Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / HI / SCAM INFRASTRUCTURE EXPOSED

ठग बेनकाब: 4 ठगी बैकएंड्स का विश्लेषण

The Enablers Registry·Editorial mirror·/hi/scam-infrastructure-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Firebase · Supabase · Express.js · Drainer-as-a-Service · फरवरी 2026

घोटाले का ढांचा बेनकाब
19,000+
बीज वाक्यांश चोरी हुए (1 अभियान)
4
बैकएंड्स पूरी तरह से एक्सेस किए गए
0
प्रमाणीकरण आवश्यक है
267+
लिंक्ड फ़िशिंग डोमेन

 अस्वीकरण: विश्लेषण, हमला नहीं

इस लेख में प्रस्तुत की गई हर चीज़ का परिणाम है निष्क्रिय विश्लेषण और सार्वजनिक रूप से सुलभ डेटा. कोई भी सिस्टम नहीं तोड़ा गया। कोई प्रमाणीकरण बाईपास नहीं किया गया। प्रत्येक मामले में, घोटालेबाजों की अपनी गलत कॉन्फ़िगरेशन ने उनके बुनियादी ढांचे, पीड़ितों के डेटा और परिचालन पहचान को उन सभी के सामने उजागर कर दिया जो बस देख रहे थे। हर API कुंजी सार्वजनिक जावास्क्रिप्ट बंडलों में पाई गई। हर डेटाबेस ऑपरेटरों की अपनी ही योजना के कारण पूरी तरह से खुला था। हम इसे हमला करने के लिए नहीं बल्कि यह दिखाने के लिए दस्तावेज़ित कर रहे हैं कि जो लोग आपका क्रिप्टो चुरा रहे हैं अपने ही उपकरणों को भी सुरक्षित नहीं रख सकते.

 मुख्य थीसिस: चोरी किए गए उपकरणों वाले स्क्रिप्ट किड्स

जनमानस में एक लगातार बनी रहने वाली मिथक है कि ऑनलाइन ठग "हैकर" होते हैं — तकनीकी मास्टरमाइंड जो कुशलता और परिष्कार के साथ सिस्टम में घुसपैठ करते हैं। यह गलत है।

आधुनिक क्रिप्टो ठग हैं खरीदे हुए टूलकिट का उपयोग करने वाले स्क्रिप्ट किडीवे $200–$500 में "ड्रेनर-एज़-ए-सर्विस" पैकेज खरीदते हैं, उन्हें मुफ्त या सस्ती होस्टिंग पर तैनात करते हैं, और प्रार्थना करते हैं कि उनके शिकारों को इसका पता न चले। वे कोड नहीं लिखते। वे नेटवर्किंग नहीं समझते। वे निश्चित रूप से सुरक्षा नहीं समझते।

हमें यह पता है क्योंकि फरवरी 2026 में, THE ENABLERS REGISTRY ने विश्लेषण किया 4 स्वतंत्र घोटाला संचालन — और हर एक मामले में, हम कर सकते थे:

  • सभी चोरी हुए पीड़ितों का डेटा पढ़ें (बीज वाक्यांश, ईमेल, आईपी, वॉलेट प्रकार)
  • संशोधित या हटाया गया ठग का डेटाबेस
  • ऑपरेटर की पहचान की गई खुलाए गए एपीआई कीज़, ईमेल पतों और इन्फ्रास्ट्रक्चर फिंगरप्रिंट्स के माध्यम से
  • ठग के खिलाफ हमला दोहराया गया। — उन्हीं कमजोरियों का उपयोग करते हुए जिन्हें उन्होंने खुला छोड़ दिया था

कोई एक्सप्लॉइट्स की ज़रूरत नहीं। कोई ज़ीरो-डे नहीं। कोई "हैकिंग" नहीं। बस उन्होंने जो सामने का दरवाज़ा खुला छोड़ दिया था, उसे खोलकर.

