Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós d'Hades

Programari maliciós d'Hades

El Mezo el Programari maliciós, Cucs
Traduir a:

Els ciberdelinqüents continuen intensificant els atacs contra les cadenes de subministrament de programari, i una operació de programari maliciós recentment descoberta coneguda com Hades s'ha convertit en una de les amenaces més sofisticades observades fins ara.

Els investigadors van descobrir la Campanya Hades, un compromís de la cadena de subministrament altament avançat dirigit a entorns de desenvolupament Python. El programari maliciós s'activa immediatament quan s'importa un paquet compromès, aprofitant el popular conjunt d'eines Bun per executar silenciosament càrregues útils de diverses etapes. Aquestes càrregues útils són capaces de robar informació sensible, moure's lateralment a través dels sistemes, explotar marcs de seguretat de confiança i manipular eines d'anàlisi de codi basades en IA mitjançant tècniques d'injecció de senyals adversaris.

Entre els projectes afectats hi ha la biblioteca C++ àmpliament utilitzada ensmallen i diversos paquets dins dels ecosistemes de biologia computacional, bioinformàtica i anàlisi genotip-fenotip.

Per què Hades es diferencia

La característica més alarmant de la campanya és la combinació de múltiples tècniques d'atac avançades dins d'un cuc que es propaga ràpidament. Els investigadors de seguretat s'han trobat anteriorment amb programari maliciós centrat en l'extracció de memòria, atacs dissenyats per enganyar l'anàlisi de seguretat del model de llenguatge gran (LLM) i programari maliciós destructiu de tipus wiper. Tanmateix, la integració de les tres capacitats en una amenaça de la cadena de subministrament que s'autopropaga representa una escalada significativa de sofisticació.

Els investigadors atribueixen la campanya al que sembla ser l'última evolució de l'actor d'amenaces Miasma. Operacions anteriors de Miasma van desplegar cucs autoreplicants que realitzaven la recol·lecció de credencials en diversos núvols, activaven l'execució de codi maliciós quan s'accedia als repositoris a través d'entorns de desenvolupament integrats (IDE) o agents d'IA i escanejaven la memòria dels processos de Linux per obtenir dades valuoses.

L'operació Hades conserva moltes d'aquestes característiques bàsiques, com ara el robatori de credencials, la propagació similar a la de cucs i l'exfiltració de dades basada en GitHub. Altres paquets compromesos identificats durant la investigació inclouen mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea i pyphetools.

De la importació de paquets a la compromissió completa del sistema

L'atac comença amb un script ofuscat incrustat dins del fitxer init.py d'un paquet, un component crític que permet la importació de paquets Python. Un cop executat, el programari maliciós desplega un temps d'execució Bun precompilat i llança una càrrega útil de JavaScript maliciosa.

Confiant en Bun, els atacants poden executar operacions complexes de JavaScript fins i tot en sistemes sense Node.js instal·lat. Aquest enfocament ajuda a eludir els controls tradicionals de gestió de paquets i redueix la visibilitat als registres del servidor intermediari.

El programari maliciós està equipat amb capacitats de rastreig de memòria per a sistemes Linux i inclou mòduls especialitzats d'extracció de memòria per a macOS i Windows. Aquests components permeten als atacants recuperar informació altament sensible, incloses les dades xifrades que resideixen a la memòria.

Ser més llest que les eines de seguretat d’IA

Una de les característiques més innovadores de la campanya és la seva capacitat de manipular escàners de seguretat automatitzats basats en LLM. Els atacants col·loquen un bloc de text elaborat acuradament al principi dels fitxers maliciosos que indica als sistemes d'anàlisi d'IA que ignorin el codi ocult, classifiquin el paquet com a fiable i generin informes que el declaren segur.

Els investigadors descriuen això com un canvi conceptual important en les amenaces cibernètiques. En lloc de atacar només les vulnerabilitats del programari, els atacants ataquen directament els processos de raonament dels sistemes d'IA. Els escàners de seguretat que envien codi i text en brut als LLM sense mecanismes de separació estrictes poden ser influenciats per produir avaluacions falsos negatius, permetent que els paquets maliciosos evitin la detecció.

