मुख्य सामग्री पर जाएँ
समाचार पर वापस
बहु-मामला जांच

ठग हैकर नहीं हैं: 4 बैकएंड्स का विश्लेषण, सभी आसानी से समझौता किए गए

Firebase · Supabase · Express.js · Drainer-as-a-Service · फरवरी 2026

घोटाले का ढांचा बेनकाब
19,000+
बीज वाक्यांश चोरी हुए (1 अभियान)
4
बैकएंड्स पूरी तरह से एक्सेस किए गए
0
प्रमाणीकरण आवश्यक है
267+
लिंक्ड फ़िशिंग डोमेन

 अस्वीकरण: विश्लेषण, हमला नहीं

इस लेख में प्रस्तुत की गई हर चीज़ का परिणाम है निष्क्रिय विश्लेषण और सार्वजनिक रूप से सुलभ डेटा. कोई भी सिस्टम नहीं तोड़ा गया। कोई प्रमाणीकरण बाईपास नहीं किया गया। प्रत्येक मामले में, घोटालेबाजों की अपनी गलत कॉन्फ़िगरेशन ने उनके बुनियादी ढांचे, पीड़ितों के डेटा और परिचालन पहचान को उन सभी के सामने उजागर कर दिया जो बस देख रहे थे। हर API कुंजी सार्वजनिक जावास्क्रिप्ट बंडलों में पाई गई। हर डेटाबेस ऑपरेटरों की अपनी ही योजना के कारण पूरी तरह से खुला था। हम इसे हमला करने के लिए नहीं बल्कि यह दिखाने के लिए दस्तावेज़ित कर रहे हैं कि जो लोग आपका क्रिप्टो चुरा रहे हैं अपने ही उपकरणों को भी सुरक्षित नहीं रख सकते.

 मुख्य थीसिस: चोरी किए गए उपकरणों वाले स्क्रिप्ट किड्स

जनमानस में एक लगातार बनी रहने वाली मिथक है कि ऑनलाइन ठग "हैकर" होते हैं — तकनीकी मास्टरमाइंड जो कुशलता और परिष्कार के साथ सिस्टम में घुसपैठ करते हैं। यह गलत है।

आधुनिक क्रिप्टो ठग हैं खरीदे हुए टूलकिट का उपयोग करने वाले स्क्रिप्ट किडीवे $200–$500 में "ड्रेनर-एज़-ए-सर्विस" पैकेज खरीदते हैं, उन्हें मुफ्त या सस्ती होस्टिंग पर तैनात करते हैं, और प्रार्थना करते हैं कि उनके शिकारों को इसका पता न चले। वे कोड नहीं लिखते। वे नेटवर्किंग नहीं समझते। वे निश्चित रूप से सुरक्षा नहीं समझते।

हमें यह पता है क्योंकि फरवरी 2026 में, PhishDestroy ने विश्लेषण किया 4 स्वतंत्र घोटाला संचालन — और हर एक मामले में, हम कर सकते थे:

कोई एक्सप्लॉइट्स की ज़रूरत नहीं। कोई ज़ीरो-डे नहीं। कोई "हैकिंग" नहीं। बस उन्होंने जो सामने का दरवाज़ा खुला छोड़ दिया था, उसे खोलकर.

 मामला 1: द फैंटम एपीआई — server0002.mn19indexpre.xyz

 अपाचे पर एक्सप्रेस.जेएस, शून्य वास्तविक सुरक्षा

प्रमाणीकरण नहींइनपुट सत्यापन नहींकोई दर सीमा नहींसीओआरएस: *
पैरामीटरमूल्य
डोमेनserver0002.mn19indexpre.xyz
आईपी पता108.181.185.225
सर्वर स्टैकएपाची/2.4.58 (उबंटू) → एक्सप्रेस.जेएस (नोड.जेएस)
एसएसएच बैनरSSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
टीएलएस जारीकर्तालेट्स एन्क्रिप्ट (E7), वैध जनवरी–अप्रैल 2026
डीएनएस रजिस्ट्रारगॉडैडी (ns39/ns40.domaincontrol.com)
ईमेल (एमएक्स)mn19indexpre-xyz.mail.protection.outlook.com
माइक्रोसॉफ्ट टेनेंटNETORGFT19090185.onmicrosoft.com
पोर्ट्स खोलें22 (SSH), 80 (HTTP→301), 443 (HTTPS)

