Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер Hades

Зловреден софтуер Hades

До Mezo през Зловреден софтуер, Червеиг
Превод на:

Киберпрестъпниците продължават да засилват атаките срещу веригите за доставки на софтуер, като новооткритата злонамерена операция, известна като Hades, се очертава като една от най-сложните заплахи, наблюдавани до момента.

Изследователи разкриха кампанията Hades, високотехнологична атака срещу веригата за доставки, насочена към среди за разработка на Python. Зловредният софтуер се активира незабавно при импортиране на компрометиран пакет, използвайки популярния инструментариум Bun, за да изпълнява тихо многоетапни полезни товари. Тези полезни товари са способни да крадат чувствителна информация, да се движат странично между системи, да експлоатират надеждни рамки за сигурност и да манипулират инструменти за анализ на код, задвижвани от изкуствен интелект, чрез техники за враждебно инжектиране на промпт.

Сред засегнатите проекти са широко използваната C++ библиотека ensmallen и няколко пакета в рамките на екосистемите за компютърна биология, биоинформатика и генотип-фенотип анализ.

Защо Хадес се откроява

Най-тревожната характеристика на кампанията е комбинацията от множество усъвършенствани техники за атака в рамките на бързо разпространяващ се червей. Изследователите по сигурността вече са се сблъсквали със зловреден софтуер, фокусиран върху извличане на данни от паметта, атаки, предназначени да подведат анализа на сигурността на големи езикови модели (LLM), и разрушителен зловреден софтуер за изтриване на данни. Интегрирането на всичките три възможности в саморазпространяваща се заплаха за веригата за доставки обаче представлява значително повишаване на сложността.

Изследователите отдават кампанията на това, което изглежда е най-новата еволюция на хакера Miasma. По-ранни операции на Miasma използваха самовъзпроизвеждащи се червеи, които извършваха събиране на идентификационни данни от множество облаци, задействаха изпълнението на зловреден код, когато хранилищата бяха достъпвани чрез интегрирани среди за разработка (IDE) или агенти с изкуствен интелект, и сканираха паметта на процесите на Linux за ценни данни.

Операцията Hades запазва много от тези основни характеристики, включително кражба на идентификационни данни, разпространение на вируси, подобни на червеи, и изтичане на данни, базирано на GitHub. Допълнителни компрометирани пакети, идентифицирани по време на разследването, включват mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea и pyphetools.

От импортиране на пакети до пълно компрометиране на системата

Атаката започва с обфусциран скрипт, вграден във файла init.py на пакета, критичен компонент, който позволява импортирането на Python пакети. След като бъде изпълнен, зловредният софтуер разполага предварително компилирана Bun среда за изпълнение и стартира злонамерен JavaScript полезен товар.

Разчитайки на Bun, нападателите могат да изпълняват сложни JavaScript операции дори на системи без инсталиран Node.js. Този подход помага за заобикаляне на традиционните контроли за управление на пакети и намалява видимостта в прокси лог файловете.

Зловредният софтуер е оборудван с възможности за извличане на памет за Linux системи и включва специализирани модули за извличане на памет за macOS и Windows. Тези компоненти позволяват на атакуващите да възстановяват високочувствителна информация, включително криптирани данни, намиращи се в паметта.

Надхитряване на инструментите за сигурност с изкуствен интелект

Една от най-иновативните функции на кампанията е способността ѝ да манипулира автоматизирани скенери за сигурност, базирани на LLM. Нападателите поставят внимателно изработен блок от текст в началото на злонамерени файлове, който инструктира системите за анализ с изкуствен интелект да игнорират скрития код, да класифицират пакета като надежден и да генерират отчети, обявяващи го за безопасен.

Изследователите описват това като основна концептуална промяна в киберзаплахите. Вместо да се насочват единствено към софтуерни уязвимости, нападателите се насочват директно към процесите на разсъждение на системите с изкуствен интелект. Скенерите за сигурност, които изпращат суров код и текст към LLM без строги механизми за разделяне, могат да бъдат повлияни да генерират фалшиво отрицателни оценки, което позволява на злонамерените пакети да избегнат откриването.

Тази техника подчертава нарастващия риск, пред който са изправени организациите, които все повече зависят от инструменти за сигурност, задвижвани от изкуствен интелект. Тъй като LLM остават силно податливи на манипулации в стил социално инженерство, се очаква нападателите да продължат да атакуват както управлявани от изкуствен интелект агенти за сигурност, така и човешки потребители чрез все по-сложна измама, базирана на подкани.

