खराब Pidgin प्लगइन

डिजिटल ल्यान्डस्केप सँधै विकसित हुँदैछ, तत्काल सन्देश अनुप्रयोगहरू व्यक्तिगत र व्यावसायिक सञ्चारको अभिन्न अंग बनेको छ। यद्यपि, यी प्लेटफर्महरू धम्की दिने अभिनेताहरूको लागि पनि मुख्य लक्ष्य बनेका छन्। भर्खरैका साइबरसुरक्षा घटनाहरूले व्यापक रूपमा प्रयोग गरिएका सन्देश अनुप्रयोगहरूमा लुकेका खतराहरूलाई हाइलाइट गरेका छन्, परिष्कृत मालवेयर अभियानहरूले शंकास्पद प्रयोगकर्ताहरूलाई लक्षित गर्दै। यस लेखले यी खतराहरूको वृद्धिको अन्वेषण गर्दछ, दुई महत्त्वपूर्ण केसहरूमा फोकस गर्दै: धम्की दिने Pidgin प्लगइन र सिग्नल एप्लिकेसनको सम्झौता फोर्क।

Pidgin प्लगइन घुसपैठ

22 अगस्त, 2024 मा, Pidgin, एक लोकप्रिय खुला स्रोत सन्देश अनुप्रयोग, ScreenShare-OTR (ss-otr) नामक भ्रष्ट प्लगइनले यसको आधिकारिक तेस्रो-पक्ष प्लगइनहरूको सूचीमा घुसपैठ गरेको खुलासा गर्‍यो। अफ-द-रेकर्ड (ओटीआर) मेसेजिङ प्रोटोकलमा स्क्रिन सेयरिङका लागि एउटा उपकरणको रूपमा मार्केटिङ गरिएको प्लगइनमा नराम्रो कोड रहेको पाइयो। प्रारम्भमा, यो स्रोत कोडको अभाव र डाउनलोडका लागि बाइनरी फाइलहरूको मात्र उपलब्धताको कारणले ध्यान नदिइयो - एक महत्वपूर्ण निरीक्षण जसले खतरालाई पत्ता नलागेको फैलाउन अनुमति दियो।

धम्की दिने क्षमताहरू उजागर गरियो

साइबरसुरक्षा अनुसन्धानकर्ताहरूले गरेको गहन विश्लेषणले ScreenShare-OTR प्लगइनको वास्तविक प्रकृति पत्ता लगायो। अनुसन्धानले पत्ता लगायो कि प्लगइन धेरै खराब गतिविधिहरू प्रदर्शन गर्न डिजाइन गरिएको थियो:

• कीलगिङ : प्लगइनले किस्ट्रोकहरू लग गर्न सक्छ, संवेदनशील जानकारीहरू जस्तै पासवर्डहरू र निजी सन्देशहरू खिच्न सक्छ।
• स्क्रिनसट साझेदारी : प्लगइनले स्क्रिनसटहरू लिएको छ र तिनीहरूलाई यसको अपरेटरहरूलाई पठाएको छ, सम्भावित रूपमा गोप्य जानकारीलाई उजागर गर्दै।
• धोखाधडी बाइनरीहरू डाउनलोड र कार्यान्वयन गर्दै : प्लगइन एक आपराधिक-नियन्त्रित सर्भरसँग जोडिएको छ र थप असुरक्षित पेलोडहरू डाउनलोड गर्न र कार्यान्वयन गर्न, एक PowerShell स्क्रिप्ट र कुख्यात DarkGate मालवेयर सहित।

प्लगइनको स्थापनाकर्तालाई पोलिश कम्पनीलाई जारी गरिएको वैध प्रमाणपत्रको साथ हस्ताक्षर गरिएको थियो, यसले यसलाई प्रामाणिकताको लिबास उधारो दिन्छ जसले सुरक्षा उपायहरू बाइपास गर्न मद्दत गर्‍यो। प्लगइनका दुबै Windows र Linux संस्करणहरूले समान दुर्भावनापूर्ण व्यवहार प्रदर्शन गर्‍यो, यस आक्रमणबाट उत्पन्न क्रस-प्लेटफर्म खतरा प्रदर्शन गर्दै।