 प्रमाणीकरण — एक मज़ाक

API एक हार्डकोडेड बेयरर टोकन के साथ आती है: thisisakeyforsecureserver. लेकिन असली मज़ा तो यहाँ है — टोकन वास्तव में सत्यापित नहीं है।:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted अधिकृत: धारक wrong_token_completely → {"success":true}// Any content type → also accepted सामग्री-प्रकार: पाठ/xml, पाठ/सादा, बहुखंड/फ़ॉर्म-डेटा → {"success":true}

 शून्य इनपुट सत्यापन

हमारे द्वारा परीक्षण किए गए प्रत्येक इंजेक्शन पेलोड को चुपचाप स्वीकार कर लिया गया:

// SQL injection विषय: या 1=1--स्वीकार किया गया विषय: '; DROP TABLE messages;--स्वीकार किया गया// SSTI (Server-Side Template Injection) विषय: "{{7*7}}"स्वीकार किया गया विषय: "{{config}}"स्वीकार किया गया विषय: "{{self.__class__}}"स्वीकार किया गया// SSRF (Server-Side Request Forgery) डोमेन: "http://169.254.169.254/latest/meta-data/"स्वीकार किया गया डोमेन: फ़ाइल:///etc/passwdस्वीकार किया गया// XSS stored payload विषय: <script>alert(1)</script>स्वीकार किया गया

 प्रदर्शन फिंगरप्रिंट

POST पर पेलोड आकार (10 बाइट से 10 एमबी तक स्वीकार) की परवाह किए बिना लगभग 7.5 सेकंड का स्थिर प्रतिक्रिया समय, जो बैकएंड पर ईमेल फॉरवर्डिंग या वेबहुक रिले का संकेत देता है। GET 0.6 सेकंड में प्रतिक्रिया देता है। 10 समानांतर अनुरोध 9.1 सेकंड में पूरे होते हैं — कोई रेट लिमिटिंग लागू नहीं है।

 अनामत्व हटाने की संभावना

माइक्रोसॉफ्ट 365 टेनेंट आईडी NETORGFT19090185 है एक संगठन खाते का सीधा लिंक जिसने इस डोमेन को पंजीकृत किया। GoDaddy पंजीकरण रिकॉर्ड और एक समर्पित आईपी (सीडीएन के पीछे नहीं) के साथ मिलाकर, यह ऑपरेटर है आसानी से पहचाने जाने योग्य कानूनी चैनलों के माध्यम से। एसपीएफ रिकॉर्ड (include:secureserver.net) GoDaddy ईमेल होस्टिंग की पुष्टि करता है — सभी ईमेल मेटाडेटा सबपोना के माध्यम से सुलभ हैं।

 मामला 2: फायरबेस वाइड ओपन — web3ledgar.com

 शून्य सुरक्षा नियमों के साथ फायरस्टोर

फायरस्टोर नियम: खुलासभी पीड़ितों का डेटा पठनीयपब्लिक JS में API कुंजी12 पीड़ित बेनकाब
पैरामीटरमूल्य
फ़िशिंग डोमेनweb3ledgar.com ("लेजर" का टाइपोस्क्वाट)
वैकल्पिक डोमेनweb3.ledgerscore.ltd
फ़ायरबेस प्रोजेक्टweb3ledger-210ab
एपीआई कुंजीAIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
ऐप आईडी1:1054258933515:web:9fb193fcd0093023f7fc0e
जेएस बंडल/static/js/main.7a5ec2fa.js
फ़ायरस्टोर नियमपूरी तरह खुला — प्रमाणीकरण रहित पठन/लेखन
कुल पीड़ित12 रिकॉर्ड्स में users संग्रह
संग्रह मिलेusers, transactions

