उत्तर कोरिया के मूल ग्राफालगो अभियान मैलवेयर को फैलाने के लिए नकली कार्य परीक्षण मोड का उपयोग करते हैं
JAKARTA - उत्तर कोरिया के एक खतरे वाले अभिनेता से जुड़ा हुआ एक साइबर अभियान, सॉफ़्टवेयर डेवलपर्स को मैलवेयर फैलाने के लिए नौकरी के नकली विज्ञापनों का उपयोग करके पता चला है। ऑपरेशन को ग्राफालगो के नाम से जाना जाता है और यह रिपोर्ट की गई है कि यह जावास्क्रिप्ट और पायथन पेशेवरों को लक्षित करता है, खासकर क्रिप्टो में अनुभव वाले।
ReversingLabs की रिपोर्ट में कहा गया है कि अभियान मई 2025 से सक्रिय है। अपराधी ब्लॉकचेन और क्रिप्टो व्यापार कंपनियों के रूप में खुद को प्रस्तुत करते हैं, फिर लिंक्डइन, फेसबुक और रेडिट जैसे प्लेटफॉर्म के माध्यम से नौकरी के नकली विज्ञापन लगाते हैं।
इच्छुक आवेदकों को भर्ती प्रक्रिया के हिस्से के रूप में तकनीकी परीक्षण पूरा करने के लिए कहा जाता है। आम तौर पर यह काम एक दिखने वाली वैध और पेशेवर उदाहरण परियोजना को डिबग करने या सुधारने का काम है। लेकिन परियोजना के पीछे, एक खतरनाक निर्भरता छिपकर छिपी हुई है और npm और PyPI जैसे विश्वसनीय रिपॉजिटरी में अपलोड की गई है।
जब पीड़ित परियोजना चलाता है, तो खतरनाक निर्भरता रिमोट एक्सेस ट्रोजन (RAT) को सिस्टम में इंस्टॉल करेगी। यह मैलवेयर पीड़ितों को अनजाने में संक्रमित डिवाइस पर पूर्ण नियंत्रण देता है।
खुलासा किए गए निष्कर्षों के अनुसार, ग्राफालगो ऑपरेशन से संबंधित कम से कम 192 खतरनाक पैकेज हैं। एक मामले में, बिल्टमथटिट्स नामक पैकेज मूल रूप से 1.1.0 संस्करण तक साफ था, इससे पहले कि यह अंततः खतरनाक पेलोड द्वारा घातक हो गया। इसके बाद, पैकेज को आगे का पता लगाने से बचने के लिए हटा दिया गया।
इंस्टॉल किए गए RAT विभिन्न खतरनाक गतिविधियों को करने में सक्षम हैं, जिसमें चल रहे प्रक्रियाओं की सूची प्रदर्शित करना, मनमाने आदेशों को निष्पादित करना, फ़ाइलों को निकालना, अतिरिक्त पेलोड को डाउनलोड करना और चलाना शामिल है। मैलवेयर पीड़ित ब्राउज़र में क्रिप्टो वॉलेट एक्सटेंशन मेटामास्क की उपस्थिति की जांच भी करता है, जो हमले के पीछे वित्तीय उद्देश्य को इंगित करता है।
मैलवेयर और नियंत्रण सर्वर के बीच संचार एक सुरक्षित टोकन-आधारित विधि का उपयोग करके किया जाता है, जिससे सुरक्षा प्रणाली द्वारा बाहरी निगरानी को मुश्किल बना दिया जाता है।
साइबर सुरक्षा विशेषज्ञों ने ग्राफालगो ऑपरेशन को संभावित रूप से लाज़ारस समूह से जोड़ा है, एक हैकर समूह जो लंबे समय से उत्तर कोरिया से जुड़ा हुआ है और सामाजिक इंजीनियरिंग आधारित हमले और नौकरी के नकली नौकरी के लिए जाना जाता है।
यह मामला डेवलपर्स को सॉफ़्टवेयर रिपॉजिटरी में संदिग्ध अपडेट गतिविधि, प्रकाशकों की प्रतिष्ठा, और संस्करण इतिहास की जांच करने सहित, पैकेज और निर्भरता को स्थापित करने से पहले हमेशा पूरी तरह से सत्यापित करने के लिए एक अनुस्मारक है।