عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Hades Malware

Hades Malware

بواسطة Mezo في البرمجيات الخبيثة, الديدان
ترجمة الى:

يواصل مجرمو الإنترنت تكثيف هجماتهم ضد سلاسل توريد البرامج، حيث برزت عملية برمجيات خبيثة تم اكتشافها حديثًا تُعرف باسم Hades كواحدة من أكثر التهديدات تطورًا التي تم رصدها حتى الآن.

كشف الباحثون عن حملة هاديس، وهي عملية اختراق متطورة للغاية لسلسلة التوريد تستهدف بيئات تطوير بايثون. يتم تفعيل البرمجية الخبيثة فور استيراد حزمة مخترقة، مستغلةً مجموعة أدوات Bun الشهيرة لتنفيذ حمولات متعددة المراحل بصمت. هذه الحمولات قادرة على سرقة معلومات حساسة، والتنقل بين الأنظمة، واستغلال أطر الأمان الموثوقة، والتلاعب بأدوات تحليل التعليمات البرمجية المدعومة بالذكاء الاصطناعي من خلال تقنيات حقن التعليمات البرمجية الخبيثة.

ومن بين المشاريع المتأثرة مكتبة C++ واسعة الاستخدام ensmallen والعديد من الحزم في مجال البيولوجيا الحاسوبية والمعلوماتية الحيوية وأنظمة تحليل النمط الجيني والنمط الظاهري.

لماذا يتميز هاديس عن غيره؟

إنّ أكثر ما يثير القلق في هذه الحملة هو الجمع بين تقنيات هجوم متطورة متعددة ضمن دودة سريعة الانتشار. وقد سبق لباحثي الأمن أن واجهوا برامج خبيثة تركز على استخراج البيانات من الذاكرة، وهجمات مصممة لتضليل تحليلات أمان نماذج اللغة الكبيرة (LLM)، وبرامج خبيثة مدمرة لمسح البيانات. ومع ذلك، فإن دمج هذه القدرات الثلاث في تهديد ذاتي الانتشار لسلسلة التوريد يمثل تصعيدًا كبيرًا في مستوى التعقيد.

يعزو الباحثون هذه الحملة إلى ما يبدو أنه أحدث تطور لجهة التهديد "ميازما". وقد استخدمت عمليات "ميازما" السابقة ديدانًا ذاتية التكاثر تقوم بجمع بيانات اعتماد متعددة السحابات، وتؤدي إلى تنفيذ تعليمات برمجية خبيثة عند الوصول إلى المستودعات من خلال بيئات التطوير المتكاملة (IDEs) أو وكلاء الذكاء الاصطناعي، وتقوم بمسح ذاكرة عمليات لينكس بحثًا عن بيانات قيّمة.

تحتفظ عملية هاديس بالعديد من هذه الخصائص الأساسية، بما في ذلك سرقة بيانات الاعتماد، والانتشار الشبيه بالديدان، وتسريب البيانات عبر منصة جيت هاب. وتشمل الحزم المخترقة الأخرى التي تم تحديدها خلال التحقيق: mflux-streamlit، وnmppy، وppkt2synergy، وembiggen، وgpsea، وpyphetools.

من استيراد الحزمة إلى اختراق النظام بالكامل

يبدأ الهجوم بنص برمجي مُشفر مُضمن في ملف init.py الخاص بحزمة برمجية، وهو مُكوّن أساسي يُتيح استيراد حزم بايثون. بمجرد تنفيذه، يقوم البرنامج الخبيث بنشر بيئة تشغيل Bun مُجمّعة مُسبقًا وإطلاق حمولة جافا سكريبت خبيثة.

بالاعتماد على برنامج Bun، يستطيع المهاجمون تنفيذ عمليات جافا سكريبت معقدة حتى على الأنظمة التي لا تحتوي على Node.js. يساعد هذا الأسلوب على تجاوز ضوابط إدارة الحزم التقليدية ويقلل من ظهورها في سجلات الوكيل.

