डेमन टूल्स सप्लाई चेन अटैक

साइबर सुरक्षा शोधकर्ताओं ने डेमन टूल्स इंस्टॉलर से जुड़े एक परिष्कृत सप्लाई चेन हमले का पर्दाफाश किया है। हमलावरों ने वैध डेमन टूल्स वेबसाइट के माध्यम से वितरित आधिकारिक विंडोज इंस्टॉलर को सफलतापूर्वक हैक कर लिया और डिजिटल रूप से हस्ताक्षरित सॉफ़्टवेयर पैकेजों में दुर्भावनापूर्ण कोड डाल दिया। चूंकि इंस्टॉलर में प्रामाणिक डेवलपर प्रमाणपत्र थे, इसलिए मैलवेयर विश्वसनीय प्रतीत हुआ और आसानी से पारंपरिक सुरक्षा प्रणालियों को भेद गया।

प्रभावित इंस्टॉलर संस्करण 12.5.0.2421 से 12.5.0.2434 तक थे, और इस दुर्भावनापूर्ण गतिविधि का पता 8 अप्रैल, 2026 से लगाया जा सकता है। केवल विंडोज संस्करण ही प्रभावित हुआ था, जबकि मैक संस्करण अप्रभावित रहा। घटना के खुलासे के बाद, डेवलपर AVB Disc Soft ने संस्करण 12.6.0.2445 जारी किया, जिसमें दुर्भावनापूर्ण कार्यक्षमता को हटा दिया गया है और इस उल्लंघन को ठीक कर दिया गया है।

वैध प्रक्रियाओं के भीतर छिपे दुर्भावनापूर्ण घटक

जांचकर्ताओं ने पाया कि हमलावरों ने DAEMON टूल्स के तीन महत्वपूर्ण घटकों को संशोधित किया था:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

जब भी इनमें से कोई बाइनरी लॉन्च होती थी, आमतौर पर सिस्टम स्टार्टअप के दौरान, तो यह संक्रमित मशीन पर एक छिपे हुए इम्प्लांट को सक्रिय कर देती थी। यह इम्प्लांट 27 मार्च, 2026 को पंजीकृत एक बाहरी डोमेन, env-check.daemontools.cc के साथ संचार करता था, ताकि विंडोज cmd.exe प्रक्रिया के माध्यम से निष्पादित शेल कमांड प्राप्त कर सके।

डाउनलोड किए गए कमांड ने अतिरिक्त मैलवेयर तैनाती को ट्रिगर किया, जिससे हमलावरों को विश्वसनीय सॉफ़्टवेयर व्यवहार के भीतर छिपे रहते हुए समझौता किए गए सिस्टम पर नियंत्रण बढ़ाने में मदद मिली।

बहु-चरणीय मैलवेयर तैनाती से चिंता बढ़ गई है।

इस हमले में जासूसी, निरंतर निगरानी और दूरस्थ नियंत्रण के लिए डिज़ाइन किए गए कई द्वितीयक पेलोड शामिल थे। तैनात फाइलों में निम्नलिखित शामिल थे:

envchk.exe — एक .NET आधारित जासूसी उपकरण है जो विस्तृत सिस्टम जानकारी एकत्र करने में सक्षम है।
cdg.exe और cdg.tmp — ये ऐसे घटक हैं जिनका उपयोग फ़ाइलों को डाउनलोड करने, शेल कमांड निष्पादित करने और सीधे मेमोरी में शेलकोड चलाने में सक्षम एक हल्के बैकडोर को डिक्रिप्ट और लॉन्च करने के लिए किया जाता है।

सुरक्षा विश्लेषकों ने QUIC RAT नामक रिमोट एक्सेस ट्रोजन की मौजूदगी का भी पता लगाया है। यह मैलवेयर HTTP, TCP, UDP, DNS, WSS, QUIC और HTTP/3 सहित कई कमांड-एंड-कंट्रोल (C2) संचार विधियों का समर्थन करता है। इसके अलावा, यह नोटपैड.exe और कॉनहोस्ट.exe जैसी वैध विंडोज प्रक्रियाओं में दुर्भावनापूर्ण पेलोड इंजेक्ट कर सकता है, जिससे इसका पता लगाना काफी मुश्किल हो जाता है।

हजारों लोग प्रभावित हुए, लेकिन केवल चुनिंदा पीड़ितों को ही निशाना बनाया गया

शोधकर्ताओं ने रूस, ब्राजील, तुर्की, जर्मनी, फ्रांस, इटली, स्पेन और चीन सहित 100 से अधिक देशों में प्रभावित इंस्टॉलर से जुड़े कई हजार संक्रमण प्रयासों का अवलोकन किया। व्यापक संक्रमण प्रसार के बावजूद, केवल सीमित संख्या में सिस्टम को ही उन्नत बैकडोर पेलोड प्राप्त हुआ, जो एक अत्यधिक चयनात्मक लक्ष्यीकरण रणनीति का संकेत देता है।

