Bybit سیکیورٹی نے کلاڈ کوڈ کی تلاش کرنے والے صارفین کو نشانہ بنانے والی macOS میلویئر مہم کو بے نقاب کیا۔
Bybit نے ایک ملٹی اسٹیج macOS میلویئر مہم کی تفصیلات کا انکشاف کیا ہے جو صارفین کو "Claude Code" کی تلاش کر رہے ہیں، جو Anthropic کی طرف سے AI سے چلنے والے ایک ڈویلپمنٹ ٹول کو تلاش کر رہے ہیں، اس کے سیکیورٹی آپریشنز سینٹر (SOC) کی طرف سے شائع شدہ نتائج کے مطابق اور 21 اپریل کو Finbold کے ساتھ شیئر کیا گیا ہے۔
کمپنی نے کہا کہ یہ مہم پہلے عوامی طور پر دستاویزی کیسز میں سے ایک کی نمائندگی کرتی ہے جس میں ایک سنٹرلائزڈ کرپٹو ایکسچینج (CEX) نے ڈیولپرز کو نشانہ بنانے کے لیے AI ٹول ڈسکوری چینلز کا استحصال کرنے والے ایک فعال خطرے کی نشاندہی اور تجزیہ کیا ہے۔
بائبٹ کے مطابق، اس مہم کی نشاندہی پہلی بار مارچ 2026 میں کی گئی تھی اور اس کا انحصار سرچ انجن آپٹیمائزیشن (SEO) کے زہر پر مبنی تھا تاکہ گوگل سرچ کے نتائج میں ایک بدنیتی پر مبنی ڈومین کو اوپر لے جایا جا سکے۔ "کلاڈ کوڈ" تلاش کرنے والے صارفین کو ایک جعلی تنصیب کے صفحے پر بھیج دیا گیا تھا جو جائز دستاویزات سے قریب سے مشابہت رکھتا تھا۔
ملٹی اسٹیج میلویئر چین اسناد اور کرپٹو بٹوے کو نشانہ بناتا ہے۔
بائیبٹ کے تجزیے سے پتا چلا ہے کہ اس حملے نے دو مرحلوں پر مشتمل میلویئر چین کو تعینات کیا تھا۔ ابتدائی پے لوڈ، جو Mach-O ڈراپر کے ذریعے پہنچایا گیا، ایک osascript پر مبنی infostealer نصب کیا گیا جو کہ معلوم AMOS اور Banshee مختلف حالتوں سے ملتی جلتی خصوصیات کی نمائش کرتا ہے۔
انفوسٹیلر نے حساس ڈیٹا کو نکالنے کے لیے ایک ملٹی فیز مبہم عمل کو انجام دیا، بشمول براؤزر کی اسناد، macOS کیچین اندراجات، ٹیلیگرام سیشنز، VPN پروفائلز، اور cryptocurrency والیٹ کی معلومات۔ Bybit محققین نے 250 سے زیادہ براؤزر پر مبنی والیٹ ایکسٹینشنز کے ساتھ ساتھ متعدد ڈیسک ٹاپ والیٹ ایپلی کیشنز کے خلاف ہدف تک رسائی کی کوششوں کی نشاندہی کی۔
دوسرے مرحلے کے پے لوڈ نے C++ پر مبنی بیک ڈور متعارف کرایا جس میں چوری کی جدید تکنیکیں شامل ہیں جیسے سینڈ باکس کا پتہ لگانے اور انکرپٹڈ رن ٹائم کنفیگریشن۔ میلویئر نے سسٹم لیول ایجنٹس کے ذریعے استقامت قائم کی اور HTTP پر مبنی پولنگ کے ذریعے ریموٹ کمانڈ پر عمل درآمد کو فعال کیا، جس سے حملہ آوروں کو سمجھوتہ کرنے والے آلات پر جاری کنٹرول برقرار رکھنے کی اجازت ملی۔
تحقیقات نے سوشل انجینئرنگ کے ہتھکنڈوں کا بھی پردہ فاش کیا، بشمول جعلی macOS پاس ورڈ پرامپٹس جو صارف کی اسناد کی توثیق اور کیش کرنے کے لیے استعمال ہوتے ہیں۔ کچھ معاملات میں، حملہ آوروں نے جائز والیٹ ایپلی کیشنز جیسے کہ لیجر لائیو اور ٹریزر سویٹ کو نقصان دہ انفراسٹرکچر پر ہوسٹ کردہ ٹروجنائزڈ ورژن کے ساتھ تبدیل کرنے کی کوشش کی۔
AI کی مدد سے تجزیہ پتہ لگانے اور ردعمل کو تیز کرتا ہے۔