يحتوي هذا البرنامج الخبيث على قدرات لاستخراج البيانات من ذاكرة أنظمة لينكس، ويتضمن وحدات متخصصة لاستخراج البيانات من ذاكرة أنظمة ماك أو إس وويندوز. تُمكّن هذه المكونات المهاجمين من استعادة معلومات بالغة الحساسية، بما في ذلك البيانات المشفرة الموجودة في الذاكرة.

التغلب على أدوات أمان الذكاء الاصطناعي

من أبرز ميزات هذه الحملة المبتكرة قدرتها على التلاعب ببرامج فحص الأمان الآلية القائمة على تقنية LLM. إذ يقوم المهاجمون بوضع كتلة نصية مُصممة بعناية في بداية الملفات الخبيثة، تُوجه أنظمة تحليل الذكاء الاصطناعي لتجاهل التعليمات البرمجية المخفية، وتصنيف الحزمة على أنها موثوقة، وإصدار تقارير تُعلن أنها آمنة.

يصف الباحثون هذا بأنه تحول مفاهيمي كبير في مجال التهديدات السيبرانية. فبدلاً من استهداف ثغرات البرمجيات فقط، يستهدف المهاجمون عمليات التفكير في أنظمة الذكاء الاصطناعي بشكل مباشر. ويمكن التلاعب ببرامج فحص الأمان التي تُرسل التعليمات البرمجية والنصوص الخام إلى أنظمة إدارة التعلم الآلي دون آليات فصل صارمة، ما قد يؤدي إلى إصدار تقييمات سلبية خاطئة، وبالتالي تمكين البرامج الخبيثة من الإفلات من الكشف.

تُسلط هذه التقنية الضوء على خطر متزايد يواجه المؤسسات التي تعتمد بشكل متزايد على أدوات الأمان المدعومة بالذكاء الاصطناعي. ونظرًا لأن أنظمة إدارة التعلم الآلي (LLMs) لا تزال عرضة للتلاعب بأساليب الهندسة الاجتماعية، فمن المتوقع أن يستمر المهاجمون في استهداف كل من أنظمة الأمان المدعومة بالذكاء الاصطناعي والمستخدمين البشريين من خلال عمليات خداع متطورة تعتمد على التوجيهات.

تم تحويل بنية GitHub التحتية إلى مركز قيادة خفي

تعتمد بنية التحكم والسيطرة الخاصة بـ Hades على ثلاث قنوات اتصال منفصلة مستضافة على بنية GitHub العامة، مما يتيح لحركة المرور الضارة أن تمتزج بسلاسة مع نشاط المطورين الشرعي.

تُشفّر بيانات الاعتماد المسروقة محليًا عبر عملية متعددة المراحل تتضمن التسلسل والضغط قبل تحميلها إلى مستودعات GitHub العامة التي يتحكم بها المهاجم. وعادةً ما تُسمى هذه المستودعات بالوصف التالي: "هاديس - نهاية الملعونين".

تُحاكي استراتيجية تسريب البيانات الخاصة بالبرمجيات الخبيثة التقنيات المرتبطة سابقًا ببرنامج Miasma، مما يجعل GitHub يبدو كوجهة عادية مع إخفاء النشاط الخبيث.

استغلال الثقة لنشرها عبر الشبكات

تتمثل إحدى السمات المميزة للحملة في قدرتها على الانتشار عبر البيئات من خلال إساءة استخدام التقنيات المستخدمة عادةً لتعزيز الأمن وسلامة البرامج، بما في ذلك:

  • بروتوكول Secure Shell (SSH) وبروتوكول Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • مستويات سلسلة التوريد لمنتجات البرمجيات (SLSA)

عند تشغيلها داخل مُشغّل GitHub Actions، تبحث البرمجية الخبيثة عن متغيرات OIDC المتاحة، وتتجاوز آليات فرض توقيعات السجل، وتُنشئ سجلات مصدر SLSA موقّعة تشفيرياً باستخدام Sigstore. ثم تقوم بتنزيل المكتبات المستهدفة، وحقن حمولات خبيثة، وإعادة نشر نسخ مُخترقة إلى كلٍ من فهرس حزم بايثون (PyPI) وnpm باستخدام بيانات اعتماد مسروقة وبيانات مصدر مزوّرة.