 मामला 1: द फैंटम एपीआई — [REDACTED]

 अपाचे पर एक्सप्रेस.जेएस, शून्य वास्तविक सुरक्षा

प्रमाणीकरण नहींइनपुट सत्यापन नहींकोई दर सीमा नहींसीओआरएस: *
पैरामीटरमूल्य
डोमेन[REDACTED]
आईपी पता108.181.185.225
सर्वर स्टैकएपाची/2.4.58 (उबंटू) → एक्सप्रेस.जेएस (नोड.जेएस)
एसएसएच बैनरSSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
टीएलएस जारीकर्तालेट्स एन्क्रिप्ट (E7), वैध जनवरी–अप्रैल 2026
डीएनएस रजिस्ट्रारगॉडैडी (ns39/ns40.[REDACTED])
ईमेल (एमएक्स)[REDACTED]
माइक्रोसॉफ्ट टेनेंट[REDACTED]
पोर्ट्स खोलें22 (SSH), 80 (HTTP→301), 443 (HTTPS)

 प्रमाणीकरण — एक मज़ाक

API एक हार्डकोडेड बेयरर टोकन के साथ आती है: thisisakeyforsecureserver. लेकिन असली मज़ा तो यहाँ है — टोकन वास्तव में सत्यापित नहीं है।:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted अधिकृत: धारक wrong_token_completely → {"success":true}// Any content type → also accepted सामग्री-प्रकार: पाठ/xml, पाठ/सादा, बहुखंड/फ़ॉर्म-डेटा → {"success":true}

 शून्य इनपुट सत्यापन

हमारे द्वारा परीक्षण किए गए प्रत्येक इंजेक्शन पेलोड को चुपचाप स्वीकार कर लिया गया:

// SQL injection विषय: या 1=1--स्वीकार किया गया विषय: '; DROP TABLE messages;--स्वीकार किया गया// SSTI (Server-Side Template Injection) विषय: "{{7*7}}"स्वीकार किया गया विषय: "{{config}}"स्वीकार किया गया विषय: "{{self.__class__}}"स्वीकार किया गया// SSRF (Server-Side Request Forgery) डोमेन: "http://169.254.169.254/latest/meta-data/"स्वीकार किया गया डोमेन: फ़ाइल:///etc/passwdस्वीकार किया गया// XSS stored payload विषय: <script>alert(1)</script>स्वीकार किया गया

 प्रदर्शन फिंगरप्रिंट

POST पर पेलोड आकार (10 बाइट से 10 एमबी तक स्वीकार) की परवाह किए बिना लगभग 7.5 सेकंड का स्थिर प्रतिक्रिया समय, जो बैकएंड पर ईमेल फॉरवर्डिंग या वेबहुक रिले का संकेत देता है। GET 0.6 सेकंड में प्रतिक्रिया देता है। 10 समानांतर अनुरोध 9.1 सेकंड में पूरे होते हैं — कोई रेट लिमिटिंग लागू नहीं है।

 अनामत्व हटाने की संभावना

माइक्रोसॉफ्ट 365 टेनेंट आईडी NETORGFT19090185 है एक संगठन खाते का सीधा लिंक जिसने इस डोमेन को पंजीकृत किया। IANA #146 पंजीकरण रिकॉर्ड और एक समर्पित आईपी (सीडीएन के पीछे नहीं) के साथ मिलाकर, यह ऑपरेटर है आसानी से पहचाने जाने योग्य कानूनी चैनलों के माध्यम से। एसपीएफ रिकॉर्ड (include:[REDACTED]) IANA #146 ईमेल होस्टिंग की पुष्टि करता है — सभी ईमेल मेटाडेटा सबपोना के माध्यम से सुलभ हैं।

 मामला 2: फायरबेस वाइड ओपन — [REDACTED]

 शून्य सुरक्षा नियमों के साथ फायरस्टोर

फायरस्टोर नियम: खुलासभी पीड़ितों का डेटा पठनीयपब्लिक JS में API कुंजी12 पीड़ित बेनकाब
पैरामीटरमूल्य
फ़िशिंग डोमेन[REDACTED] ("लेजर" का टाइपोस्क्वाट)
वैकल्पिक डोमेन[REDACTED]
फ़ायरबेस प्रोजेक्टweb3ledger-210ab
एपीआई कुंजीAIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
ऐप आईडी1:1054258933515:web:9fb193fcd0093023f7fc0e
जेएस बंडल/static/js/main.7a5ec2fa.js
फ़ायरस्टोर नियमपूरी तरह खुला — प्रमाणीकरण रहित पठन/लेखन
कुल पीड़ित12 रिकॉर्ड्स में users संग्रह
संग्रह मिलेusers, transactions