 पीड़ित डेटा — किसी के लिए भी पूरी तरह सुलभ

Firestore REST API को एक एकल प्रमाणीकृत नहीं GET अनुरोध लौटा हर चोरी किया गया सीड वाक्यांश:

GET /v1/projects/web3ledger-210ab/databases/(डिफ़ॉल्ट)/documents/users?pageSize=300 → 200 ठीक→ कुल दस्तावेज़: 12// Sample victim record (seed phrase redacted for safety) { वॉलेट आईडी: डब्ल्यू3एल-65285520, वॉलेट का प्रकार: वॉलेटकनेक्ट, ईमेल: [संपादित]@gmail.com, बीज वाक्यांश: "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", निर्मित समय: २०२६-०२-१५टी००:१४:५२.८०४जेड, स्थिति: सक्रिय }

12 रिकॉर्डों में एक महत्वपूर्ण प्रविष्टि थी — किसी ने पहले ही सिस्टम का परीक्षण कर लिया था fbi@fbi.gov जैसा कि ईमेल में था। ठग ने या तो अपनी ही प्रणाली का परीक्षण किया (पहचान के लिए उपयोगी) या किसी और ने पहले ही इसकी जाँच कर ली थी।

 हमला प्रवाह

फ़िशिंग साइट लेजर के वॉलेट इंटरफ़ेस की नकल करती है। पीड़ित "Connect Wallet" पर क्लिक करता है → सीड फ़्रेज़ दर्ज करता है → React फ्रंटएंड सीधे Firestore में लिखता है → स्कैमर उसी खुले डेटाबेस को पढ़ता है। बिलकुल भी कोई बैकएंड सर्वर नहीं। पूरा संचालन गूगल की मुफ्त परत पर चलता है।

 अनामत्व हटाने की संभावना

फ़ायरबेस प्रोजेक्ट आईडी web3ledger-210ab और ऐप आईडी 1:1054258933515 हैं Google खाते से जुड़ा हुआ. Google सभी Firebase परियोजनाओं के लिए बिलिंग रिकॉर्ड, IP लॉग और खाता निर्माण डेटा रखता है। Google को एक ही कानून प्रवर्तन अनुरोध से ऑपरेटर की पहचान का पता चल जाता है। इसके अलावा, Firestore नियमों का पूरी तरह से खुला होना मतलब है हम उनके डेटाबेस में रिकॉर्ड दर्ज कर सकते थे।, पीड़ितों को वास्तविक समय में सूचित किया, या पूरे संग्रह को मिटा दिया।

 केस 3: सुपैसबे फुल CRUD — web3safe-pal.com

 पंक्ति-स्तर की सुरक्षा अक्षम, GraphQL पूरी तरह खुला

आरएलएस विकलांगपूर्ण कच्चा पहुँचग्राफ़क्यूएल सक्षमएज फ़ंक्शन्स प्रकटरूसी स्थानीयकरण
पैरामीटरमूल्य
फ़िशिंग डोमेनweb3safe-pal.com (सेफपाल का टाइपोस्क्वाट)
सुपेबेस प्रोजेक्टgzqsadraigchwdhblavp
अनाम कुंजी में प्रदर्शित /assets/index-b025f4a6.js (748 केबी)
डेटाबेस तालिकाseeds — खोलें, डालें, अपडेट करें, हटाएँ
ग्राफ़क्यूएलपूर्ण आत्मनिरीक्षण + उत्परिवर्तन सक्षम
एज फ़ंक्शन्स send-wallet-import-email, send-email
ईमेल सेवापुनः भेजें एपीआई (env में RESEND_API_KEY)
पीड़ित रिकॉर्ड्सआईडी 130–131 (129 पहले हटाया गया)
यूआई भाषा रूसी ("मुख्य बटुआ", "आपका बटुआ लोड हो रहा है...")

