Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware Hades

Malware Hades

V roce Mezo v roce Malware, Červi
Přeložit do:

Kyberzločinci nadále zintenzivňují útoky proti dodavatelským řetězcům softwaru a nově objevená malwarová operace známá jako Hades se stává jednou z nejsofistikovanějších hrozeb, které byly dosud pozorovány.

Výzkumníci odhalili kampaň Hades, vysoce pokročilý malware zaměřený na kompromitaci dodavatelského řetězce zaměřený na vývojová prostředí Pythonu. Malware se aktivuje okamžitě po importu napadeného balíčku a využívá populární sadu nástrojů Bun k tichému spouštění vícestupňových datových úložišť. Tato datová úložišťa jsou schopna krást citlivé informace, šířit se mezi systémy, zneužívat důvěryhodné bezpečnostní rámce a manipulovat s nástroji pro analýzu kódu poháněnými umělou inteligencí pomocí technik adversarial prompt injection.

Mezi dotčenými projekty je široce používaná knihovna C++ ensmallen a několik balíčků v rámci ekosystémů výpočetní biologie, bioinformatiky a analýzy genotypu a fenotypu.

Proč Hádes vyniká

Nejvíce alarmující charakteristikou kampaně je kombinace několika pokročilých útočných technik v rámci rychle se šířícího červa. Bezpečnostní výzkumníci se již dříve setkali s malwarem zaměřeným na scraping paměti, útoky navrženými tak, aby zkreslily bezpečnostní analýzu modelů velkých jazyků (LLM), a destruktivním malwarem typu wiper. Integrace všech tří schopností do samošířící se hrozby pro dodavatelský řetězec však představuje významné zvýšení sofistikovanosti.

Výzkumníci připisují kampaň tomu, co se zdá být nejnovějším vývojem hrozby Miasma. Dřívější operace Miasma nasazovaly samoreplikující se červy, které prováděly sběr přihlašovacích údajů z více cloudů, spouštěly spuštění škodlivého kódu při přístupu k repozitářům prostřednictvím integrovaných vývojových prostředí (IDE) nebo agentů umělé inteligence a skenovaly paměť procesů Linuxu a hledaly cenná data.

Operace Hades si zachovává mnoho z těchto klíčových charakteristik, včetně krádeže přihlašovacích údajů, šíření podobným červům a úniku dat z GitHubu. Mezi další kompromitované balíčky identifikované během vyšetřování patří mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea a pyphetools.

Od importu balíčků k úplnému narušení systému

Útok začíná obfuskovaným skriptem vloženým do souboru init.py balíčku, což je klíčová komponenta, která umožňuje import balíčků Pythonu. Po spuštění malware nasadí předkompilovaný běhový modul Bun a spustí škodlivý JavaScriptový datový soubor.

Spoléháním se na Bun mohou útočníci provádět složité JavaScriptové operace i na systémech bez nainstalovaného Node.js. Tento přístup pomáhá obejít tradiční ovládací prvky správy balíčků a snižuje viditelnost v protokolech proxy.

Malware je vybaven schopnostmi protrhávání dat z paměti pro systémy Linux a obsahuje specializované moduly pro extrakci dat z paměti pro macOS a Windows. Tyto komponenty umožňují útočníkům obnovit vysoce citlivé informace, včetně šifrovaných dat uložených v paměti.

Přechytračení bezpečnostních nástrojů s umělou inteligencí

Jednou z nejinovativnějších funkcí kampaně je její schopnost manipulovat s automatizovanými bezpečnostními skenery založenými na LLM. Útočníci umístí na začátek škodlivých souborů pečlivě vytvořený blok textu, který instruuje systémy analýzy s využitím umělé inteligence, aby ignorovaly skrytý kód, klasifikovaly balíček jako důvěryhodný a generovaly zprávy, které jej prohlašují za bezpečný.

Výzkumníci to popisují jako zásadní koncepční posun v kybernetických hrozbách. Útočníci se nezaměřují pouze na softwarové zranitelnosti, ale přímo na uvažovací procesy systémů umělé inteligence. Bezpečnostní skenery, které odesílají nezpracovaný kód a text do LLM bez striktních mechanismů oddělení, mohou být ovlivněny tak, aby vytvářely falešně negativní hodnocení, což umožňuje škodlivým balíčkům vyhnout se detekci.

Tato technika zdůrazňuje rostoucí riziko, kterému čelí organizace, které se stále více spoléhají na bezpečnostní nástroje založené na umělé inteligenci. Vzhledem k tomu, že LLM systémy jsou stále vysoce náchylné k manipulaci ve stylu sociálního inženýrství, očekává se, že útočníci budou i nadále cílit jak na bezpečnostní agenty řízené umělou inteligencí, tak na lidské uživatele prostřednictvím stále sofistikovanějšího klamání založeného na výzvách.