 पीड़ित डेटा — किसी के लिए भी पूरी तरह सुलभ

Firestore REST API को एक एकल प्रमाणीकृत नहीं GET अनुरोध लौटा हर चोरी किया गया सीड वाक्यांश:

GET /v1/projects/web3ledger-210ab/databases/(डिफ़ॉल्ट)/documents/users?pageSize=300 → 200 ठीक→ कुल दस्तावेज़: 12// Sample victim record (seed phrase redacted for safety) { वॉलेट आईडी: डब्ल्यू3एल-65285520, वॉलेट का प्रकार: वॉलेटकनेक्ट, ईमेल: [संपादित]@gmail.com, बीज वाक्यांश: "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", निर्मित समय: २०२६-०२-१५टी००:१४:५२.८०४जेड, स्थिति: सक्रिय }

12 रिकॉर्डों में एक महत्वपूर्ण प्रविष्टि थी — किसी ने पहले ही सिस्टम का परीक्षण कर लिया था fbi@fbi.gov जैसा कि ईमेल में था। ठग ने या तो अपनी ही प्रणाली का परीक्षण किया (पहचान के लिए उपयोगी) या किसी और ने पहले ही इसकी जाँच कर ली थी।

 हमला प्रवाह

फ़िशिंग साइट लेजर के वॉलेट इंटरफ़ेस की नकल करती है। पीड़ित "Connect Wallet" पर क्लिक करता है → सीड फ़्रेज़ दर्ज करता है → React फ्रंटएंड सीधे Firestore में लिखता है → स्कैमर उसी खुले डेटाबेस को पढ़ता है। बिलकुल भी कोई बैकएंड सर्वर नहीं। पूरा संचालन गूगल की मुफ्त परत पर चलता है।

 अनामत्व हटाने की संभावना

फ़ायरबेस प्रोजेक्ट आईडी web3ledger-210ab और ऐप आईडी 1:1054258933515 हैं Google खाते से जुड़ा हुआ. Google सभी Firebase परियोजनाओं के लिए बिलिंग रिकॉर्ड, IP लॉग और खाता निर्माण डेटा रखता है। Google को एक ही कानून प्रवर्तन अनुरोध से ऑपरेटर की पहचान का पता चल जाता है। इसके अलावा, Firestore नियमों का पूरी तरह से खुला होना मतलब है हम उनके डेटाबेस में रिकॉर्ड दर्ज कर सकते थे।, पीड़ितों को वास्तविक समय में सूचित किया, या पूरे संग्रह को मिटा दिया।

 केस 3: सुपैसबे फुल CRUD — [REDACTED]

 पंक्ति-स्तर की सुरक्षा अक्षम, GraphQL पूरी तरह खुला

आरएलएस विकलांगपूर्ण कच्चा पहुँचग्राफ़क्यूएल सक्षमएज फ़ंक्शन्स प्रकटरूसी स्थानीयकरण
पैरामीटरमूल्य
फ़िशिंग डोमेन[REDACTED] (सेफपाल का टाइपोस्क्वाट)
सुपेबेस प्रोजेक्टgzqsadraigchwdhblavp
अनाम कुंजी में प्रदर्शित /assets/index-b025f4a6.js (748 केबी)
डेटाबेस तालिकाseeds — खोलें, डालें, अपडेट करें, हटाएँ
ग्राफ़क्यूएलपूर्ण आत्मनिरीक्षण + उत्परिवर्तन सक्षम
एज फ़ंक्शन्स send-wallet-import-email, send-email
ईमेल सेवापुनः भेजें एपीआई (env में RESEND_API_KEY)
पीड़ित रिकॉर्ड्सआईडी 130–131 (129 पहले हटाया गया)
यूआई भाषा रूसी ("मुख्य बटुआ", "आपका बटुआ लोड हो रहा है...")