Bybit نے کہا کہ اس کے SOC نے پورے مالویئر تجزیہ لائف سائیکل میں AI کی مدد سے کام کے بہاؤ کا فائدہ اٹھایا، تجزیاتی گہرائی کو برقرار رکھتے ہوئے ردعمل کے اوقات کو نمایاں طور پر کم کیا۔ ابتدائی ٹرائیج اور Mach-O نمونے کی درجہ بندی منٹوں میں مکمل ہو گئی تھی، جس میں AI ماڈلز معلوم میلویئر خاندانوں کے ساتھ رویے کی مماثلت کو جھنجھوڑ رہے تھے۔
کمپنی کے مطابق، AI کی مدد سے ریورس انجینئرنگ اور کنٹرول فلو تجزیہ نے دوسرے مرحلے کے پچھلے دروازے کے گہرے معائنے کو تخمینہ چھ سے آٹھ گھنٹے سے کم کر کے 40 منٹ سے کم کر دیا۔ خودکار نکالنے والی پائپ لائنوں نے سمجھوتہ کے اشارے کی نشاندہی کی، بشمول کمانڈ اینڈ کنٹرول انفراسٹرکچر، فائل کے دستخط، اور طرز عمل کے نمونے، جو خطرے کے قائم کردہ فریم ورک کے ساتھ نقش کیے گئے تھے۔
ان صلاحیتوں نے پتہ لگانے کے اقدامات کی ایک ہی دن کی تعیناتی کو فعال کیا۔ AI کی مدد سے حکمرانی کی نسل نے خطرے کے دستخطوں اور اختتامی نقطہ کا پتہ لگانے کے قواعد کی تخلیق کی حمایت کی، جنہیں تجزیہ کاروں نے پیداواری ماحول میں دھکیلنے سے پہلے توثیق کیا تھا۔ بائیبٹ نے کہا کہ AI سے تیار کردہ رپورٹنگ ڈرافٹ نے ٹرن آراؤنڈ ٹائم کو کم کیا، جس سے خطرے کی انٹیلی جنس آؤٹ پٹ کو روایتی ورک فلو کے مقابلے میں تقریباً 70 فیصد تیزی سے حتمی شکل دی جا سکتی ہے۔
"اس قسم کی میلویئر مہم کو عوامی طور پر دستاویز کرنے والے پہلے کرپٹو ایکسچینجز میں سے ایک کے طور پر، ہم سمجھتے ہیں کہ ان نتائج کو شیئر کرنا پوری صنعت میں اجتماعی دفاع کو مضبوط بنانے کے لیے اہم ہے،" ڈیوڈ زونگ، ہیڈ آف گروپ رسک کنٹرول اینڈ سیکیورٹی نے کہا۔ "ہماری AI کی مدد سے SOC ہمیں ایک ہی آپریشنل ونڈو کے اندر پتہ لگانے سے مکمل کِل چین کی مرئیت کی طرف جانے کی اجازت دیتا ہے۔ جس چیز کے لیے تجزیہ کاروں کی ایک ٹیم کو متعدد شفٹوں میں کام کرنے کی ضرورت ہوتی تھی - ڈی کمپائلیشن، IOC نکالنا، رپورٹ ڈرافٹنگ، قاعدہ لکھنا — ایک ہی سیشن میں مکمل کیا گیا تھا جس میں AI ہیوی لفٹنگ کو ہینڈل کر رہا تھا اور ہمارے تجزیہ کاروں کو مستقبل میں AI کا سامنا کرنا پڑے گا۔ AI کے خلاف دفاع کے لیے AI کا استعمال ایک ناگزیر رجحان ہے۔
میلویئر نے ماحول کی ایک وسیع رینج کو نشانہ بنایا، بشمول کرومیم پر مبنی براؤزرز، فائر فاکس ویریئنٹس، سفاری ڈیٹا، ایپل نوٹس، اور مقامی فائل ڈائریکٹریز جو عام طور پر حساس مالی یا تصدیقی معلومات کو ذخیرہ کرنے کے لیے استعمال ہوتی ہیں۔
بائیبٹ نے کہا کہ اس نے مہم سے وابستہ متعدد ڈومینز اور کمانڈ اینڈ کنٹرول اینڈ پوائنٹس کی نشاندہی کی، جن میں سے سبھی کو عوامی افشاء کے لیے روک دیا گیا ہے۔ تجزیہ نے اشارہ کیا کہ حملہ آوروں نے مستقل رابطوں کے بجائے وقفے وقفے سے HTTP پولنگ پر انحصار کیا، جس سے پتہ لگانے کو مزید مشکل بنا دیا گیا۔
Bybit کے مطابق، مہم سے منسلک نقصان دہ انفراسٹرکچر کی نشاندہی 12 مارچ کو ہوئی۔ مکمل تجزیہ، تخفیف، اور اندرونی پتہ لگانے کے اقدامات c