 पूर्ण डेटाबेस पहुँच — पढ़ें, लिखें, हटाएँ

सुपेबेस एनॉन कुंजी, जो मिनिफाइड जावास्क्रिप्ट बंडल में पाई जाती है, प्रदान करती है पूर्ण CRUD पहुँच की ओर seeds तालिका:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 ठीक [ {मैं:130, "अनुच्छेद":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", नाम:मुख्य बटुआ}, {मैं:131, "अनुच्छेद":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", नाम:मुख्य बटुआ} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"PHISHDESTROY_WAS_HERE","name":"test"} → 201 बनाया गया {मैं:132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"PhishDestroy was here"}) { affectedCount } } → {"affectedCount": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"affectedCount": 1}

आईडी 130 से शुरू होती हैं। — जिसका अर्थ है कि रिकॉर्ड 1–129 पहले ऑपरेटर द्वारा हटा दिए गए थे। कम से कम 131 सीड वाक्यांश इस प्रणाली से गुज़र चुके हैं।

 एज फ़ंक्शन्स: ईमेल का सिलसिला

दो सुपैस एज फ़ंक्शंस सक्रिय हैं। हमने रिवर्स-इंजीनियर किया send-email पेलोड्स का परीक्षण करके फ़ंक्शन के अपेक्षित इनपुट फ़ॉर्मेट:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 "बीज डेटा प्रदान नहीं किया गया।" {"phrase":"...","name":"..."} → 400 "बीज डेटा प्रदान नहीं किया गया।"// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

पुनः भेजें एपीआई कुंजी (RESEND_API_KEY) Supabase पर्यावरण चरों में संग्रहीत है। Resend प्रेषक सत्यापन रिकॉर्ड और बिलिंग डेटा बनाए रखता है — ऑपरेटर की पहचान का एक और सीधा मार्ग.

 अनामत्व हटाने की संभावना

रूसी UI स्थानीयकरण ("Основной кошелек", "Ваш кошелек загружается...") एक का संकेत देता है रूसी भाषी ऑपरेटरसुपेबेस परियोजना (gzqsadraigchwdhblavp) बिलिंग रिकॉर्ड वाले खाते से जुड़ा है। पुनः ईमेल सेवा के पास प्राप्तकर्ता का ईमेल पता है। GraphQL इंट्रोस्पेक्शन पूरी डेटाबेस स्कीमा प्रकट करता है। हमने पूर्ण लेखन पहुँच का प्रदर्शन किया — हम हर चोरी हुए सीड फ़्रेज़ को पीड़ितों के लिए एक चेतावनी संदेश से बदल सकते थे।, या पूरी तालिका को हटा दिया। ऑपरेटर के पास डेटा पुनर्प्राप्त करने का कोई तरीका नहीं होगा।

 मामला 4: औद्योगिक-स्तरीय ड्रेनर — aipolypredictor.xyz

 5.8 दिनों में 19,000 बीज वाक्यांश

19K+ बीज चोरी हुएक्रमिक जॉब आईडीकोई CORS प्रतिबंध नहींडीएएस किट (defex.cc)11 डोमेन पुष्ट
पैरामीटरमूल्य
फ्रंटएंड डोमेन aipolypredictor.xyz ("पॉलीस्नाइपर | फ्रंट्रन इनसाइडर बेट्स")
सी2 एपीआईapi.yfhikblkhghdyteiuyf54.run
सी2 आईपीज़ 172.67.168.147, 104.21.26.231 (क्लाउडफ्लेयर)
बैकएंडएक्सप्रेस.जेएस (नोड.जेएस) v1.0.0
रजिस्ट्रार (फ्रंटएंड)नाइसएनआईसी इंटरनेशनल ग्रुप कंपनी
पंजीयक (सी2)पीडीआर लिमिटेड (पब्लिकडोमेनरेजिस्ट्री.कॉम)
अपटाइम~139 घंटे (शुरू ~2026-02-10 21:00 UTC)
ड्रेनर किट सीडीएन renderer-postcard.defex.cc (601 KB अस्पष्ट JS)
टेलीग्राम बॉटसक्रिय, सूचनाओं के लिए एकीकृत
दर सीमा10 अनुरोध/60 सेकंड (केवल यही सीमा मिली)

