आर्टिफिशियल इंटेलिजेंस आधारित सर्च और नए एआई टूल्स की बढ़ती लोकप्रियता के बीच साइबर अपराधियों ने एक नया तरीका अपना लिया है। हाल ही में सामने आए एक मामले में ‘OpenClaw’ नामक एआई एजेंट के नकली इंस्टॉलर को Bing के एआई सर्च रिज़ल्ट में प्रमोट किया गया, जिसके बाद कई यूज़र्स के सिस्टम में खतरनाक मालवेयर घुस गया। साइबर सुरक्षा विशेषज्ञों के अनुसार, जब यूज़र्स ने Bing पर “OpenClaw Windows” सर्च किया तो एआई सर्च सुझाव में एक GitHub रिपॉजिटरी का लिंक दिखाया गया।
GitHub पर नकली रिपॉजिटरी
यह रिपॉजिटरी असल में नकली थी और इसे डाउनलोड करने पर यूज़र्स के कंप्यूटर में कई प्रकार के मालवेयर इंस्टॉल हो गए। बताया गया है कि यह फर्जी रिपॉजिटरी फरवरी की शुरुआत में GitHub पर सक्रिय थी और 2 फरवरी से 10 फरवरी के बीच उपलब्ध रही। इसी दौरान कई यूज़र्स ने इसे असली समझकर डाउनलोड किया। बाद में साइबर सुरक्षा शोधकर्ताओं ने इस पर ध्यान दिया और मामले का खुलासा हुआ। सुरक्षा विशेषज्ञों के मुताबिक इस धोखाधड़ी के सफल होने के पीछे दो मुख्य कारण थे।
FCRF Launches Flagship Certified Fraud Investigator (CFI) Program
GitHub+Bing AI का जाल
पहला, मालवेयर को GitHub जैसे भरोसेमंद प्लेटफॉर्म पर होस्ट किया गया था, जहां हजारों ओपन-सोर्स प्रोजेक्ट मौजूद रहते हैं। ‘OpenClaw’ के असली प्रोजेक्ट के भी हजारों फोर्क GitHub पर मौजूद हैं, जिससे नकली इंस्टॉलर को असली समझना आसान हो गया। दूसरा कारण Bing का एआई सर्च रिज़ल्ट रहा। साइबर अपराधियों ने GitHub पर फर्जी रिपॉजिटरी अपलोड की और सर्च एल्गोरिदम को इस तरह प्रभावित किया कि “OpenClaw Windows” सर्च करने पर वही लिंक सबसे ऊपर दिखाई देने लगा।
Vidar Stealer सक्रिय
साइबर सुरक्षा कंपनी के शोधकर्ताओं ने 9 फरवरी को इस मालवेयर का पता लगाया, जब एक यूज़र ने नकली इंस्टॉलर डाउनलोड कर उसे चलाया। जांच में पता चला कि फाइल चलाते ही सिस्टम में कई प्रकार के डेटा चुराने वाले प्रोग्राम इंस्टॉल हो गए। विश्लेषण में सामने आया कि फर्जी इंस्टॉलर के अंदर मौजूद कोड का एक बड़ा हिस्सा असली ओपन-सोर्स प्रोजेक्ट से लिया गया था, जिससे यह अधिक विश्वसनीय दिखाई दे। लेकिन इसके “रिलीज़” सेक्शन में एक अलग फाइल छिपाई गई थी, जिसे OpenClaw_x64.exe नाम से 7-Zip आर्काइव में रखा गया था।
GhostSocks प्रॉक्सी नेटवर्क
इस फाइल को चलाते ही कंप्यूटर में कई प्रकार के मालवेयर सक्रिय हो जाते थे। इनमें एक प्रमुख मालवेयर Vidar Stealer था, जो यूज़र के सिस्टम से संवेदनशील जानकारी जैसे Telegram और Steam अकाउंट से जुड़े डेटा को चुरा सकता है। इसके अलावा एक और मालवेयर GhostSocks भी इंस्टॉल किया गया, जो संक्रमित कंप्यूटर को एक “रेजिडेंशियल प्रॉक्सी” में बदल देता है। इसका उपयोग साइबर अपराधी अपने अन्य हमलों को छिपाने और चोरी किए गए अकाउंट्स तक पहुंचने के लिए करते हैं।
Stealth Packer नया खतरा
शोधकर्ताओं के अनुसार इस हमले में “Stealth Packer” नामक एक नए प्रकार के पैकिंग टूल का भी इस्तेमाल किया गया, जो मालवेयर को छिपाने और एंटी-वायरस से बचाने के लिए डिजाइन किया गया है। जांच के बाद GitHub ने संबंधित अकाउंट और रिपॉजिटरी को हटा दिया है। हालांकि शोधकर्ताओं ने चेतावनी दी है कि इसी तरह के कई अन्य नकली अकाउंट और संगठन भी बनाए गए थे। साइबर सुरक्षा विशेषज्ञों का कहना है कि एआई टूल्स और नए सॉफ्टवेयर की लोकप्रियता बढ़ने के साथ-साथ साइबर अपराधी भी तेजी से सक्रिय हो रहे हैं।
