कोलेबोरेटर ट्रैप: अपने मित्र के बॉट का 'परीक्षण' क्यों न करें
सारांश (Summary): सोशल इंजीनियरिंग केवल नकली नौकरियों के बारे में नहीं है; यह नकली दोस्ती के बारे में है। यह लेख Discord/Telegram में "help me fix a bug" घोटाले की जांच करता है। हमलावर डेवलपर्स को दुर्भावनापूर्ण रिपॉजिटरी क्लोन करने के लिए सहयोग (Collaboration) का उपयोग करते हैं।
1. दृष्टिकोण: "क्या आप इस बग के साथ मदद कर सकते हैं?"
आप एक लोकप्रिय Web3 लाइब्रेरी (जैसे Ethers.js या Hardhat) के Discord चैनल में हैं। एक उपयोगकर्ता आपको DM करता है या सार्वजनिक चैट में पिंग करता है:
“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”
वे पैसे नहीं मांगते। वे रिकवरी फ्रेज़ नहीं मांगते। वे आपकी जिज्ञासा और मदद करने की इच्छा की अपील करते हैं।
वे GitHub का लिंक भेजते हैं। यह एक मानक Hardhat प्रोजेक्ट जैसा दिखता है।
2. पेलोड: "टेस्ट" स्क्रिप्ट
आप रिपॉजिटरी को क्लोन (clone) करते हैं। आप contracts/ फोल्डर चेक करते हैं। Solidity सामान्य लगती है - शायद थोड़ी गन्दी, लेकिन सुरक्षित।
स्कैमर कहता है: "Try running the test script, the error pops up there."
आप टाइप करते हैं:
npm install
npx hardhat test
खेल खत्म।
जैसे ही परीक्षण चलता है और कंसोल में नकली "गैस" त्रुटि प्रिंट करता है, पृष्ठभूमि में एक प्रक्रिया (थोड़ा संशोधित निर्भरता या अस्पष्ट test.js फ़ाइल में छिपी हुई) ने पहले ही:
~/.configफोल्डर को स्कैन कर लिया है।browser_data(Chrome/Brave स्थानीय स्थिति) पा लिया है।- सहेजे गए पासवर्ड और MetaMask वाल्ट्स को डिक्रिप्ट कर लिया है।
- हैंडशेक को रिमोट सर्वर पर अपलोड कर दिया है।
3. "गेम टेस्टर" विविधता
गेमर्स को टार्गेट करने वाला एक और सामान्य संस्करण:
“हम एक Web3 गेम (जैसे Axie/Pixels) बना रहे हैं और बीटा टेस्टर्स की आवश्यकता है। 20 मिनट खेलने के लिए $100 ETH का भुगतान करेंगे।”
वे एक .exe फ़ाइल या इंस्टॉलर भेजते हैं।
स्कैम: गेम असली है (अक्सर चोरी हुआ Unity एसेट), लेकिन इंस्टॉलर "क्लिपर मैलवेयर" (Clipper Malware) छोड़ता है।
- क्लिपर (Clipper): यह आपके क्लिपबोर्ड को देखता है। जब आप पैसे भेजने के लिए वॉलेट एड्रेस कॉपी करते हैं, तो यह उसे तुरंत हमलावर के एड्रेस से बदल देता है। आप बिना देखे हमलावर को फंड भेज देते हैं।
4. नकली "कोलेबोरेटर" को कैसे पहचानें
- "निजी" रिपॉजिटरी: वैध ओपन सोर्स मदद सार्वजनिक Issues में होती है, DMs या ZIP फ़ाइलों में नहीं।
- अस्पष्ट कोड: यदि आप एक फ़ाइल (जैसे
lib/utils.js) देखते हैं जो यादृच्छिक वर्णों (var _0x5a1...) की एक लंबी लाइन है, तो इसे तुरंत हटा दें। - दौड़ने का दबाव: यदि आप कहते हैं "मैं पहले कोड पढूंगा" और वे नाराज हो जाते हैं - उन्हें ब्लॉक करें।
5. रक्षा प्रोटोकॉल: सैंडबॉक्स (Sandbox)
अपने मुख्य मशीन पर लोगों की "मदद" न करें।
- Replit / CodeSandbox का उपयोग करें: क्लाउड वातावरण में उनकी रेपो आयात करें। यदि मैलवेयर है, तो यह क्लाउड कंटेनर को संक्रमित करता है, आपके पीसी को नहीं।
- VM आइसोलेशन: संक्रामक साक्षात्कार गाइड की तरह, किसी भी कोड के लिए एक वर्चुअल मशीन का उपयोग करें जिसे आपने नहीं लिखा था।
- स्क्रिप्ट ऑडिट:
npm installचलाने से पहले हमेशाpackage.jsonमें स्क्रिप्ट पढ़ें।
यह भी देखें: YouTube पर "अमीर बनने की त्वरित" ट्यूटोरियल से सावधान रहें - वे अक्सर प्रच्छन्न MEV बॉट स्कैम होते हैं।
निष्कर्ष
ओपन सोर्स में, विश्वास कमाया जाता है, दिया नहीं जाता है। "टूटा हुआ बॉट" किताब में सबसे पुरानी चाल है। यदि कोई मदद चाहता है, तो उसे कोड स्निपेट या Gist पोस्ट करने दें - कभी भी किसी अजनबी की रेपो क्लोन न करें।
संबंधित लेख
द लॉन्ग कॉन (Pig Butchering): कैसे वे आपका दिल और वॉलेट चुराते हैं
'गलत नंबर' वाले टेक्स्ट से शुरू होता है। आपकी सेवानिवृत्ति (Retirement) के नुकसान के साथ समाप्त होता है। 'Pig Butchering' घोटाले की मनोवैज्ञानिक स्क्रिप्ट का विश्लेषण।
जहाँ खेलते हो वहाँ ट्रेड मत करो: आपको अलग क्रिप्टो लैपटॉप की आवश्यकता क्यों है
आपका गेमिंग पीसी छिद्रों (holes) से भरा है। आपका फोन ट्रैकर्स से भरा है। क्यों एक अलग 'बैंकिंग डिवाइस' पर $200 खर्च करना सबसे अच्छा बीमा है जो आप खरीद सकते हैं।
हिडन बैकडोर (Hidden Backdoor): आपको अनुमतियां रद्द करने की आवश्यकता क्यों है
आपने अपना वॉलेट डिस्कनेक्ट कर दिया, लेकिन हैकर अभी भी इसे खाली कर सकता है। जानें कि 'अनलिमिटेड अप्रूवल्स' कैसे काम करते हैं और डिजिटल बैकडोर को कैसे लॉक करें।