 क्रमागत आईडीज़ द्वारा प्रकट किया गया पैमाना

सबसे घातक गलती: क्रमिक जॉब आईडी. प्रत्येक सीड फ़्रेज़ सबमिशन एक बढ़ता हुआ आईडी लौटाता है, जिससे कोई भी कुल वॉल्यूम की गणना कर सकता है:

POST /api/check-seed-full { बीज वाक्यांश: यहाँ वाक्यांश परीक्षण करें, बंडल आईडी: "88ef78f56e0837dd0339e40a882bf563", गहराई: 100, डोमेन: एआईपोलिप्रेडिक्टर.xyz, स्रोत जानकारी: {वॉलेट का नाम:मेटामैस्क, बॉट है:गलत} } → {"success":true, "message":"पंक्तिबद्ध हो गया", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 मल्टी-चेन आर्किटेक्चर

C2 सर्वर सभी प्रमुख चेनों में गहराई-100 व्युत्पत्ति पथों का उपयोग करके कुंजियाँ प्राप्त करता है:

⛓️
लक्षित श्रृंखलाएँ
ETH/BTC/SOL/XMR
🔑
व्युत्पत्ति गहराई
100
🌐
पुष्ट किए गए डोमेन
11
🕸️
defex.cc लिंक किया गया
255+

 अभियान अवसंरचना

2 ऑपरेटर समूहों में 11 पुष्ट डोमेन, बंडल आईडी द्वारा ट्रैक किए गए:

बंडल आईडीडोमेनस्थिति
88ef78f5...एआईपोलिप्रेडिक्टर.xyzप्रत्यक्ष
4446ea5d...सोलना.ऑनस्पेस.ऐप, सोलएक्सजुप.ऑनस्पेस.ऐपप्रत्यक्ष
डेफैक्स डॉट सीसी किट जुप-v2.com, इवेंट्स-चैरिज़ार्ड.फ़न, इवेंट्स-लिक्विड.फ़न, इवेंट्स-ब्लैकस्वान.फ़न, सोलजुप.ऑनस्पेस.बिल्ड मिश्रित

 जावास्क्रिप्ट पेलोड विश्लेषण

तीन अस्पष्टीकृत JS पेलोड्स ड्रेनर की सेवा करते हैं:

  • वॉलेट-कनेक्ट.जेएस (46 KB) — वॉलेट कनेक्शन UI को संभालता है, सीड इनपुट को इंटरसेप्ट करता है। स्ट्रिंग ऐरे रोटेशन अस्पष्टीकरण।
  • वॉलेट-विशिष्ट-मोडल्स.जेएस (134 KB) — में शामिल है पूर्ण BIP39 अंग्रेज़ी शब्द-सूची और मोनेरो वर्डलिस्ट (1,626 शब्द)। console.log/trace ओवरराइड्स के माध्यम से एंटी-डिबगिंग। मल्टी-वॉलेट मोडल समर्थन।
  • डिफेक्स डॉट सीसी/इंडेक्स डॉट जेएस (601 KB) — चीनी चर नामों के साथ यूनिकोड-अस्पष्ट। सोलैना-विशिष्ट ड्रेनर लॉजिक। Base58 एन्कोडर, क्रिप्टो कुंजी व्युत्पत्ति प्रिमिटिव्स। संस्करण 3.0.0।

 अनामत्व हटाने की संभावना

CORS: * हेडर और प्रमाणीकरण की कमी का अर्थ कोई भी अनुरोध सबमिट कर सकता है और जॉब आईडी में वृद्धि देख सकता है। वास्तविक समय में। टेलीग्राम बॉट एकीकरण का मतलब है कि ऑपरेटर के टेलीग्राम खाते को सूचनाएं मिलती हैं — और टेलीग्राम मेटाडेटा को समन के जरिए प्राप्त किया जा सकता है। NiceNIC (फ्रंटएंड के लिए रजिस्ट्रार) एक जाना-माना बुलेटप्रूफ रजिस्ट्रार है जिसे हमने पहले जांचा गया, लेकिन पीडीआर लिमिटेड (सी2 डोमेन रजिस्ट्रार) कानून प्रवर्तन अनुरोधों का जवाब देता है. का defex.cc ड्रेनर किट 255+ डोमेनों को सेवा प्रदान करता है — defex.cc को समझौता करने से पूरे DaaS ऑपरेशन और उसके सभी ग्राहकों का खुलासा हो जाएगा।