Aquesta tècnica posa de manifest un risc creixent al qual s'enfronten les organitzacions que depenen cada cop més d'eines de seguretat basades en IA. Com que els LLM continuen sent altament susceptibles a la manipulació d'estil enginyeria social, s'espera que els atacants continuïn atacant tant els agents de seguretat basats en IA com els usuaris humans mitjançant un engany basat en indicacions cada cop més sofisticat.

La infraestructura de GitHub es va convertir en un centre de comandament discret

L'arquitectura de comandament i control de Hades es basa en tres canals de comunicació separats allotjats en una infraestructura pública de GitHub, cosa que permet que el trànsit maliciós es combini perfectament amb l'activitat legítima dels desenvolupadors.

Les credencials robades es xifren localment mitjançant un procés de diverses etapes que implica la serialització i la compressió abans de ser carregades als repositoris públics de GitHub controlats per l'atacant. Aquests repositoris solen estar etiquetats amb la descripció: "Hades: la fi dels maleïts".

L'estratègia d'exfiltració del programari maliciós reflecteix les tècniques anteriorment associades amb Miasma, fent que GitHub sembli una destinació normal alhora que oculta l'activitat maliciosa.

Explotant la confiança per estendre’s a través de les xarxes

Una característica definidora de la campanya és la seva capacitat de propagar-se a través d'entorns mitjançant l'abús de tecnologies que normalment s'utilitzen per millorar la seguretat i la integritat del programari, com ara:

  • Secure Shell (SSH) i Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Nivells de la cadena de subministrament per a artefactes de programari (SLSA)

Quan s'executa dins d'un executor d'accions de GitHub, el programari maliciós cerca variables OIDC disponibles, evita els mecanismes d'aplicació de signatures de registre i genera registres de procedència SLSA signats criptogràficament mitjançant Sigstore. A continuació, descarrega biblioteques de destinació, injecta càrregues útils malicioses i torna a publicar versions compromeses tant al Python Package Index (PyPI) com a npm utilitzant credencials robades i dades de procedència falsificades.

Com a resultat, els paquets maliciosos semblen originar-se en entorns de compilació organitzativa legítims i posseeixen una verificació criptogràfica aparentment vàlida.

Robatori secret, manipulació d’agents d’IA i persistència destructiva

Més enllà de la intoxicació de paquets i el robatori de credencials, Hades introdueix diverses capacitats addicionals dissenyades per maximitzar l'impacte a llarg termini:

  • Extracció de secrets directament de la memòria de l'executor d'accions de GitHub sense escriure dades al disc ni generar trànsit de xarxa sospitós.
  • Segmentació de fitxers de configuració i conjunts de regles associats amb 14 agents i plataformes d'IA diferents.
  • Implementació de prompts personalitzats i hooks d'execució que inicien automàticament ordres Bun malicioses quan els assistents d'IA interactuen amb espais de treball infectats.
  • Establiment d'accés persistent en sistemes compromesos.
  • Monitorització contínua dels tokens d'autenticació robats.
  • Activació automàtica d'un component destructiu d'esborrat si es revoca un token robat, cosa que provoca l'eliminació dels fitxers de l'usuari.

Una ullada al futur de les amenaces cibernètiques

La Campanya Hades demostra com el programari maliciós modern està evolucionant més enllà de les tècniques d'explotació tradicionals. Combinant el compromís de la cadena de subministrament, el rastreig de memòria, la manipulació de la IA, el robatori de credencials, l'abús de confiança criptogràfica, el moviment lateral i les capacitats destructives dins d'un cuc autopropagador, l'operació il·lustra una nova generació d'amenaces cibernètiques.

Potser el desenvolupament més preocupant és l'objectiu directe dels sistemes de seguretat basats en IA. A mesura que les organitzacions integren cada cop més eines basades en LLM en els fluxos de treball de desenvolupament i seguretat, els atacants comencen a tractar aquests sistemes com a superfícies d'atac per dret propi. Hades serveix com un poderós recordatori que el futur de la ciberseguretat implicarà defensar no només el programari i la infraestructura, sinó també els mecanismes de presa de decisions de la intel·ligència artificial.

Tendència

Més vist

Carregant...