व्यापक प्रभावहरू

थप अनुसन्धानले पत्ता लगायो कि असुरक्षित पेलोडहरू होस्ट गर्ने साइटले वैध प्लगइन भण्डारको रूपमा मास्करेड गरेको छ। यसले OMEMO, Pidgin Paranoia, र Window Marge जस्ता अन्य लोकप्रिय प्लगइनहरू पनि प्रस्ताव गर्‍यो, जसमा सम्झौता हुन सक्थ्यो। यसबाहेक, स्क्रिनसेयर-ओटीआर प्लगइनमा फेला परेको उही ब्याकडोर क्र्याडलमा फेला परेको थियो, एउटा अनुप्रयोग जसले आफैलाई 'एन्टी-फरेन्सिक सन्देश सफ्टवेयर' भनेर बिल बनाउँछ।

पालना: एक अनुमानित सिग्नल फोर्क

Cradle ले सबैभन्दा भरपर्दो सुरक्षित मेसेजिङ एपहरू मध्ये एक, Signal सँगको सम्बन्धको कारणले थप कपटी जोखिम प्रस्तुत गर्दछ। यद्यपि क्र्याडल सिग्नलको खुला स्रोत फोर्क हो, यो न त सिग्नल फाउन्डेशनद्वारा प्रायोजित छ न त सम्बद्ध छ। यसका बावजुद, यसले प्रयोगकर्ताहरूलाई यसको वैधताको लागि विश्वस्त पार्न सफल भयो, आंशिक रूपमा किनभने यसको फोर्क गरिएको स्रोत कोड आंशिक रूपमा GitHub मा उपलब्ध थियो।

यद्यपि, गहिरो निरीक्षणले पत्ता लगायो कि क्र्याडल सार्वजनिक रूपमा उपलब्ध भएको भन्दा फरक कोड प्रयोग गरेर बनाइएको थियो। अनुप्रयोगलाई ScreenShare-OTR प्लगइन जस्तै दुर्भावनापूर्ण कोडको साथ इम्बेड गरिएको थियो, डार्कगेट मालवेयर डिप्लोय गर्ने स्क्रिप्टहरू डाउनलोड गर्न सक्षम। क्र्याडलको विन्डोज र लिनक्स दुवै संस्करणहरूमा यस मालवेयरको उपस्थितिले यी आक्रमणहरूद्वारा उत्पन्न हुने क्रस-प्लेटफर्म जोखिमहरूलाई थप जोड दिन्छ।

डार्कगेट: एक निरन्तर र विकसित खतरा

डार्कगेट मालवेयर इकोसिस्टममा नयाँ खेलाडी होइन। 2018 मा पहिलो पटक दस्तावेज गरिएको, यो एक परिष्कृत मालवेयर-ए-ए-सर्भिस (MaaS) प्लेटफर्ममा विकसित भएको छ। DarkGate ले क्षमताहरूको एक विस्तृत श्रृंखला प्रदान गर्दछ, सहित:

• हिडन भर्चुअल नेटवर्क कम्प्युटिङ (hVNC)
• रिमोट कोड कार्यान्वयन
• क्रिप्टोमाइनिङ
• रिभर्स शेल पहुँच

मालवेयरले कडा रूपमा नियन्त्रित वितरण मोडेल अन्तर्गत सञ्चालन गर्दछ, केवल ग्राहकहरूको चयन समूहमा उपलब्ध छ। सापेक्ष निष्क्रियताको अवधि पछि, डार्कगेट सेप्टेम्बर 2023 मा ककबोट पूर्वाधारको अवरोध र टेकडाउन पछि बदलाको साथ पुन: देखा पर्‍यो। यो पुनरुत्थान धेरै उच्च-प्रोफाइल मालवेयर अभियानहरूसँग मेल खायो, यसले संकेत गर्दछ कि डार्कगेट साइबर अपराधीहरू बीचको मनपर्ने उपकरण भएको छ।