ونتيجة لذلك، يبدو أن الحزم الخبيثة تنشأ من بيئات بناء تنظيمية شرعية وتمتلك تحققًا تشفيريًا يبدو صحيحًا.

السرقة السرية، والتلاعب بوكلاء الذكاء الاصطناعي، والمثابرة المدمرة

إلى جانب تسميم الطرود وسرقة بيانات الاعتماد، يقدم برنامج هاديس العديد من القدرات الإضافية المصممة لتحقيق أقصى قدر من التأثير على المدى الطويل:

  • استخراج الأسرار مباشرة من ذاكرة مشغل GitHub Actions دون كتابة البيانات على القرص أو توليد حركة مرور شبكة مشبوهة.
  • استهداف ملفات التكوين ومجموعات القواعد المرتبطة بـ 14 وكيلًا ومنصة ذكاء اصطناعي مختلفة.
  • نشر مطالبات مخصصة وخطافات تنفيذ تقوم تلقائيًا بتشغيل أوامر Bun الخبيثة عندما يتفاعل مساعدو الذكاء الاصطناعي مع مساحات العمل المصابة.
  • إنشاء وصول دائم إلى الأنظمة المخترقة.
  • المراقبة المستمرة لرموز المصادقة المسروقة.
  • التفعيل التلقائي لمكون مسح البيانات المدمر في حالة إلغاء رمز مميز مسروق، مما يؤدي إلى حذف ملفات المستخدم.

لمحة عن مستقبل التهديدات السيبرانية

تُظهر حملة هاديس كيف يتطور البرمجيات الخبيثة الحديثة متجاوزةً أساليب الاستغلال التقليدية. فمن خلال الجمع بين اختراق سلسلة التوريد، واستخراج البيانات من الذاكرة، والتلاعب بالذكاء الاصطناعي، وسرقة بيانات الاعتماد، وإساءة استخدام الثقة في التشفير، والتنقل الجانبي، والقدرات التدميرية ضمن دودة ذاتية الانتشار، تُجسد هذه العملية جيلاً جديداً من التهديدات الإلكترونية.

لعلّ أكثر التطورات إثارةً للقلق هو الاستهداف المباشر لأنظمة الأمان المدعومة بالذكاء الاصطناعي. فمع تزايد دمج المؤسسات لأدوات إدارة دورة حياة التطبيقات (LLM) في عمليات التطوير والأمن، بدأ المهاجمون في التعامل مع هذه الأنظمة كنقاط ضعفٍ بحد ذاتها. ويُعدّ هاديس بمثابة تذكيرٍ قويّ بأنّ مستقبل الأمن السيبراني سيشمل حماية ليس فقط البرمجيات والبنية التحتية، بل أيضاً آليات اتخاذ القرار في الذكاء الاصطناعي.

المنشورات ذات الصلة

الشائع

Lantixprostream.co.in

المواقع المارقة, برامج إعلانية, متصفحات الخاطفين
يُعدّ توخي الحذر أثناء تصفح الإنترنت أمرًا بالغ الأهمية، إذ يبتكر مجرمو الإنترنت باستمرار أساليب جديدة لخداع المستخدمين غير المتنبهين. غالبًا ما تعتمد المواقع الإلكترونية الخبيثة على أساليب تلاعبية...

خطأ في التحقق من صحة البريد الإلكتروني - عملية...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
تُعدّ عملية الاحتيال عبر البريد الإلكتروني "خطأ في التحقق من صحة البريد الإلكتروني" حملة تصيّد إلكتروني تتنكر في هيئة إشعار آلي من خدمة استضافة البريد. تدّعي الرسالة الاحتيالية أن العديد من رسائل البريد الإلكتروني الواردة قد تم حظرها بسبب مشكلة في التحقق من صحة البريد الإلكتروني، وأنها محتجزة في الحجر الصحي. من خلال تقديم ما يبدو أنه مشكلة تقنية تؤثر على تسليم البريد الإلكتروني، يحاول المحتالون...

الأكثر مشاهدة

جار التحميل...