोड़ना: कैसे WebRTC CSP को बायपास करता है

वर्षों से, सुरक्षा पेशेवरों ने क्रॉस-साइट स्क्रिप्टिंग और डेटा चोरी के खिलाफ एक मजबूत बचाव के रूप में कंटेंट सिक्योरिटी पॉलिसी (CSP) पर भरोसा किया है। डिज़ाइन के अनुसार, एक अच्छी तरह से कॉन्फ़िगर किया गया CSP ब्राउज़र को सटीक रूप से बताता है कि कौन से डोमेन विश्वसनीय हैं। यदि कोई दुर्भावनापूर्ण स्क्रिप्ट मानक HTTP अनुरोध के माध्यम से अनधिकृत सर्वर पर चोरी किए गए क्रेडिट कार्ड डेटा को भेजने का प्रयास करती है, तो ब्राउज़र उसे ब्लॉक कर देता है।

हालांकि, PolyShell स्किमर एक सूक्ष्म समाधान (workaround) का उपयोग करता है: WebRTC (Web Real-Time Communication) डेटा चैनल। मूल रूप से कम-विलंबता, पीयर-टू-पीयर संचार—जैसे वीडियो कॉल या फ़ाइल साझाकरण—के लिए डिज़ाइन किया गया, WebRTC डेटा को सीधे क्लाइंट के बीच या STUN/TURN सर्वर पर प्रवाहित करने की अनुमति देता है।

व्यवहार में, कई CSP कार्यान्वयन WebRTC के लिए पर्याप्त विस्तृत नहीं होते हैं। जबकि एक सुरक्षा टीम पारंपरिक API कॉल के लिए connect-src की कड़ाई से निगरानी कर सकती है, WebRTC की विकेंद्रीकृत प्रकृति अक्सर पकड़ में नहीं आती है। स्किमर अपने दुर्भावनापूर्ण पेलोड को लोड करने और संवेदनशील भुगतान जानकारी चुराने के लिए इन डेटा चैनलों का उपयोग करता है। जोखिम के दृष्टिकोण से, यह एक वैध विशेषता को डिजिटल 'ट्रोजन हॉर्स' में बदल देता है, जिससे चोरी किए गए डेटा को पारंपरिक नेटवर्क फ़िल्टरिंग के सुरक्षा घेरे से बाहर निकलने की अनुमति मिलती है।

PolyShell हमले की शारीरिक रचना

हमले की सतह का आकलन करने से एक बहु-चरणीय प्रक्रिया का पता चलता है जो जितनी कुशल है उतनी ही दुर्भावनापूर्ण भी है। हमला REST API के शोषण के साथ शुरू होता है, जो आधुनिक ई-कॉमर्स का एक मिशन-महत्वपूर्ण घटक है जिसे अक्सर इंटरऑपरेबिलिटी के लिए खुला छोड़ दिया जाता है। चूंकि भेद्यता अनधिकृत अपलोड की अनुमति देती है, इसलिए हमले का मार्ग खतरनाक रूप से आसान है।

एक बार जब हमलावर अपनी पकड़ बना लेता है, तो वे चेकआउट पेज में एक स्क्रिप्ट इंजेक्ट करते हैं। दिलचस्प बात यह है कि यह स्क्रिप्ट पांच साल पहले के स्किमर्स की तरह व्यवहार नहीं करती है। मुझे शुरुआती MageCart घटनाओं की जांच करना याद है जहां मैलवेयर केवल URL में base64-एन्कोडेड डेटा के साथ एक GET अनुरोध भेजता था। यह शोर मचाने वाला था और सर्वर लॉग में पहचानना आसान था। इसके विपरीत, PolyShell स्किमर लगभग अदृश्य है। WebRTC का उपयोग करके, ट्रैफ़िक एक मानक पीयर-टू-पीयर हैंडशेक की तरह दिखता है, जिससे उन घटना प्रतिक्रियाकर्ताओं (incident responders) के लिए फोरेंसिक विश्लेषण एक दुःस्वप्न बन जाता है जो केवल संदिग्ध HTTP POST अनुरोधों की तलाश में रहते हैं।

केवल पैचिंग ही अचूक उपाय क्यों नहीं है

पैचिंग को अक्सर जहाज के पतवार में छेद बंद करने के रूप में वर्णित किया जाता है, और हालांकि यह आवश्यक है, यह शायद ही कभी अपने आप में एक व्यापक समाधान होता है। सुधारों की उपलब्धता के बावजूद, PolyShell रोलआउट की गति—जिसमें 50 से अधिक IP पते मास स्कैनिंग में भाग ले रहे हैं—बताती है कि कई संगठन खतरे के परिदृश्य के साथ तालमेल बिठाने के लिए संघर्ष कर रहे हैं।

वास्तुकला के स्तर पर, समस्या उस अंतर्निहित विश्वास में निहित है जो हम तीसरे पक्ष की स्क्रिप्ट और अंतर्निहित ब्राउज़र सुविधाओं में रखते हैं। जब कोई स्टोर प्रभावित होता है, तो डेटा उल्लंघन तेल रिसाव (oil spill) की तरह कार्य करता है; पर्यावरणीय और प्रतिष्ठित आपदा प्रभाव के प्रारंभिक बिंदु से बहुत आगे तक फैल जाती है। अंतिम उपयोगकर्ता के लिए, अनुभव पारदर्शी और सुरक्षित प्रतीत होता है, फिर भी उनका सबसे संवेदनशील वित्तीय डेटा एक एन्क्रिप्टेड, विकेंद्रीकृत चैनल के माध्यम से सीधे हमलावर के हाथों में भेजा जा रहा होता है।

सक्रिय रूप से बोलना: रक्षात्मक उपाय

स्किमर की इस नई नस्ल के खिलाफ अधिक लचीला बचाव बनाने के लिए, संगठनों को आउट-ऑफ-द-बॉक्स कॉन्फ़िगरेशन से परे देखना चाहिए। एक सक्रिय सुरक्षा स्थिति के लिए डेटा अखंडता और गोपनीयता के प्रति बहुआयामी दृष्टिकोण की आवश्यकता होती है।

1. REST API एक्सेस का ऑडिट करें: सुनिश्चित करें कि आपका Magento या Adobe Commerce REST API सार्वजनिक इंटरनेट के संपर्क में नहीं है जब तक कि बिल्कुल आवश्यक न हो। कड़े IP श्वेतसूचीकरण (whitelisting) या मजबूत प्रमाणीकरण परतों को लागू करें।
2. CSP निर्देशों को मजबूत करें: WebRTC को संबोधित करने के लिए आपकी कंटेंट सिक्योरिटी पॉलिसी को अपडेट किया जाना चाहिए। विशेष रूप से, connect-src निर्देश को देखें और यदि आपका प्लेटफ़ॉर्म उनका समर्थन करता है तो media-src या विशिष्ट WebRTC-संबंधित प्रतिबंधों का उपयोग करने पर विचार करें।
3. अखंडता निगरानी (Integrity Monitoring): अपने ई-कॉमर्स कोडबेस में अनधिकृत परिवर्तनों का पता लगाने के लिए फ़ाइल इंटीग्रिटी मॉनिटरिंग (FIM) का उपयोग करें। चूंकि स्किमर को फ्रंटएंड में इंजेक्ट किया जाना चाहिए, इसलिए चेकआउट लॉजिक में किसी भी बदलाव से तत्काल अलर्ट मिलना चाहिए।
4. व्यवहार विश्लेषण (Behavioral Analysis): अपने चेकआउट पेजों से उत्पन्न होने वाले असामान्य WebRTC ट्रैफ़िक की तलाश करें। इस ढांचे के तहत, किसी ऐसे पेज से शुरू किया गया कोई भी P2P कनेक्शन जो केवल भुगतान संसाधित कर रहा हो, एक बड़ा खतरा (red flag) है।

अंततः, PolyShell की घटना एक अनुस्मारक के रूप में कार्य करती है कि परिष्कृत क्लाइंट-साइड हमलों के युग में नेटवर्क परिधि एक अप्रचलित अवधारणा है। हमें हर ब्राउज़र सुविधा को एक संभावित डेटा चोरी के मार्ग के रूप में मानना चाहिए।

कार्रवाई योग्य अगला कदम

यदि आप Magento Open Source या Adobe Commerce चला रहे हैं, तो आपकी तत्काल प्राथमिकता PolyShell भेद्यता के विरुद्ध अपने पैच स्तर को सत्यापित करना है। एक बार छेद बंद हो जाने के बाद, यह सुनिश्चित करने के लिए कि वर्तमान में कोई WebRTC-आधारित स्किमर सक्रिय नहीं है, अपने चेकआउट स्क्रिप्ट का फोरेंसिक ऑडिट करें। अपने भुगतान प्रोसेसर से अधिसूचना की प्रतीक्षा न करें; इस हमले की गति बताती है कि जब तक आप इसके बारे में सुनेंगे, तब तक डेटा डार्क वेब पर बेचा जा चुका होगा।

स्रोत:

• Sansec Threat Intelligence Report on WebRTC Skimmers.
• Adobe Security Bulletin for Magento and Adobe Commerce.
• WebRTC Protocol Specifications and Security Guidelines.