डार्कगेट मालवेयर: संक्रमण भेक्टर र ग्लोबल प्रभाव

डार्कगेटको पुनरुत्थान विभिन्न भेक्टरहरूमा यसको व्यापक वितरणद्वारा चिन्हित गरिएको छ। अगस्ट २०२३ देखि, साइबरसुरक्षा अनुसन्धानकर्ताहरूले डार्कगेटबाट पीडितहरूलाई संक्रमित गर्न विभिन्न विधिहरू प्रयोग गर्ने धेरै अभियानहरू अवलोकन गरेका छन्:

• टोली च्याटहरू : पीडितहरूलाई माइक्रोसफ्ट टोलीहरू मार्फत पठाइएको लिङ्कहरू मार्फत डार्कगेट स्थापनाकर्ता डाउनलोड गर्न ठगियो।
• इमेल एट्याचमेन्टहरू : क्याबिनेट (.cab) अभिलेखहरू भएका इमेलहरू पीडितहरूलाई असुरक्षित सामग्री डाउनलोड गर्न र कार्यान्वयन गर्न प्रलोभन दिन प्रयोग गरियो।

विश्वव्यापी पहुँच र प्रभाव

यी अभियानहरू कुनै खास क्षेत्रमा मात्र सीमित छैनन्। डार्कगेट संक्रमणहरू उत्तर अमेरिका, युरोप र एशियाको महत्त्वपूर्ण भागहरूमा रिपोर्ट गरिएको छ। मालवेयरको विभिन्न डेलिभरी मेकानिजमहरू र यसको उन्नत चोरी प्रविधिहरूमा अनुकूलन गर्ने क्षमताले यसलाई विश्वव्यापी साइबर सुरक्षा पेशेवरहरूको लागि एक शक्तिशाली विरोधी बनाएको छ।

जनवरी 2024 मा, डार्कगेटले यसको छैटौं प्रमुख संस्करण जारी गर्‍यो, संस्करण 6.1.6 को रूपमा पहिचान गरिएको नमूनाको साथ। यो निरन्तर विकास र परिष्करणले खतराको निरन्तरता र त्यस्ता आक्रमणहरू पत्ता लगाउन र कम गर्न सतर्कताको महत्त्वलाई जोड दिन्छ।

निष्कर्ष: विकसित खतराहरू विरुद्ध सुरक्षा बलियो बनाउने

Pidgin र Cradle प्रयोगकर्ताहरूलाई लक्षित गर्ने हालैका मालवेयर अभियानहरूले साइबर अपराधीहरूद्वारा नियोजित विकसित रणनीतिहरू हाइलाइट गर्दछ। डार्कगेट जस्ता परिष्कृत मालवेयरहरू डेलिभर गर्नका लागि भेक्टरको रूपमा वैध अनुप्रयोगहरू र प्लगइनहरूको प्रयोगले बलियो साइबर सुरक्षा उपायहरूको आवश्यकतालाई जोड दिन्छ। प्रतिष्ठित स्रोतहरूबाट पनि, तेस्रो-पक्ष प्लगइनहरू वा अनुप्रयोगहरू डाउनलोड गर्दा प्रयोगकर्ताहरूले सावधानी अपनाउनुपर्छ। यस बीचमा, विकासकर्ताहरू र सुरक्षा पेशेवरहरूले सफ्टवेयर इकोसिस्टमहरूको सुरक्षालाई सुदृढ गर्न सँगै काम गर्नुपर्छ, यो सुनिश्चित गर्दै कि त्यस्ता खतराहरूलाई व्यापक रूपमा हानि पुर्‍याउनु अघि नै पहिचान गरी तटस्थ गरिएको छ।

यस्तो युगमा जहाँ डिजिटल संचार उपकरणहरू सर्वव्यापी छन्, दांव कहिल्यै उच्च भएको छैन। जसरी धम्कीका अभिनेताहरूले नवीनता जारी राख्छन्, त्यसैगरी हाम्रो प्रतिरक्षा पनि हुनुपर्छ। DarkGate जस्ता मालवेयर विरुद्धको लडाई जारी छ, तर क्रमशः बढि सचेतना र सक्रिय बानीको साथ, हामी आक्रमणकारीहरू भन्दा एक कदम अगाडि रहन सक्छौं।