यह मैलवेयर रूस, बेलारूस और थाईलैंड में खुदरा, वैज्ञानिक अनुसंधान, सरकारी, विनिर्माण और शैक्षिक क्षेत्रों में कार्यरत संगठनों में पाया गया। QUIC RAT संक्रमण का एक पुष्ट मामला विशेष रूप से रूस के एक शैक्षणिक संस्थान को लक्षित कर रहा था।

इस चयनात्मक तैनाती से स्पष्ट संकेत मिलता है कि अभियान अंधाधुंध सामूहिक संक्रमण के बजाय सटीक लक्ष्यीकरण के लिए तैयार किया गया था। हालांकि, शोधकर्ताओं ने अभी तक यह निर्धारित नहीं किया है कि हमलावरों का इरादा साइबर जासूसी अभियान चलाना था या वित्तीय लाभ के लिए बड़े पैमाने पर हमले करना था।

सबूत एक परिष्कृत चीनी भाषी खतरे के कर्ता की ओर इशारा करते हैं।

हालांकि किसी ज्ञात खतरे वाले समूह को आधिकारिक तौर पर इस ऑपरेशन से नहीं जोड़ा गया है, लेकिन मैलवेयर के सबूतों के फोरेंसिक विश्लेषण से चीनी भाषा बोलने वाले किसी विरोधी की संलिप्तता का संकेत मिलता है। घुसपैठ की जटिलता, साथ ही आधिकारिक विक्रेता चैनल के माध्यम से वितरित हस्ताक्षरित सॉफ़्टवेयर को भेदने की क्षमता, उन्नत आक्रामक क्षमताओं और दीर्घकालिक परिचालन योजना को दर्शाती है।

डेमन टूल्स में हुई इस गड़बड़ी ने 2026 की पहली छमाही में देखे गए सॉफ्टवेयर सप्लाई चेन हमलों की बढ़ती लहर में एक और कड़ी जोड़ दी है। इससे पहले जनवरी में ईस्कैन, फरवरी में नोटपैड++ और अप्रैल में सीपीयूआईडी को इसी तरह की घटनाओं का सामना करना पड़ा था।

आपूर्ति श्रृंखला पर हमले इतने खतरनाक क्यों होते हैं?

आपूर्ति श्रृंखला में होने वाली गड़बड़ियां विशेष रूप से खतरनाक होती हैं क्योंकि वे उपयोगकर्ताओं के वैध सॉफ़्टवेयर विक्रेताओं पर रखे गए अंतर्निहित विश्वास का फायदा उठाती हैं। आधिकारिक वेबसाइटों से सीधे डाउनलोड किए गए और वैध डिजिटल प्रमाणपत्रों से हस्ताक्षरित एप्लिकेशन को उपयोगकर्ता या सुरक्षा उत्पाद शायद ही कभी संदिग्ध मानते हैं।

इस मामले में, कथित तौर पर लगभग एक महीने तक दुर्भावनापूर्ण गतिविधि का पता नहीं चल पाया, जिससे हमलावरों की चालाकी और पारंपरिक परिधि-आधारित सुरक्षा उपायों की कमियां उजागर होती हैं। सुरक्षा विशेषज्ञ इस बात पर ज़ोर देते हैं कि प्रभावित DAEMON Tools संस्करणों का उपयोग करने वाले संगठनों को प्रभावित सिस्टमों को तुरंत अलग कर लेना चाहिए और कॉर्पोरेट नेटवर्क के भीतर संभावित पार्श्व गतिविधि या अतिरिक्त दुर्भावनापूर्ण गतिविधि की पहचान करने के लिए व्यापक खतरे की जांच अभियान चलाना चाहिए।

विक्रेता की प्रतिक्रिया और अनुशंसित निवारण उपाय

AVB Disc Soft ने कहा कि यह उल्लंघन सॉफ्टवेयर के लाइट संस्करण तक ही सीमित प्रतीत होता है और पुष्टि की कि घटना के पूर्ण दायरे और मूल कारण का पता लगाने के लिए एक जांच जारी है।

प्रभावित समयावधि के दौरान DAEMON Tools Lite संस्करण 12.5.1 डाउनलोड या इंस्टॉल करने वाले उपयोगकर्ताओं को दृढ़ता से सलाह दी जाती है कि वे सॉफ़्टवेयर को तुरंत हटा दें, विश्वसनीय सुरक्षा उपकरणों का उपयोग करके पूर्ण एंटीवायरस और एंडपॉइंट सुरक्षा स्कैन करें, और केवल आधिकारिक DAEMON Tools वेबसाइट से प्राप्त नवीनतम स्वच्छ संस्करण को पुनः इंस्टॉल करें।