GlassWorm एक साल तक VS Code एक्सटेंशन में छिपा रहा, फिर ध्वस्त हुआ

एक साल से ज़्यादा समय तक, आपके फ़ोन की ऐप्स बनाने वाले कुछ डेवलपर, बिना जाने, किसी और के लिए काम कर रहे थे। GlassWorm नाम का एक नुकसानदेह प्रोग्राम दुनिया के सबसे ज़्यादा इस्तेमाल होने वाले कोड एडिटर Visual Studio Code के एक्सटेंशन में, और उन ओपन-सोर्स पैकेज में बैठा था जिन्हें ये डेवलपर रोज़ अपने प्रोजेक्ट में लाते हैं। यह उनके पासवर्ड बटोरता, उनके अकाउंट हड़पता और उन्हीं के ज़रिए और भी सॉफ़्टवेयर में खुद को बो देता था। CrowdStrike, Google और Shadowserver Foundation ने अब उसकी डोरें काट दी हैं।

यह उन लोगों के लिए भी मायने रखता है जिन्होंने कभी कोड एडिटर नहीं खोला, क्योंकि सॉफ़्टवेयर की सप्लाई चेन ठीक यही है, एक श्रृंखला। फ़ोन की मैसेजिंग ऐप, बैंक की ऐप, कंसोल का गेम, ये सब हज़ारों छोटे ओपन-सोर्स टुकड़ों पर टिके हैं जिन्हें दूसरे लोग लिखते और संभालते हैं। उनमें से एक टुकड़े को ज़हरीला कर दीजिए और ज़हर बहाव के साथ नीचे, उन तैयार उत्पादों तक पहुँच सकता है जिन्हें करोड़ों लोग इस्तेमाल करते हैं। GlassWorm को इसी धारा पर बिना दिखे सवार होने के लिए बनाया गया था।

इसे अलग करती थी इसकी छिपने की तरकीब। इसके संचालक नुकसानदेह निर्देशों को अदृश्य Unicode अक्षरों में लिखते थे, ऐसा कोड जो एडिटर में खाली जगह जैसा दिखता है, इसलिए फ़ाइल की समीक्षा करता डेवलपर कुछ भी गड़बड़ नहीं देख पाता था। इस अभियान को सबसे पहले पहचानने वाले Koi Security के शोधकर्ताओं ने इसे कोड-एडिटर एक्सटेंशन के ज़रिए खुद फैलने वाला पहला वर्म बताया। हर संक्रमित मशीन अगली मशीन का शुरुआती बिंदु बन जाती थी।

सप्लाई चेन पर ज़्यादातर हमले झपट्टा मार होते हैं: एक ज़हरीला पैकेज पकड़ा जाता है, हटाया जाता है और कुछ ही दिनों में ठीक कर दिया जाता है। GlassWorm टिकने के लिए बना था। चूँकि वह फैलने के लिए ज़रूरी साख खुद चुराता था, इसलिए किसी एक एक्सटेंशन के हटने के बहुत बाद तक भी वह खुद को दोबारा बो सकता था, और इसी तरह एक ही अभियान एक साल से ज़्यादा में सैकड़ों प्रोजेक्ट और हज़ारों डाउनलोड तक पहुँच गया।

संक्रमण के रास्ते आधुनिक सॉफ़्टवेयर काम की रोज़मर्रा की पाइपलाइन थे। संचालक जाल बिछाए एक्सटेंशन Open VSX पर चढ़ाते थे, वह बाज़ार जो VS Code और उसके चचेरे भाइयों Cursor, Windsurf, Positron और VSCodium को खिलाता है, और जिन्हें टाइम ट्रैकर या कोड फ़ॉर्मैटर जैसे मासूम औज़ारों का भेस दिया जाता था। वे npm और Python के पैकेज इंडेक्स के पैकेजों में अपने आप चलने वाली इंस्टॉल स्क्रिप्ट के ज़रिए छेड़ा हुआ कोड घुसाते थे, और पहले के शिकारों से ली गई साख से GitHub के 300 से ज़्यादा रिपॉज़िटरी की मुख्य ब्रांच में ज़बरदस्ती नुकसानदेह बदलाव ठेल देते थे। किसी मशीन में घुसते ही GlassWorm चाबियाँ ढूँढ़ता था: npm टोकन, GitHub लॉगिन, वे पब्लिशिंग टोकन जो डेवलपर को एक्सटेंशन चढ़ाने देते हैं, और क्रिप्टो वॉलेट। यह संक्रमित कंप्यूटरों को दूसरे आपराधिक ट्रैफ़िक के लिए रिले सर्वर बना देता था, और कुछ मामलों में एक छिपा हुआ रिमोट-एक्सेस सॉफ़्टवेयर डाल देता था जो संचालकों को स्क्रीन का सीधा नज़ारा दे देता था।

