नई दिल्ली। साइबर सुरक्षा जगत में एक नए और बेहद खतरनाक अभियान का खुलासा हुआ है, जिसमें नॉर्थ कोरिया से जुड़े हैकर्स macOS यूजर्स को निशाना बनाकर उनके सिस्टम से क्रिप्टोकरेंसी, लॉगिन क्रेडेंशियल और संवेदनशील डेटा चोरी कर रहे हैं। Microsoft की थ्रेट इंटेलिजेंस टीम के अनुसार यह पूरा ऑपरेशन अत्याधुनिक तकनीक से कम और सोशल इंजीनियरिंग पर ज्यादा आधारित है, जिसमें यूजर्स को ही अनजाने में हमले का माध्यम बनाया जा रहा है।
रिपोर्ट में बताया गया है कि यह अभियान एक फर्जी Zoom मीटिंग या अपडेट नोटिस से शुरू होता है, जहां पीड़ित को “Zoom SDK Update.scpt” नाम की फाइल डाउनलोड करने के लिए कहा जाता है। यह फाइल असल में एक कंपाइल्ड AppleScript होती है, जो macOS के Script Editor में खुलती है और सामान्य सॉफ्टवेयर अपडेट जैसी दिखाई देती है।
विशेषज्ञों के अनुसार, इस स्क्रिप्ट के भीतर जानबूझकर हजारों खाली लाइनें डाली जाती हैं ताकि असली मैलिशियस कोड स्क्रीन से नीचे छिप जाए और यूजर उसे आसानी से न देख सके। इसके बाद यह स्क्रिप्ट macOS के असली सिस्टम टूल्स का उपयोग करते हुए सिस्टम को “अपडेट” करने का भ्रम पैदा करती है, जबकि बैकग्राउंड में खतरनाक कोड सक्रिय हो जाता है।
Microsoft ने बताया कि इस हमले के पीछे जिस समूह को ट्रैक किया गया है, उसे “Sapphire Sleet” (APT38 से जुड़ा) नाम दिया गया है, जो नॉर्थ कोरिया के Lazarus Group का हिस्सा माना जाता है। यह समूह लंबे समय से वित्तीय संस्थानों, क्रिप्टो प्लेटफॉर्म और टेक प्रोफेशनल्स को निशाना बना रहा है।
हमले की प्रक्रिया कई चरणों में पूरी होती है। पहले चरण में स्क्रिप्ट सिस्टम में “softwareupdate” जैसे भरोसेमंद macOS टूल को रन करती है, जिससे यूजर को लगता है कि कोई वैध अपडेट चल रहा है। इसके बाद “curl” कमांड के जरिए बाहरी सर्वर से नई स्क्रिप्ट डाउनलोड की जाती है, जो लगातार नए पेलोड लोड करती रहती है।
इन पेलोड्स का अलग-अलग काम होता है—कुछ सिस्टम में बैकडोर बनाते हैं, कुछ डेटा इकट्ठा करते हैं और कुछ सीधे कमांड एंड कंट्रोल सर्वर से जुड़ जाते हैं। इस प्रक्रिया के दौरान हमलावर macOS की सुरक्षा व्यवस्था को भी बायपास करने की कोशिश करते हैं, जिससे यूजर के पासवर्ड, ब्राउज़र हिस्ट्री, Apple Keychain, Telegram लॉगिन और क्रिप्टो वॉलेट तक की जानकारी चुरा ली जाती है।
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
एक और चौंकाने वाली बात यह सामने आई है कि हमलावर वैध दिखने वाले नामों जैसे “systemupdate.app” और “com.apple.cli” का उपयोग करते हैं ताकि सिस्टम और यूजर दोनों को यह लगे कि यह Apple का ही कोई आधिकारिक प्रोसेस है। इसी भ्रम का फायदा उठाकर यूजर से पासवर्ड भी मांगा जाता है, जो बाद में सीधे हमलावरों तक पहुंच जाता है।
Microsoft थ्रेट इंटेलिजेंस टीम के अनुसार, सोशल इंजीनियरिंग आज के समय में सबसे खतरनाक साइबर हथियार बन चुका है। उनका कहना है कि यह तरीका इसलिए प्रभावी है क्योंकि यह यूजर के भरोसे और आदतों का फायदा उठाता है। लोग रिमोट सपोर्ट, मीटिंग लिंक और अपडेट नोटिस को सामान्य प्रक्रिया समझकर स्वीकार कर लेते हैं।
रिपोर्ट में यह भी बताया गया है कि यह पूरा अभियान लिंक्डइन जैसे प्लेटफॉर्म्स पर फर्जी रिक्रूटर प्रोफाइल के जरिए शुरू होता है। पहले यूजर्स को जॉब ऑफर या टेक इंटरव्यू के लिए संपर्क किया जाता है, और फिर उन्हें एक फर्जी तकनीकी फाइल या मीटिंग लिंक भेज दिया जाता है।
साइबर विशेषज्ञों का कहना है कि इस तरह के हमले पारंपरिक वायरस या मालवेयर से ज्यादा खतरनाक हैं क्योंकि इनमें तकनीक के साथ मानव मनोविज्ञान का इस्तेमाल किया जाता है। एक बार यूजर द्वारा फाइल खोलते ही पूरा सिस्टम हमलावर के नियंत्रण में चला जाता है।
Microsoft ने इस अभियान की जानकारी Apple को भी दी है, जिसके बाद कंपनी ने Safari और XProtect जैसे सुरक्षा सिस्टम में नए अपडेट जारी किए हैं ताकि ऐसे फाइल और डोमेन को ब्लॉक किया जा सके।
विशेषज्ञों ने यूजर्स को चेतावनी दी है कि किसी भी अनजान लिंक, फाइल या स्क्रिप्ट को बिना IT अथवा सुरक्षा टीम की पुष्टि के कभी न चलाएं। खासकर वे फाइलें जो मैसेजिंग ऐप या ईमेल के जरिए आती हैं, उन पर विशेष सतर्कता बरतने की जरूरत है।
फिलहाल यह अभियान सक्रिय माना जा रहा है और साइबर सुरक्षा एजेंसियां इसके नेटवर्क, सर्वर और प्रभावित सिस्टम की पहचान करने में जुटी हुई हैं।