 पूर्ण डेटाबेस पहुँच — पढ़ें, लिखें, हटाएँ

सुपेबेस एनॉन कुंजी, जो मिनिफाइड जावास्क्रिप्ट बंडल में पाई जाती है, प्रदान करती है पूर्ण CRUD पहुँच की ओर seeds तालिका:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 ठीक [ {मैं:130, "अनुच्छेद":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", नाम:मुख्य बटुआ}, {मैं:131, "अनुच्छेद":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", नाम:मुख्य बटुआ} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"[REDACTED]","name":"test"} → 201 बनाया गया {मैं:132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"THE ENABLERS REGISTRY was here"}) { affectedCount } } → {"affectedCount": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"affectedCount": 1}

आईडी 130 से शुरू होती हैं। — जिसका अर्थ है कि रिकॉर्ड 1–129 पहले ऑपरेटर द्वारा हटा दिए गए थे। कम से कम 131 सीड वाक्यांश इस प्रणाली से गुज़र चुके हैं।

 एज फ़ंक्शन्स: ईमेल का सिलसिला

दो सुपैस एज फ़ंक्शंस सक्रिय हैं। हमने रिवर्स-इंजीनियर किया send-email पेलोड्स का परीक्षण करके फ़ंक्शन के अपेक्षित इनपुट फ़ॉर्मेट:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 "बीज डेटा प्रदान नहीं किया गया।" {"phrase":"...","name":"..."} → 400 "बीज डेटा प्रदान नहीं किया गया।"// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

पुनः भेजें एपीआई कुंजी (RESEND_API_KEY) Supabase पर्यावरण चरों में संग्रहीत है। Resend प्रेषक सत्यापन रिकॉर्ड और बिलिंग डेटा बनाए रखता है — ऑपरेटर की पहचान का एक और सीधा मार्ग.

 अनामत्व हटाने की संभावना

रूसी UI स्थानीयकरण ("Основной кошелек", "Ваш кошелек загружается...") एक का संकेत देता है रूसी भाषी ऑपरेटरसुपेबेस परियोजना (gzqsadraigchwdhblavp) बिलिंग रिकॉर्ड वाले खाते से जुड़ा है। पुनः ईमेल सेवा के पास प्राप्तकर्ता का ईमेल पता है। GraphQL इंट्रोस्पेक्शन पूरी डेटाबेस स्कीमा प्रकट करता है। हमने पूर्ण लेखन पहुँच का प्रदर्शन किया — हम हर चोरी हुए सीड फ़्रेज़ को पीड़ितों के लिए एक चेतावनी संदेश से बदल सकते थे।, या पूरी तालिका को हटा दिया। ऑपरेटर के पास डेटा पुनर्प्राप्त करने का कोई तरीका नहीं होगा।

 मामला 4: औद्योगिक-स्तरीय ड्रेनर — [REDACTED]

 5.8 दिनों में 19,000 बीज वाक्यांश

19K+ बीज चोरी हुएक्रमिक जॉब आईडीकोई CORS प्रतिबंध नहींडीएएस किट ([REDACTED])11 डोमेन पुष्ट
पैरामीटरमूल्य
फ्रंटएंड डोमेन [REDACTED] ("पॉलीस्नाइपर | फ्रंट्रन इनसाइडर बेट्स")
सी2 एपीआईapi.yfhikblkhghdyteiuyf54.run
सी2 आईपीज़ 172.67.168.147, 104.21.26.231 (क्लाउडफ्लेयर)
बैकएंडएक्सप्रेस.जेएस (नोड.जेएस) v1.0.0
रजिस्ट्रार (फ्रंटएंड)नाइसएनआईसी इंटरनेशनल ग्रुप कंपनी
पंजीयक (सी2)पीडीआर लिमिटेड (पब्लिकडोमेनरेजिस्ट्री.कॉम)
अपटाइम~139 घंटे (शुरू ~2026-02-10 21:00 UTC)
ड्रेनर किट सीडीएन [REDACTED] (601 KB अस्पष्ट JS)
टेलीग्राम बॉटसक्रिय, सूचनाओं के लिए एकीकृत
दर सीमा10 अनुरोध/60 सेकंड (केवल यही सीमा मिली)

