एक अज्ञात खतरे वाले समूह ने लगभग 300 नकली GitHub रिपॉजिटरीज़ बनाकर वैध सॉफ़्टवेयर का रूप धारण किया और व्यापक इन्फो‑स्टीलर मालवेयर वितरित किया। यह मालवेयर 19 वेब ब्राउज़र, 32 क्रिप्टो वॉलेट और कई मैसेजिंग एप्लिकेशन से संवेदनशील डेटा चुराता है।

मुख्य बिंदु (Key Takeaways)

  • लगभग 300 नकली GitHub रिपॉजिटरीज़ वास्तविक सॉफ़्टवेयर के रूप में छुपी हुई।
  • मालवेयर 19 ब्राउज़र, 32 क्रिप्टो वॉलेट और कई मैसेजिंग ऐप्स से डेटा चुराता है।
  • रूसी‑भाषी हमलावर मुफ्त डाउनलोड की भरोसे पर हमला करते हैं, इसलिए अनऑफ़िशियल पेजों से बचें।

साइबर सुरक्षा अनुसंधानकर्ता ArcticWolf ने जुलाई 2026 में एक बड़े पैमाने पर चल रहे अभियान की पहचान की, जिसमें 292 नकली GitHub रिपॉजिटरीज़ को वैध सॉफ़्टवेयर और सुरक्षा प्रोजेक्ट्स की नकल करके इन्फो‑स्टीलर मालवेयर वितरित किया गया। इन रिपॉजिटरीज़ में प्रत्येक में README फ़ाइल में एक डाउनलोड लिंक सम्मिलित था, जो उपयोगकर्ता को एक दुर्भावनापूर्ण लैंडिंग पेज पर ले जाता था।

पृष्ठभूमि और पूर्व उदाहरण

GitHub को पहले भी दुर्भावनापूर्ण कोड, फिशिंग पेज और सॉफ़्टवेयर पैकेजों के वितरण के माध्यम से दुरुपयोग किया गया है। 2022 में npm पैकेजों के माध्यम से समान स्टीलर और 2024 में बिनरी फ़ाइलों के साथ किए गए हमले इस जोखिम को उजागर करते हैं। इस नई लहर में, हमलावर ने एक टेम्पलेटेड HTML/JS फ़ाइल को पुन: प्रयोग कर विभिन्न ब्रांडों की पहचान को नकली तौर पर प्रस्तुत किया, जिससे उपयोगकर्ता आसानी से भरोसा कर लेता है।

कैम्पेन की तकनीकी संरचना

लैंडिंग पेज में "Download Secure Content" बटन और नकली भरोसेमंद बेज़ (trust badges) दिखाए जाते हैं। स्क्रिप्ट URL को दो हिस्सों में विभाजित करती है: पहला भाग (user_code) रेफ़रर रिपॉजिटरी को ट्रैक करता है, जबकि दूसरा भाग (referrer domain) उस ब्रांड को दर्शाता है जिसे नकली रूप से प्रस्तुत किया गया है। इस जानकारी को एक जावास्क्रिप्ट टेम्पलेट के माध्यम से दिखाया जाता है, जिससे प्रत्येक पेज में समान कोड पुन: उपयोग होता है।

मालवेयर का कार्य‑प्रणाली

डिलिवरी पेज एक बड़े ज़िप आर्काइव को प्रदान करता है, जिसका नाम और कंटेंट हर मिनट बदलता रहता है। आर्काइव में एक ट्रोजन‑संशोधित libcurl.dll और एक वैध, साइन किया गया WinGUP अपडेटर शामिल होता है, जो प्रत्येक नकली उत्पाद के अनुसार अलग नाम लेता है। जब उपयोगकर्ता gup.exe चलाता है, तो यह libcurl.dll को साइड‑लोड करता है, जो मेमोरी में सीधे इन्फो‑स्टीलर को डिकोड और निष्पादित करता है।

डेटा चोरी की व्यापकता

यह स्टीलर BoryptGrab परिवार का एक नया संस्करण है, जो निम्नलिखित डेटा को लक्षित करता है:

  • 19 वेब ब्राउज़र से पासवर्ड, कुकीज़, भुगतान जानकारी।
  • 32 विभिन्न क्रिप्टोकरेंसी वॉलेट ब्रांड्स के निजी कुंजियाँ।
  • Telegram, Discord, Steam और Meta की Max मैसेजिंग से सत्र टोकन।
  • Windows Credential Manager, डेस्कटॉप एवं डॉक्यूमेंट फ़ाइलें जिनमें पासवर्ड या रिकवरी फ्रेज़ हो सकते हैं।
  • स्क्रीनशॉट, सिस्टम विवरण और इंस्टॉल किए गए सॉफ़्टवेयर की सूची।

विशेष रूप से, इस संस्करण में Chrome के App‑Bound Encryption को बायपास करने की नई क्षमता पाई गई है, जो सीधे ब्राउज़र प्रक्रिया में कोड इंजेक्शन के माध्यम से संभव होती है। सभी चुराए गए डेटा को संकुचित कर रूस‑आधारित कमांड‑एंड‑कंट्रोल (C2) सर्वर को भेजा जाता है।

प्रभाव और शमन उपाय

मालवेयर स्थायी रूप से सिस्टम में नहीं रहता; यह केवल एक ही निष्पादन में अधिकतम डेटा एकत्र करने के बाद समाप्त हो जाता है। इस कारण कोई एंटी‑एनालिसिस लेयर नहीं है, और एक्सफ़िल्ट्रेशन प्रक्रिया के दौरान उपयोग किया गया अस्थायी फ़ोल्डर मिटाया नहीं जाता, जिससे फॉरेन्सिक विश्लेषण आसान हो जाता है। रिपोर्ट के समय GitHub ने अधिकांश दुर्भावनापूर्ण रिपॉजिटरीज़ को हटा दिया था, परंतु कुछ डज़न GitHub Pages रीडायरेक्टर्स अभी भी सक्रिय थे।

विशेषज्ञों का मानना है कि यह अभियान रूसी‑भाषी, वित्तीय लाभ के पीछे प्रेरित हमलावरों द्वारा संचालित है। उपयोगकर्ताओं को मुफ्त, प्रीमियम टूल्स की डाउनलोड लिंक पर अत्यधिक सतर्क रहना चाहिए और किसी भी अनौपचारिक GitHub पेज से फाइलें डाउनलोड करने से पहले स्रोत की प्रामाणिकता की दोबारा जाँच करनी चाहिए।

ArcticWolf ने इस कैंपेन के पता लगाने के लिए एक YARA नियम और कई संकेतक (IoCs) प्रकाशित किए हैं, जो सुरक्षा टीमों को संभावित संक्रमण को जल्दी पहचानने में मदद करेंगे।