इसे गिराने के लिए उस तरीके पर वार करना ज़रूरी था जिससे संचालक अपनी मशीनों से जुड़े रहते थे, और यहीं GlassWorm को टिके रहने के लिए बनाया गया था। एक ऐसे अकेले कमांड सर्वर पर निर्भर रहने के बजाय जिसका प्लग निकाला जा सके, यह एक साथ चार चैनल इस्तेमाल करता था। एक चैनल अपने निर्देश Solana ब्लॉकचेन के लेन-देन के भीतर कोड कर देता था, एक ऐसा सार्वजनिक बही-खाता जिसे स्थायी और पहुँच से बाहर रहने के लिए बनाया गया है। दूसरा कॉन्फ़िगरेशन को फ़ाइल-शेयरिंग नेटवर्क BitTorrent में छिपाता था। तीसरा कोडित वेब पते Google Calendar के इवेंट के शीर्षकों में ठूँस देता था। चौथा एक मामूली किराए का सर्वर था। CrowdStrike की Counter Adversary Operations टीम ने Google और Shadowserver के साथ मिलकर इस पूरे सेट को एक ही समन्वित वार में काट दिया।

डोरें काटना घाव साफ़ करने जैसा नहीं है। चैनल काटने से संचालक नए आदेश और नई पेलोड नहीं भेज पाते, पर इससे GlassWorm उन मशीनों से ज़रा भी नहीं हटता जिन पर उसका कब्ज़ा पहले से है, और जो पासवर्ड वह पहले ही ले चुका है वह लिया हुआ ही रहता है। यह अभियान का पहला व्यवधान भी नहीं है। Koi Security के पर्दाफ़ाश के बाद GlassWorm लौटा, एक बार दो दर्जन नए नुकसानदेह एक्सटेंशन के साथ और महीनों बाद दर्जनों और के साथ। ब्लॉकचेन वाला वह चैनल जिसे शोधकर्ता गिराना असंभव बताते थे, अब गिरा दिया गया है, पर इसके पीछे के लोग बार-बार दिखा चुके हैं कि वे दोबारा खड़ा कर लेते हैं।

जाँचकर्ताओं का मानना है कि संचालक संभवतः रूस में हैं। यह प्रोग्राम चालू होते ही कंप्यूटर की भाषा और टाइम-ज़ोन सेटिंग जाँचता है और अगर खुद को रूस या पूर्व सोवियत क्षेत्र के किसी पड़ोसी देश के सिस्टम पर पाता है तो चुपचाप बंद हो जाता है, उन आपराधिक गिरोहों की जानी-पहचानी पहचान जो इसी क्षेत्र से काम करते हैं और स्थानीय शिकारों से बचते हैं। CrowdStrike ने इस बदलाव को सीधे शब्दों में कहा: हमलावर अब सिर्फ़ उत्पादों को नहीं, उन्हें बनाने वाले डेवलपरों को निशाना बना रहे हैं। Shadowserver Foundation ने प्रभावित संगठनों को सूचित करना शुरू कर दिया है ताकि वे अपने सिस्टम साफ़ करें और हर वह साख बदलें जो लीक हुई हो सकती है, और श्रृंखला में नीचे मौजूद सबके लिए असली काम अब शुरू होता है, जब टीमें जाँचती हैं कि उन्होंने 2025 की शुरुआत से कौन-कौन से एक्सटेंशन और पैकेज इंस्टॉल किए। बुनियादी ढाँचा बुझ चुका है। सफ़ाई अभी मुश्किल से शुरू हुई है।