 क्रमागत आईडीज़ द्वारा प्रकट किया गया पैमाना

सबसे घातक गलती: क्रमिक जॉब आईडी. प्रत्येक सीड फ़्रेज़ सबमिशन एक बढ़ता हुआ आईडी लौटाता है, जिससे कोई भी कुल वॉल्यूम की गणना कर सकता है:

POST /api/check-seed-full { बीज वाक्यांश: यहाँ वाक्यांश परीक्षण करें, बंडल आईडी: "88ef78f56e0837dd0339e40a882bf563", गहराई: 100, डोमेन: एआईपोलिप्रेडिक्टर.xyz, स्रोत जानकारी: {वॉलेट का नाम:मेटामैस्क, बॉट है:गलत} } → {"success":true, "message":"पंक्तिबद्ध हो गया", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 मल्टी-चेन आर्किटेक्चर

C2 सर्वर सभी प्रमुख चेनों में गहराई-100 व्युत्पत्ति पथों का उपयोग करके कुंजियाँ प्राप्त करता है:

⛓️
लक्षित श्रृंखलाएँ
ETH/BTC/SOL/XMR
🔑
व्युत्पत्ति गहराई
100
🌐
पुष्ट किए गए डोमेन
11
🕸️
[REDACTED] लिंक किया गया
255+

 अभियान अवसंरचना

2 ऑपरेटर समूहों में 11 पुष्ट डोमेन, बंडल आईडी द्वारा ट्रैक किए गए:

बंडल आईडीडोमेनस्थिति
88ef78f5...एआईपोलिप्रेडिक्टर.xyzप्रत्यक्ष
4446ea5d...सोलना.ऑनस्पेस.ऐप, सोलएक्सजुप.ऑनस्पेस.ऐपप्रत्यक्ष
डेफैक्स डॉट सीसी किट जुप-v2.com, इवेंट्स-चैरिज़ार्ड.फ़न, इवेंट्स-लिक्विड.फ़न, इवेंट्स-ब्लैकस्वान.फ़न, सोलजुप.ऑनस्पेस.बिल्ड मिश्रित

 जावास्क्रिप्ट पेलोड विश्लेषण

तीन अस्पष्टीकृत JS पेलोड्स ड्रेनर की सेवा करते हैं:

  • वॉलेट-कनेक्ट.जेएस (46 KB) — वॉलेट कनेक्शन UI को संभालता है, सीड इनपुट को इंटरसेप्ट करता है। स्ट्रिंग ऐरे रोटेशन अस्पष्टीकरण।
  • वॉलेट-विशिष्ट-मोडल्स.जेएस (134 KB) — में शामिल है पूर्ण BIP39 अंग्रेज़ी शब्द-सूची और मोनेरो वर्डलिस्ट (1,626 शब्द)। console.log/trace ओवरराइड्स के माध्यम से एंटी-डिबगिंग। मल्टी-वॉलेट मोडल समर्थन।
  • डिफेक्स डॉट सीसी/इंडेक्स डॉट जेएस (601 KB) — चीनी चर नामों के साथ यूनिकोड-अस्पष्ट। सोलैना-विशिष्ट ड्रेनर लॉजिक। Base58 एन्कोडर, क्रिप्टो कुंजी व्युत्पत्ति प्रिमिटिव्स। संस्करण 3.0.0।

 अनामत्व हटाने की संभावना

CORS: * हेडर और प्रमाणीकरण की कमी का अर्थ कोई भी अनुरोध सबमिट कर सकता है और जॉब आईडी में वृद्धि देख सकता है। वास्तविक समय में। टेलीग्राम बॉट एकीकरण का मतलब है कि ऑपरेटर के टेलीग्राम खाते को सूचनाएं मिलती हैं — और टेलीग्राम मेटाडेटा को समन के जरिए प्राप्त किया जा सकता है। IANA #3765 (फ्रंटएंड के लिए रजिस्ट्रार) एक जाना-माना बुलेटप्रूफ रजिस्ट्रार है जिसे हमने पहले जांचा गया, लेकिन पीडीआर लिमिटेड (सी2 डोमेन रजिस्ट्रार) कानून प्रवर्तन अनुरोधों का जवाब देता है. का [REDACTED] ड्रेनर किट 255+ डोमेनों को सेवा प्रदान करता है — [REDACTED] को समझौता करने से पूरे DaaS ऑपरेशन और उसके सभी ग्राहकों का खुलासा हो जाएगा।