 एक साथ तुलना: 4 ऑपरेशन, एक ही पैटर्न

मेट्रिक एमएन19इंडेक्सप्री
एक्सप्रेस.जेएस
वेब3लेडगर
फ़ायरबेस
वेब3सेफ-पाल
सुपेबेस
एआईपॉलीप्रेडिक्टर
ड्रेनर C2
प्रमाणीकरणकोई नहीं (टोकन अनदेखा किया गया)कोई नहींJS में एनॉन कीकोई नहीं (CORS: *)
डेटा पठनीयसंदेश/रिलेसभी बीज वाक्यांशसभी बीज वाक्यांशनौकरी आईडी / पैमाना
डेटा लिखने योग्यहाँ (असीमित)हाँहाँ (पूर्ण CRUD)हाँ (सबमिट करें)
इनपुट सत्यापनशून्यशून्यशून्यन्यूनतम
दर सीमितकरणकोई नहींकोई नहींकोई नहीं10 रिक्वेस्ट/60 सेकंड
पुनः पहचान योग्यMS365 टेनेंटगूगल खातापुनः भेजें + सुपैस बिलिंगपीडीआर + टेलीग्राम
अनुमानित पीड़ितअज्ञात12131+19,000+
ऑपरेटर भाषाअज्ञातअंग्रेज़ीरूसीअज्ञात

 ठग हैकर क्यों नहीं होते

सबूत बहुत प्रचुर हैं। सभी चार अभियानों में, हम एक ही पैटर्न देखते हैं:

 ठग क्या करते हैं
  • पहले से बने ड्रेनर किट खरीदें ($200–$500)
  • मुफ्त टियर (Firebase, Supabase) पर डिप्लॉय करें
  • डिफ़ॉल्ट विन्यासों को जस का तस छोड़ दें
  • हार्डकोडेड टोकन का उपयोग करें, वे सत्यापित नहीं होते।
  • RLS को कभी सक्षम न करें, CORS को कभी प्रतिबंधित न करें।
  • मेटाडेटा में अपनी पहचान उजागर करें
  • ऐसे क्रमागत आईडी का उपयोग करें जो अपने पैमाने को प्रकट करते हों।
 हैकर क्या करेंगे
  • कस्टम एक्सफिल्ट्रेशन टूल्स लिखें
  • एन्क्रिप्टेड, प्रमाणीकृत चैनलों का उपयोग करें
  • पहचानकर्ताओं को यादृच्छिक करें, अवसंरचना को घुमाएँ
  • उचित पहुँच नियंत्रण लागू करें
  • टोर/प्रॉक्सी चेन का उपयोग करें, गुमनाम भुगतान करें।
  • होस्टिंग से परिचालन पहचान को अलग करें
  • एंटी-फॉरेंसिक तकनीकों को लागू करें

औसत Drainer-as-a-Service ग्राहक एक है क्रेडिट कार्ड वाला सामाजिक अभियंता, तकनीकी ऑपरेटर नहीं। वे डोमेन पंजीकृत करना और होस्टिंग पैनल में कोड पेस्ट करना जानते हैं। वे यह नहीं जानते कि कैसे:

ये परिष्कृत विरोधी नहीं हैं। ये वे लोग हैं जो डेटाबेस कॉन्फ़िगर नहीं कर सकते।

 समझौते के संकेतक (IOCs)

डोमेन

# Case 1: Express.js API सर्वर0002.mn19इंडेक्सप्री.xyz # Case 2: Firebase Stealer वेब3लेडगर.कॉम वेब3.लेजरस्कोर.लिमिटेड # Case 3: Supabase Stealer वेब3सेफ-पाल.कॉम # Case 4: Drainer Campaign aipolypredictor.xyz api.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run renderer-postcard.defex.cc solana.onspace.app solxjup.onspace.app jupag.onspace.app jupiverse.onspace.app stakepayment.icu jup-v2.com events-charizard.fun events-llquid.fun events-blackswan.fun soljup.onspace.build

आईपी पते

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (Cloudflare) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (Cloudflare) 172.67.209.39 / 104.21.37.139 # Case 4 — defex.cc (Cloudflare) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

एपीआई कुंजी और प्रोजेक्ट आईडी

# Firebase (Case 2) प्रोजेक्ट: web3ledger-210ab एपीआई कुंजी: AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 ऐप आईडी: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) परियोजना: gzqsadraigchwdhblavp अनोनी कुंजी: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) बंडल 1: 88ef78f56e0837dd0339e40a882bf563 बंडल 2: 4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) NETORGFT19090185.onmicrosoft.com

 निष्कर्ष: सम्राट के पास कोई कपड़े नहीं हैं

 मुख्य बात

हमारे द्वारा विश्लेषण किए गए प्रत्येक घोटाले का संचालन हो सकता था। पूरी तरह से समझौता किया गया, डी-अनामीकृत और बाधित केवल एक वेब ब्राउज़र, curl और सार्वजनिक रूप से उपलब्ध दस्तावेज़ीकरण का उपयोग करके। हर मामले में, हमलावरों ने अपने डेटाबेस पूरी तरह खुले छोड़ दिए, अपनी API कुंजियाँ सार्वजनिक JavaScript फ़ाइलों में रख दीं, अपनी पहचान मेटाडेटा में छोड़ दी, और अपने पीड़ितों का डेटा उन सभी के लिए सुलभ बना दिया जो देखने की जहमत उठाते।

पाठ सरल है: ठग हैकर नहीं होते।वे दुकानचोर हैं जिन्होंने AliExpress से एक लॉक-पिक सेट खरीदा और अपने सामने के दरवाजे को लॉक करना भूल गए। वे जो उपकरण इस्तेमाल करते हैं वे परिष्कृत हैं — क्योंकि उन्हें किसी और ने बनाया है। ये ऑपरेटर स्वयं शौकिया हैं जो अपनी बुनियादी तकनीकी साक्षरता रखने वाले किसी भी व्यक्ति के सामने विश्वसनीय रूप से अपनी इन्फ्रास्ट्रक्चर, अपने शिकारों का डेटा और अपनी पहचान उजागर कर देते हैं।

यदि आपने इनमें से किसी भी साइट पर अपना सीड वाक्यांश दर्ज किया है — तो मान लें कि आपका वॉलेट समझौता हो गया है और तुरंत धनराशि स्थानांतरित करें।

सभी निष्कर्षों को संबंधित सेवा प्रदाताओं (Google/Firebase, Supabase, Cloudflare, डोमेन रजिस्टार) को सूचित कर दिया गया है और कानून प्रवर्तन के लिए दस्तावेजीकृत किया गया है। उपरोक्त IOCs को जोड़ा गया है PhishDestroy नष्ट-सूची.

इस जांच को साझा करें

एक्स / ट्विटर टेलीग्राम रेडिट लिंक्डइन

संबंधित जांचें

BUYTRX बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
जांच
BUYTRX बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
केइतारो टीडीएस: 1,500 पैनल बेनकाब, कोई वैध उपयोग नहीं
जांच
केइतारो टीडीएस: 1,500 पैनल बेनकाब, कोई वैध उपयोग नहीं
पारदर्शिता सूचना। PhishDestroy एक गैर-व्यावसायिक, स्वतंत्र परियोजना है। हमारा शोध घोटाले के बुनियादी ढांचे और इसे सक्षम करने वाली सेवाओं के प्रति अंतर्निहित पक्षपात को प्रतिबिंबित कर सकता है। हम पाठकों को सभी सामग्री का आलोचनात्मक और स्वतंत्र मूल्यांकन करने के लिए प्रोत्साहित करते हैं। हमारा पूरा पारदर्शिता विवरण पढ़ें →