Инфраструктурата на GitHub се превърна в скрит команден център

Архитектурата за командно-контролна система на Hades разчита на три отделни комуникационни канала, хоствани в публична инфраструктура на GitHub, което позволява на злонамерен трафик безпроблемно да се слива с легитимната дейност на разработчиците.

Откраднатите идентификационни данни се криптират локално чрез многоетапен процес, включващ сериализация и компресия, преди да бъдат качени в контролирани от хакера публични хранилища на GitHub. Тези хранилища обикновено са обозначени с описанието: „Хадес — Краят за прокълнатите“.

Стратегията за извличане на зловредния софтуер отразява техники, свързани преди това с Miasma, карайки GitHub да изглежда като нормална дестинация, докато прикрива злонамерена активност.

Използване на доверие за разпространение в мрежите

Определяща характеристика на кампанията е способността ѝ да се разпространява през различни среди, като злоупотребява с технологии, обикновено използвани за подобряване на сигурността и целостта на софтуера, включително:

  • Secure Shell (SSH) и Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Нива на веригата за доставки за софтуерни артефакти (SLSA)

Когато се изпълнява в GitHub Actions runner, зловредният софтуер търси налични OIDC променливи, заобикаля механизмите за прилагане на подписи в системния регистър и генерира криптографски подписани SLSA записи за произход, използвайки Sigstore. След това изтегля целевите библиотеки, инжектира злонамерени полезни товари и публикува отново компрометирани версии както в Python Package Index (PyPI), така и в npm, използвайки откраднати идентификационни данни и фалшифицирани данни за произход.

В резултат на това злонамерените пакети изглежда произхождат от легитимни организационни среди за изграждане и притежават привидно валидна криптографска проверка.

Тайна кражба, манипулация с агенти от изкуствен интелект и разрушителна постоянство

Освен отравянето на пакети и кражбата на идентификационни данни, Hades въвежда няколко допълнителни възможности, предназначени да увеличат максимално дългосрочното въздействие:

  • Извличане на тайни директно от паметта на GitHub Actions runner, без записване на данни на диск или генериране на подозрителен мрежов трафик.
  • Насочване към конфигурационни файлове и набори от правила, свързани с 14 различни AI агенти и платформи.
  • Разгръщане на персонализирани подкани и куки за изпълнение, които автоматично стартират злонамерени Bun команди, когато AI асистенти взаимодействат със заразени работни пространства.
  • Установяване на постоянен достъп до компрометирани системи.
  • Непрекъснато наблюдение на откраднати токени за удостоверяване.
  • Автоматично активиране на деструктивен компонент за почистване, ако откраднат токен бъде отменен, което води до изтриване на потребителски файлове.

Поглед към бъдещето на киберзаплахите

Кампанията „Хадес“ демонстрира как съвременният зловреден софтуер еволюира отвъд традиционните техники за експлоатация. Чрез комбиниране на компрометиране на веригата за доставки, извличане на данни от паметта, манипулиране с изкуствен интелект, кражба на идентификационни данни, злоупотреба с криптографско доверие, странично движение и разрушителни възможности в рамките на саморазпространяващ се червей, операцията илюстрира ново поколение киберзаплахи.

Може би най-тревожният проблем от страна на разработчиците е директното насочване към системи за сигурност, базирани на изкуствен интелект. Тъй като организациите все повече интегрират инструменти, базирани на LLM, в работните процеси за разработка и сигурност, нападателите започват да третират тези системи като самостоятелни повърхности за атака. Хадес служи като мощно напомняне, че бъдещето на киберсигурността ще включва защита не само на софтуера и инфраструктурата, но и на механизмите за вземане на решения на изкуствения интелект.

Тенденция

Lantixprostream.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Поддържането на бдителност, докато сърфирате в интернет, е от съществено значение, тъй като киберпрестъпниците непрекъснато разработват нови методи за заблуда на нищо неподозиращи потребители....

Грешка при валидиране на имейл, измама с имейл

Фишинг, Спам
Имейл измамата „Грешка при валидиране на имейл“ е фишинг кампания, която се маскира като автоматично известие от услуга за хостинг на имейли. Измамното съобщение твърди, че няколко входящи имейла са блокирани поради проблем с валидирането на имейла и се държат под карантина. Като представят нещо, което изглежда като технически проблем, засягащ доставката на имейли, измамниците се опитват да...

Lerantixflowcore.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете предпазливи при сърфиране в интернет е по-важно от всякога. Киберпрестъпниците и операторите на измамни уебсайтове непрекъснато разработват подвеждащи техники, предназначени да...

Най-гледан

Зареждане...