 एक साथ तुलना: 4 ऑपरेशन, एक ही पैटर्न

मेट्रिक एमएन19इंडेक्सप्री
एक्सप्रेस.जेएस
वेब3लेडगर
फ़ायरबेस
वेब3सेफ-पाल
सुपेबेस
एआईपॉलीप्रेडिक्टर
ड्रेनर C2
प्रमाणीकरणकोई नहीं (टोकन अनदेखा किया गया)कोई नहींJS में एनॉन कीकोई नहीं (CORS: *)
डेटा पठनीयसंदेश/रिलेसभी बीज वाक्यांशसभी बीज वाक्यांशनौकरी आईडी / पैमाना
डेटा लिखने योग्यहाँ (असीमित)हाँहाँ (पूर्ण CRUD)हाँ (सबमिट करें)
इनपुट सत्यापनशून्यशून्यशून्यन्यूनतम
दर सीमितकरणकोई नहींकोई नहींकोई नहीं10 रिक्वेस्ट/60 सेकंड
पुनः पहचान योग्यMS365 टेनेंटगूगल खातापुनः भेजें + सुपैस बिलिंगपीडीआर + टेलीग्राम
अनुमानित पीड़ितअज्ञात12131+19,000+
ऑपरेटर भाषाअज्ञातअंग्रेज़ीरूसीअज्ञात

 ठग हैकर क्यों नहीं होते

सबूत बहुत प्रचुर हैं। सभी चार अभियानों में, हम एक ही पैटर्न देखते हैं:

 ठग क्या करते हैं
  • पहले से बने ड्रेनर किट खरीदें ($200–$500)
  • मुफ्त टियर (Firebase, Supabase) पर डिप्लॉय करें
  • डिफ़ॉल्ट विन्यासों को जस का तस छोड़ दें
  • हार्डकोडेड टोकन का उपयोग करें, वे सत्यापित नहीं होते।
  • RLS को कभी सक्षम न करें, CORS को कभी प्रतिबंधित न करें।
  • मेटाडेटा में अपनी पहचान उजागर करें
  • ऐसे क्रमागत आईडी का उपयोग करें जो अपने पैमाने को प्रकट करते हों।
 हैकर क्या करेंगे
  • कस्टम एक्सफिल्ट्रेशन टूल्स लिखें
  • एन्क्रिप्टेड, प्रमाणीकृत चैनलों का उपयोग करें
  • पहचानकर्ताओं को यादृच्छिक करें, अवसंरचना को घुमाएँ
  • उचित पहुँच नियंत्रण लागू करें
  • टोर/प्रॉक्सी चेन का उपयोग करें, गुमनाम भुगतान करें।
  • होस्टिंग से परिचालन पहचान को अलग करें
  • एंटी-फॉरेंसिक तकनीकों को लागू करें

औसत Drainer-as-a-Service ग्राहक एक है क्रेडिट कार्ड वाला सामाजिक अभियंता, तकनीकी ऑपरेटर नहीं। वे डोमेन पंजीकृत करना और होस्टिंग पैनल में कोड पेस्ट करना जानते हैं। वे यह नहीं जानते कि कैसे:

  • Firestore सुरक्षा नियमों को कॉन्फ़िगर करें (लगभग 2 मिनट लगेंगे)
  • Supabase पंक्ति-स्तर सुरक्षा सक्षम करें (इसमें 5 मिनट लगेंगे)
  • इनपुट को मान्य और स्वच्छ करें (इसमें 30 मिनट लगेंगे)
  • क्रमिक पूर्णांकों के बजाय UUID का उपयोग करें (एक ही लाइन में कोड लिखा जा सकता है)
  • CORS को केवल अपने डोमेन तक सीमित करें (केवल एक पंक्ति कॉन्फ़िग की आवश्यकता होगी)