Infrastruktura GitHubu se proměnila v nenápadné velitelské centrum

Architektura velení a řízení Hades se spoléhá na tři samostatné komunikační kanály hostované na veřejné infrastruktuře GitHubu, což umožňuje bezproblémové prolínání škodlivého provozu s legitimní aktivitou vývojářů.

Ukradené přihlašovací údaje jsou před nahráním do veřejných repozitářů GitHub kontrolovaných útočníkem šifrovány lokálně pomocí vícestupňového procesu zahrnujícího serializaci a kompresi. Tyto repozitáře jsou obvykle označeny popisem: „Hades – Konec zatracených“.

Strategie exfiltrace malwaru odráží techniky dříve spojované s Miasmou, takže GitHub se jeví jako normální cíl, zatímco škodlivá aktivita je skrývána.

Zneužívání důvěry k šíření napříč sítěmi

Charakteristickým rysem kampaně je její schopnost šířit se v prostředí zneužíváním technologií obvykle používaných ke zvýšení bezpečnosti a integrity softwaru, včetně:

  • Secure Shell (SSH) a Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Úrovně dodavatelského řetězce pro softwarové artefakty (SLSA)

Když je malware spuštěn uvnitř běhového programu GitHub Actions, vyhledává dostupné proměnné OIDC, obchází mechanismy vynucování podpisů v registru a generuje kryptograficky podepsané záznamy o původu SLSA pomocí Sigstore. Poté stahuje cílové knihovny, vkládá škodlivé datové části a znovu publikuje kompromitované verze do indexu balíčků Python (PyPI) a npm s použitím ukradených přihlašovacích údajů a padělaných dat o původu.

V důsledku toho se zdá, že škodlivé balíčky pocházejí z legitimních organizačních prostředí a mají zdánlivě platné kryptografické ověření.

Tajná krádež, manipulace s agenty umělé inteligence a destruktivní vytrvalost

Kromě útoků typu „package poison“ a krádeže přihlašovacích údajů představuje Hades několik dalších funkcí určených k maximalizaci dlouhodobého dopadu:

  • Extrakce tajných kódů přímo z paměti běžce GitHub Actions bez zápisu dat na disk nebo generování podezřelého síťového provozu.
  • Cílení konfiguračních souborů a sad pravidel spojených se 14 různými agenty a platformami umělé inteligence.
  • Nasazení vlastních výzev a spouštěcích hooků, které automaticky spouštějí škodlivé příkazy Bun, když asistenti umělé inteligence interagují s infikovanými pracovními prostory.
  • Zajištění trvalého přístupu k napadeným systémům.
  • Neustálé sledování odcizených autentizačních tokenů.
  • Automatická aktivace destruktivní komponenty stírače v případě odvolání odcizeného tokenu, což má za následek smazání uživatelských souborů.

Pohled do budoucnosti kybernetických hrozeb

Kampaň Hades ukazuje, jak se moderní malware vyvíjí nad rámec tradičních technik zneužívání. Kombinací kompromitace dodavatelského řetězce, scrapingu paměti, manipulace s umělou inteligencí, krádeže přihlašovacích údajů, zneužití kryptografické důvěryhodnosti, laterálního pohybu a destruktivních schopností v rámci samomnožícího se červa tato operace ilustruje novou generaci kybernetických hrozeb.

Asi nejvíce znepokojivým vývojem je přímé cílení na bezpečnostní systémy řízené umělou inteligencí. Vzhledem k tomu, že organizace stále více integrují nástroje založené na LLM do vývojových a bezpečnostních pracovních postupů, útočníci začínají tyto systémy považovat za samostatné útočné plochy. Hádes slouží jako silná připomínka toho, že budoucnost kybernetické bezpečnosti bude zahrnovat obranu nejen softwaru a infrastruktury, ale také rozhodovacích mechanismů umělé inteligence.

Související příspěvky

Trendy

Chyba ověření e-mailu – podvod s e-mailem

Phishing, Spam
E-mailový podvod s názvem „Chyba ověření e-mailu“ je phishingová kampaň, která se maskuje jako automatické oznámení od služby hostingu e-mailů. Podvodná zpráva tvrdí, že několik příchozích e-mailů bylo zablokováno kvůli problému s ověřováním e-mailů a jsou uloženy v karanténě. Prezentací zdánlivě technického problému ovlivňujícího doručování e-mailů se podvodníci snaží přimět příjemce k...

Nejvíce shlédnuto

Načítání...