कैसे एक नकली दस्तावेज़ीकरण पृष्ठ ने आधुनिक डेवलपर वर्कफ़्लो में घुसपैठ की

कल्पना कीजिए कि एलेक्स नाम का एक मिड-लेवल सॉफ्टवेयर इंजीनियर है। मंगलवार के दोपहर के 3:00 बजे हैं, और एलेक्स एक उबाऊ रिफैक्टरिंग कार्य से बीस मिनट बचाने की कोशिश कर रहा है। उन्होंने क्लाउड कोड (Claude Code) के बारे में बहुत अच्छी बातें सुनी हैं, जो एजेंटिक कोडिंग के लिए एंथ्रोपिक (Anthropic) का कमांड-लाइन इंटरफ़ेस है। "install claude code" के लिए एक त्वरित खोज एक प्रायोजित परिणाम लाती है जो आधिकारिक दस्तावेज़ीकरण से बिल्कुल मिलता-जुलता दिखता है। पेज साफ-सुथरा है, टाइपोग्राफी एंथ्रोपिक के सौंदर्य से पूरी तरह मेल खाती है, और टर्मिनल में कॉपी और पेस्ट करने के लिए एक सरल, एक-लाइन वाला पॉवरशेल (PowerShell) कमांड तैयार है।

एलेक्स, उन हजारों अन्य डेवलपर्स की तरह जो काम पूरा करने के दबाव में हैं, सर्च इंजन की रैंकिंग पर भरोसा करते हैं। वे कमांड को कॉपी करते हैं, इसे अपने एडमिनिस्ट्रेटिव शेल में पेस्ट करते हैं, और एंटर दबाते हैं। एलेक्स के लिए, इंस्टॉलेशन सामान्य रूप से आगे बढ़ता हुआ प्रतीत होता है। हालांकि, पर्दे के पीछे, उनका वर्कस्टेशन एक परिष्कृत अभियान के लिए शुरुआती एक्सेस पॉइंट बन गया है, जिसे उनके ब्राउज़र से क्रेडेंशियल्स चुराने और उनके संगठन के बुनियादी ढांचे के केंद्र में घुसने के लिए डिज़ाइन किया गया है।

जोखिम के नजरिए से, यह सिर्फ एक और फ़िशिंग हमला नहीं है। यह डिजिटल साम्राज्य के द्वारपालों के खिलाफ एक सटीक-निर्देशित हमला है। 11 मई 2026 को ओन्टिन्यू (Ontinue) के साइबर डिफेंस सेंटर द्वारा पहली बार विस्तृत किया गया यह अभियान, थ्रेट एक्टर के फोकस में बदलाव को उजागर करता है। डेवलपर्स द्वारा निर्माण के लिए उपयोग किए जाने वाले टूल को लक्षित करके, हमलावर प्रभावी रूप से सामने के दरवाजे को दरकिनार कर रहे हैं और सीधे सर्वर रूम में जा रहे हैं।

प्रामाणिक दस्तावेज़ीकरण का भ्रम (The Illusion of Canonical Documentation)

इस अभियान की प्रतिभा इसकी सादगी में निहित है। हमलावरों ने केवल एक नकली साइट नहीं बनाई; उन्होंने एक दर्पण (mirror) बनाया। प्रलोभन वाले पेज ने वैध क्लाउड कोड दस्तावेज़ीकरण के लेआउट की नकल की, लेकिन एक महत्वपूर्ण विचलन के साथ: HTML में रेंडर किए गए इंस्टॉलेशन कमांड को बदल दिया गया था। जबकि वास्तविक एंथ्रोपिक कमांड एक विश्वसनीय रिपॉजिटरी से डेटा खींचता है, दुर्भावनापूर्ण संस्करण अप्रैल 2026 में सक्रियता की लहर में पंजीकृत तीन ऑपरेटर-नियंत्रित डोमेन में से एक की ओर इशारा करता था।

जब मैंने पहली बार इस अभियान से जुड़े नेटवर्क ट्रैफ़िक को देखा, तो मैंने स्वचालित URL स्कैनर्स को हराने के लिए डिज़ाइन किया गया एक चतुर ट्रेडक्राफ्ट देखा। यदि सैंडबॉक्स या क्रॉलर जैसे सुरक्षा टूल ने सीधे /install.ps1 फ़ाइल का अनुरोध किया, तो सर्वर ने वास्तविक क्लाउड कोड इंस्टॉलर की एक सटीक, साफ प्रति लौटाई। इसने दुर्भावनापूर्ण पेलोड केवल तभी दिया जब विशिष्ट हेडर या ब्राउज़र-जैसे व्यवहार का पता चला। यह एक ट्रोजन हॉर्स के डिजिटल समकक्ष है जो केवल तभी अपना गुप्त दरवाजा खोलता है जब वह सुरक्षित रूप से शहर की दीवारों के अंदर होता है।

हमले का विखंडन: पॉवरशेल-नेटिव स्प्लिट (Decoupling the Attack: The PowerShell-Native Split)

एक बार निष्पादित होने के बाद, पीड़ित का टर्मिनल केवल एक कोडिंग टूल इंस्टॉल नहीं करता है; यह 600 KB का पॉवरशेल लोडर लाता है। यह स्क्रिप्ट भारी रूप से अस्पष्ट (obfuscated) है—एक सामान्य रणनीति, लेकिन जिस तरह से यह वास्तविक चोरी को अंजाम देती है, उसने मेरा ध्यान खींचा। सक्रिय रूप से कहें तो, अधिकांश व्यवहारिक पहचान नियम एक ही प्रक्रिया में संदिग्ध गतिविधि की तलाश करते हैं। यदि कोई नेटिव बाइनरी नेटवर्क कनेक्शन बनाना और ब्राउज़र डेटाबेस पढ़ना शुरू करती है, तो चेतावनी के संकेत मिलते हैं।

इसे दरकिनार करने के लिए, हमलावरों ने एक स्प्लिट-आर्किटेक्चर डिज़ाइन का उपयोग किया। पॉवरशेल लोडर पर्यावरण के लिए भारी काम करता है: यह क्रोमियम-फैमिली ब्राउज़र जैसे क्रोम, एज, ब्रेव, विवाल्डी और नए आर्क या परप्लेक्सिटी कॉमेट की गणना करता है। फिर यह एक लाइव, वैध ब्राउज़र प्रक्रिया में एक छोटा, 4608-बाइट का नेटिव हेल्पर रिफ्लेक्टिव रूप से इंजेक्ट करता है।

यह हेल्पर अतिसूक्ष्मवाद (minimalism) का एक उत्कृष्ट उदाहरण है। इसमें कोई नेटवर्क, फ़ाइल या क्रिप्टोग्राफ़िक इम्पोर्ट नहीं है। फोरेंसिक अलगाव में, बाइनरी लगभग निष्क्रिय दिखती है। इसका एकमात्र उद्देश्य एक पुल के रूप में कार्य करना है, जो एन्क्रिप्शन कीज़ प्राप्त करने के लिए ब्राउज़र के आंतरिक इंटरफ़ेस को आमंत्रित करता है। जब तक पॉवरशेल स्क्रिप्ट कुकीज़ और पासवर्ड वाले SQLite डेटाबेस को पढ़ने के लिए उन कीज़ का उपयोग करती है, तब तक "दुर्भावनापूर्ण" कार्य ऑपरेटिंग सिस्टम की विभिन्न परतों में वितरित हो चुका होता है, जिससे यह पारंपरिक एंडपॉइंट डिटेक्शन एंड रिस्पांस (EDR) टूल के लिए लगभग अदृश्य हो जाता है।

डिजिटल वॉल्ट को दरकिनार करना: IElevator2 एक्सप्लॉइट (Bypassing the Digital Vault: The IElevator2 Exploit)

हमले का आर्किटेक्चरल कोर आधुनिक ब्राउज़रों में एक विशिष्ट सुरक्षा सुविधा को लक्षित करता है: ऐप-बाउंड एन्क्रिप्शन (App-Bound Encryption)। ठीक इसी तरह की चोरी को रोकने के लिए पेश किया गया, ऐप-बाउंड एन्क्रिप्शन संवेदनशील डेटा को एप्लिकेशन की पहचान से बांधता है, जो सैद्धांतिक रूप से किसी तीसरे पक्ष की स्क्रिप्ट को केवल कुकी फ़ोल्डर को पकड़ने और चलाने से रोकता है।

हालांकि, इस अभियान के पीछे के थ्रेट एक्टर्स शिकारी फोकस के साथ अपस्ट्रीम क्रोमियम परिवर्तनों पर नज़र रख रहे हैं। जनवरी 2026 में क्रोम 144 रिलीज़ के 60 दिनों के भीतर, उन्होंने पहले ही IElevator2 COM इंटरफ़ेस को लक्षित करने के लिए अपने लोडर को अनुकूलित कर लिया था। डेटा अखंडता के संदर्भ में, यह इंटरफ़ेस एक उच्च-विशेषाधिकार सेवा होने के लिए है जो ब्राउज़र को विशिष्ट कार्य करने की अनुमति देती है। मैलवेयर इस सेवा को मास्टर की सौंपने के लिए धोखा देता है, जिससे ब्राउज़र के अपने सुरक्षा तंत्र प्रभावी रूप से इसके खिलाफ हो जाते हैं।

APT-स्तर के लोडर्स का विश्लेषण करने के मेरे अनुभव में, इस स्तर की चपलता दुर्लभ है। यह एक ऐसे ऑपरेटर का सुझाव देता है जो लीक हुए किट का उपयोग करने वाला केवल एक स्क्रिप्ट किडी नहीं है, बल्कि एक विकास टीम है जिसका समर्पित ध्यान क्रोमियम सुरक्षा रोडमैप को हराने पर है। दिलचस्प बात यह है कि उन्होंने अपनी स्वयं की त्रुटि का एक हस्ताक्षर पीछे छोड़ दिया: एम्बेडेड एज IElevator2 पहचानकर्ता में एक ट्रांसक्रिप्शन त्रुटि। Data3 फ़ील्ड में दो निबल्स (nibbles) स्थानांतरित हो गए थे। इसके कारण प्रारंभिक हाई-टेक कॉल विफल हो जाती है, जिससे मैलवेयर को पुराने, अधिक शोर वाले इंटरफ़ेस पर वापस जाने के लिए मजबूर होना पड़ता है। एक रक्षक के लिए, वह विकृत पहचानकर्ता एक उपहार है—एक उच्च-विश्वास पहचान हस्ताक्षर जिसका उपयोग पूरे नेटवर्क में इस विशिष्ट परिवार की तलाश के लिए किया जा सकता है।

एक उच्च-मूल्य पिवट पॉइंट के रूप में डेवलपर (The Developer as a High-Value Pivot Point)

हम अक्सर प्रशासनिक सहायकों या वित्त टीमों के संदर्भ में मानवीय फ़ायरवॉल के बारे में बात करते हैं, लेकिन डेवलपर्स एक अद्वितीय और व्यापक जोखिम का प्रतिनिधित्व करते हैं। जैसा कि ब्लैक डक की एआई रिसर्च इंजीनियर विनीता संगराजू ने उल्लेख किया है, एक समझौता किया गया डेवलपर वर्कस्टेशन हमलावर के लिए शायद ही कभी अंतिम स्थिति होती है। यह एक पिवट (pivot) है।

डेवलपर्स के पास आमतौर पर मिशन-महत्वपूर्ण संपत्तियों तक व्यापक पहुंच होती है। उनकी मशीनों में GitHub, AWS और आंतरिक CI/CD पाइपलाइनों के लिए सेशन कुकीज़ होती हैं। उनके पास प्रोडक्शन सर्वर की SSH कीज़ और API टोकन होते हैं जो मल्टी-फैक्टर ऑथेंटिकेशन को बायपास करते हैं। एक समझौता किया गया वर्कस्टेशन सीमित नहीं रहता है; यह कैस्केड होता है। यह सोर्स कोड रिपॉजिटरी में पिवट करता है जहां हमलावर डाउनस्ट्रीम सॉफ़्टवेयर में बैकडोर इंजेक्ट कर सकते हैं, एक ऐसा कदम जो हमने सोलरविंड्स (SolarWinds) जैसे प्रणालीगत आपूर्ति-श्रृंखला हमलों में देखा है।

इसके अलावा, मैलवेयर में एक "क्षेत्रीय बहिष्करण" सूची शामिल है। यदि लोडर पता लगाता है कि होस्ट रूस, ईरान या अन्य CIS देशों में है, तो यह चुपचाप बाहर निकल जाता है। यह उन क्षेत्रों से संचालित होने वाले अभिनेताओं की एक सामान्य पहचान है जो स्थानीय कानून प्रवर्तन जांच से बचना चाहते हैं, जो तकनीकी विश्लेषण में भू-राजनीतिक संदर्भ की एक परत जोड़ता है।

टूलिंग हमलों के खिलाफ एक लचीली रक्षा का निर्माण (Building a Resilient Defense Against Tooling Attacks)

तो, हम उस हमले से कैसे बचाव करें जो डेवलपर के वर्कफ़्लो के एक वैध हिस्से जैसा दिखता है? पैचिंग को अलग रखते हुए—चूंकि यह मैलवेयर अनपैच की गई कमजोरियों के बजाय वैध इंटरफ़ेस का फायदा उठाता है—हमें आर्किटेक्चरल नियंत्रणों को देखना चाहिए।

सक्रिय रूप से कहें तो, सबसे प्रभावी उपाय पॉवरशेल कंस्ट्रेंड लैंग्वेज मोड (CLM) को लागू करना है। यह स्क्रिप्ट की जटिल COM और Win32 API कॉल को आमंत्रित करने की क्षमता को सीमित करता है जो रिफ्लेक्टिव इंजेक्शन के लिए आवश्यक हैं। जब मजबूत स्क्रिप्ट ब्लॉक लॉगिंग के साथ जोड़ा जाता है, तो यह SOC विश्लेषकों को हमले के "कैसे" को देखने की अनुमति देता है, भले ही "क्या" अस्पष्ट हो।

इसके अतिरिक्त, हमें डेवलपर वर्कस्टेशन को उच्च-विश्वास, उच्च-जोखिम वाले वातावरण के रूप में मानने की आवश्यकता है। इसका अर्थ है:

1. वेब कंटेंट फ़िल्टरिंग लागू करना जो नए पंजीकृत डोमेन (30 दिनों से कम पुराने) को ब्लॉक करता है, जो इस विशिष्ट अभियान को बेअसर कर देता।
2. लंबे समय तक चलने वाली सेशन कुकीज़ से दूर जाना और क्लाउड इंफ्रास्ट्रक्चर तक पहुंच के लिए अल्पकालिक, हार्डवेयर-बाउंड टोकन की ओर बढ़ना।
3. इंजीनियरिंग टीमों को गैर-प्रामाणिक स्रोतों से "कॉपी-पेस्ट" इंस्टॉलेशन के जोखिमों पर शिक्षित करना, भले ही वे खोज परिणामों में दिखाई दें।

दिन के अंत में, सुरक्षा बिल्ली और चूहे का खेल है जो क्रोम रिलीज़ चक्र की गति से खेला जाता है। यह अभियान साबित करता है कि थ्रेट एक्टर्स अब जीरो-डेज़ (zero-days) का इंतज़ार नहीं कर रहे हैं; वे बस हमारे द्वारा कोड की गलत लाइन कॉपी करने का इंतज़ार कर रहे हैं।

आईटी और सुरक्षा नेताओं के लिए मुख्य निष्कर्ष (Key Takeaways for IT and Security Leaders)

• स्रोत को सत्यापित करें: सुनिश्चित करें कि डेवलपर्स केवल आधिकारिक, सत्यापित रिपॉजिटरी (जैसे, प्रत्यक्ष GitHub रिलीज़ या आधिकारिक npm/pip रजिस्ट्रियां) से CLI टूल और पैकेज खींचते हैं, न कि तीसरे पक्ष के दस्तावेज़ीकरण दर्पणों से।
• COM गतिविधि की निगरानी करें: IElevator और IElevator2 इंटरफ़ेस को कॉल करने वाली असामान्य प्रक्रियाओं की निगरानी के लिए EDR टूल का उपयोग करें, विशेष रूप से विकृत एज IID हस्ताक्षर की तलाश करें।
• दृढ़ता की तलाश (Persistence Hunting) लागू करें: असामान्य पोलिंग अंतराल (जैसे, प्रति मिनट एक बार) के लिए निर्धारित कार्यों का ऑडिट करें जो बाहरी, गैर-कॉर्पोरेट C2 डोमेन की ओर इशारा करते हैं।
• न्यूनतम विशेषाधिकार लागू करें: अनधिकृत पॉवरशेल लोडर्स को उच्च-विशेषाधिकार संदर्भ में निष्पादित होने से रोकने के लिए विंडोज ऐपलॉकर (Windows AppLocker) या समान तकनीकों का उपयोग करें।

स्रोत:

• Ontinue Cyber Defense Center: Threat Intelligence Report (May 2026)
• Chromium Project: App-Bound Encryption Technical Documentation
• MITRE ATT&CK: T1059.001 (Command and Scripting Interpreter: PowerShell)
• NIST SP 800-207: Zero Trust Architecture

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह पेशेवर साइबर सुरक्षा ऑडिट, फोरेंसिक विश्लेषण, या घटना प्रतिक्रिया सेवा की जगह नहीं लेता है। अपने संगठन की सुरक्षा स्थिति में महत्वपूर्ण बदलाव करने से पहले हमेशा एक योग्य सुरक्षा पेशेवर से परामर्श लें।