ये परिष्कृत विरोधी नहीं हैं। ये वे लोग हैं जो डेटाबेस कॉन्फ़िगर नहीं कर सकते।

 समझौते के संकेतक (IOCs)

डोमेन

# Case 1: Express.js API सर्वर0002.mn19इंडेक्सप्री.xyz # Case 2: Firebase Stealer वेब3लेडगर.कॉम वेब3.लेजरस्कोर.लिमिटेड # Case 3: Supabase Stealer वेब3सेफ-पाल.कॉम # Case 4: Drainer Campaign [REDACTED] api.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] stakepayment.icu [REDACTED] [REDACTED] [REDACTED] [REDACTED] soljup.onspace.build

आईपी पते

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (IANA #1910) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (IANA #1910) 172.67.209.39 / 104.21.37.139 # Case 4 — [REDACTED] (IANA #1910) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

एपीआई कुंजी और प्रोजेक्ट आईडी

# Firebase (Case 2) प्रोजेक्ट: web3ledger-210ab एपीआई कुंजी: AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 ऐप आईडी: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) परियोजना: gzqsadraigchwdhblavp अनोनी कुंजी: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) बंडल 1: 88ef78f56e0837dd0339e40a882bf563 बंडल 2: 4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) [REDACTED]

 निष्कर्ष: सम्राट के पास कोई कपड़े नहीं हैं

 मुख्य बात

हमारे द्वारा विश्लेषण किए गए प्रत्येक घोटाले का संचालन हो सकता था। पूरी तरह से समझौता किया गया, डी-अनामीकृत और बाधित केवल एक वेब ब्राउज़र, curl और सार्वजनिक रूप से उपलब्ध दस्तावेज़ीकरण का उपयोग करके। हर मामले में, हमलावरों ने अपने डेटाबेस पूरी तरह खुले छोड़ दिए, अपनी API कुंजियाँ सार्वजनिक JavaScript फ़ाइलों में रख दीं, अपनी पहचान मेटाडेटा में छोड़ दी, और अपने पीड़ितों का डेटा उन सभी के लिए सुलभ बना दिया जो देखने की जहमत उठाते।

पाठ सरल है: ठग हैकर नहीं होते।वे दुकानचोर हैं जिन्होंने AliExpress से एक लॉक-पिक सेट खरीदा और अपने सामने के दरवाजे को लॉक करना भूल गए। वे जो उपकरण इस्तेमाल करते हैं वे परिष्कृत हैं — क्योंकि उन्हें किसी और ने बनाया है। ये ऑपरेटर स्वयं शौकिया हैं जो अपनी बुनियादी तकनीकी साक्षरता रखने वाले किसी भी व्यक्ति के सामने विश्वसनीय रूप से अपनी इन्फ्रास्ट्रक्चर, अपने शिकारों का डेटा और अपनी पहचान उजागर कर देते हैं।

यदि आपने इनमें से किसी भी साइट पर अपना सीड वाक्यांश दर्ज किया है — तो मान लें कि आपका वॉलेट समझौता हो गया है और तुरंत धनराशि स्थानांतरित करें।

सभी निष्कर्षों को संबंधित सेवा प्रदाताओं (Google/Firebase, Supabase, IANA #1910, डोमेन रजिस्टार) को सूचित कर दिया गया है और कानून प्रवर्तन के लिए दस्तावेजीकृत किया गया है। उपरोक्त IOCs को जोड़ा गया है THE ENABLERS REGISTRY नष्ट-सूची.

इस जांच को साझा करें

एक्स / ट्विटर टेलीग्राम रेडिट लिंक्डइन

संबंधित जांचें

[REDACTED] बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
जांच
[REDACTED] बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
केइतारो टीडीएस: 1,500 पैनल बेनकाब, कोई वैध उपयोग नहीं
जांच
केइतारो टीडीएस: 1,500 पैनल बेनकाब, कोई वैध उपयोग नहीं

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings