Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό Hades

Κακόβουλο λογισμικό Hades

Μέχρι το Mezo το Κακόβουλο λογισμικό, Σκουλήκια
Μετάφραση σε:

Οι κυβερνοεγκληματίες συνεχίζουν να εντείνουν τις επιθέσεις τους κατά των αλυσίδων εφοδιασμού λογισμικού, με μια πρόσφατα ανακαλυφθείσα επιχείρηση κακόβουλου λογισμικού, γνωστή ως Hades, να αναδεικνύεται ως μία από τις πιο εξελιγμένες απειλές που έχουν παρατηρηθεί μέχρι σήμερα.

Οι ερευνητές αποκάλυψαν την Hades Campaign, μια εξαιρετικά προηγμένη παραβίαση της αλυσίδας εφοδιασμού που στοχεύει σε περιβάλλοντα ανάπτυξης Python. Το κακόβουλο λογισμικό ενεργοποιείται αμέσως μόλις εισαχθεί ένα παραβιασμένο πακέτο, αξιοποιώντας το δημοφιλές κιτ εργαλείων Bun για την αθόρυβη εκτέλεση πολλαπλών σταδίων ωφέλιμων φορτίων. Αυτά τα ωφέλιμα φορτία είναι ικανά να κλέβουν ευαίσθητες πληροφορίες, να κινούνται πλευρικά σε συστήματα, να εκμεταλλεύονται αξιόπιστα πλαίσια ασφαλείας και να χειραγωγούν εργαλεία ανάλυσης κώδικα που υποστηρίζονται από τεχνητή νοημοσύνη μέσω τεχνικών άμεσης έγχυσης (adversarial prompt injection).

Μεταξύ των έργων που επηρεάζονται είναι η ευρέως χρησιμοποιούμενη βιβλιοθήκη C++ ensmallen και πολλά πακέτα σε οικοσυστήματα υπολογιστικής βιολογίας, βιοπληροφορικής και ανάλυσης γονότυπου-φαινοτύπου.

Γιατί ο Άδης ξεχωρίζει

Το πιο ανησυχητικό χαρακτηριστικό της καμπάνιας είναι ο συνδυασμός πολλαπλών προηγμένων τεχνικών επίθεσης μέσα σε ένα ταχέως διαδιδόμενο worm. Οι ερευνητές ασφαλείας έχουν συναντήσει στο παρελθόν κακόβουλο λογισμικό που επικεντρώνεται στην απόξεση μνήμης, επιθέσεις που έχουν σχεδιαστεί για να παραπλανήσουν την ανάλυση ασφάλειας μεγάλου γλωσσικού μοντέλου (LLM) και καταστροφικό κακόβουλο λογισμικό wiper. Ωστόσο, η ενσωμάτωση και των τριών δυνατοτήτων σε μια αυτοδιαδιδόμενη απειλή της αλυσίδας εφοδιασμού αντιπροσωπεύει μια σημαντική κλιμάκωση της πολυπλοκότητας.

Οι ερευνητές αποδίδουν την εκστρατεία σε αυτό που φαίνεται να είναι η τελευταία εξέλιξη του απειλητικού παράγοντα Miasma. Προηγούμενες επιχειρήσεις του Miasma ανέπτυσσαν αυτοαναπαραγόμενους σκουλήκια (worms) που πραγματοποιούσαν συλλογή διαπιστευτηρίων από πολλαπλά cloud, ενεργοποίησαν την εκτέλεση κακόβουλου κώδικα όταν έγινε πρόσβαση σε αποθετήρια μέσω ολοκληρωμένων περιβαλλόντων ανάπτυξης (IDE) ή παραγόντων τεχνητής νοημοσύνης και σάρωσαν τη μνήμη διεργασιών Linux για πολύτιμα δεδομένα.

Η λειτουργία Hades διατηρεί πολλά από αυτά τα βασικά χαρακτηριστικά, όπως η κλοπή διαπιστευτηρίων, η διάδοση τύπου worm και η εξαγωγή δεδομένων με βάση το GitHub. Πρόσθετα παραβιασμένα πακέτα που εντοπίστηκαν κατά τη διάρκεια της έρευνας περιλαμβάνουν τα mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea και pyphetools.

Από την εισαγωγή πακέτου έως την πλήρη παραβίαση συστήματος

Η επίθεση ξεκινά με ένα ασαφές σενάριο ενσωματωμένο στο αρχείο init.py ενός πακέτου, ένα κρίσιμο στοιχείο που επιτρέπει την εισαγωγή πακέτων Python. Μόλις εκτελεστεί, το κακόβουλο λογισμικό αναπτύσσει ένα προ-μεταγλωττισμένο περιβάλλον εκτέλεσης Bun και εκκινεί ένα κακόβουλο φορτίο JavaScript.

Βασιζόμενοι στο Bun, οι εισβολείς μπορούν να εκτελέσουν σύνθετες λειτουργίες JavaScript ακόμη και σε συστήματα χωρίς εγκατεστημένο το Node.js. Αυτή η προσέγγιση βοηθά στην παράκαμψη των παραδοσιακών ελέγχων διαχείρισης πακέτων και μειώνει την ορατότητα στα αρχεία καταγραφής proxy.

Το κακόβουλο λογισμικό είναι εξοπλισμένο με δυνατότητες συλλογής μνήμης για συστήματα Linux και περιλαμβάνει εξειδικευμένες μονάδες εξαγωγής μνήμης για macOS και Windows. Αυτά τα στοιχεία επιτρέπουν στους εισβολείς να ανακτούν εξαιρετικά ευαίσθητες πληροφορίες, συμπεριλαμβανομένων κρυπτογραφημένων δεδομένων που βρίσκονται στη μνήμη.

Ξεπερνώντας τα εργαλεία ασφαλείας τεχνητής νοημοσύνης

Ένα από τα πιο καινοτόμα χαρακτηριστικά της καμπάνιας είναι η ικανότητά της να χειρίζεται αυτοματοποιημένους σαρωτές ασφαλείας που βασίζονται σε LLM. Οι εισβολείς τοποθετούν ένα προσεκτικά κατασκευασμένο μπλοκ κειμένου στην αρχή κακόβουλων αρχείων που δίνει εντολή στα συστήματα ανάλυσης AI να αγνοήσουν τον κρυφό κώδικα, να ταξινομήσουν το πακέτο ως αξιόπιστο και να δημιουργήσουν αναφορές που το δηλώνουν ασφαλές.

Οι ερευνητές περιγράφουν αυτό ως μια σημαντική εννοιολογική αλλαγή στις κυβερνοαπειλές. Αντί να στοχεύουν μόνο τα τρωτά σημεία του λογισμικού, οι επιτιθέμενοι στοχεύουν άμεσα τις διαδικασίες συλλογισμού των συστημάτων τεχνητής νοημοσύνης. Οι σαρωτές ασφαλείας που υποβάλλουν ακατέργαστο κώδικα και κείμενο σε LLM χωρίς αυστηρούς μηχανισμούς διαχωρισμού μπορούν να επηρεαστούν ώστε να παράγουν ψευδώς αρνητικές αξιολογήσεις, επιτρέποντας στα κακόβουλα πακέτα να αποφεύγουν την ανίχνευση.

Αυτή η τεχνική υπογραμμίζει έναν αυξανόμενο κίνδυνο που αντιμετωπίζουν οι οργανισμοί που εξαρτώνται ολοένα και περισσότερο από εργαλεία ασφαλείας που υποστηρίζονται από την Τεχνητή Νοημοσύνη. Καθώς οι πτυχιούχοι LLM παραμένουν ιδιαίτερα ευάλωτοι σε χειραγώγηση τύπου κοινωνικής μηχανικής, οι επιτιθέμενοι αναμένεται να συνεχίσουν να στοχεύουν τόσο τους πράκτορες ασφαλείας που βασίζονται στην Τεχνητή Νοημοσύνη όσο και τους ανθρώπινους χρήστες μέσω ολοένα και πιο εξελιγμένης εξαπάτησης που βασίζεται σε άμεσες πληροφορίες.

Η υποδομή του GitHub μετατράπηκε σε ένα κρυφό κέντρο διοίκησης

Η αρχιτεκτονική εντολών και ελέγχου Hades βασίζεται σε τρία ξεχωριστά κανάλια επικοινωνίας που φιλοξενούνται σε δημόσια υποδομή GitHub, επιτρέποντας στην κακόβουλη κίνηση να συνδυάζεται άψογα με τη νόμιμη δραστηριότητα των προγραμματιστών.

Τα κλεμμένα διαπιστευτήρια κρυπτογραφούνται τοπικά μέσω μιας διαδικασίας πολλαπλών σταδίων που περιλαμβάνει σειριοποίηση και συμπίεση, πριν μεταφορτωθούν σε δημόσια αποθετήρια GitHub που ελέγχονται από εισβολείς. Αυτά τα αποθετήρια συνήθως φέρουν την περιγραφή: «Άδης — Το τέλος των καταραμένων».

Η στρατηγική απαγωγής του κακόβουλου λογισμικού αντικατοπτρίζει τεχνικές που είχαν προηγουμένως συσχετιστεί με το Miasma, κάνοντας το GitHub να εμφανίζεται ως ένας κανονικός προορισμός, ενώ παράλληλα αποκρύπτει κακόβουλη δραστηριότητα.

Αξιοποίηση της εμπιστοσύνης για εξάπλωση σε όλα τα δίκτυα

Ένα καθοριστικό χαρακτηριστικό της καμπάνιας είναι η ικανότητά της να διαδίδεται μέσω περιβαλλόντων κάνοντας κατάχρηση τεχνολογιών που χρησιμοποιούνται συνήθως για την ενίσχυση της ασφάλειας και της ακεραιότητας του λογισμικού, όπως:

  • Ασφαλές κέλυφος (SSH) και πρωτόκολλο ασφαλούς αντιγραφής (SCP)
  • Σύνδεση OpenID (OIDC)
  • Επίπεδα εφοδιαστικής αλυσίδας για τεχνητά στοιχεία λογισμικού (SLSA)

Όταν εκτελείται μέσα σε έναν εκτελεστή GitHub Actions, το κακόβουλο λογισμικό αναζητά διαθέσιμες μεταβλητές OIDC, παρακάμπτει τους μηχανισμούς επιβολής υπογραφής μητρώου και δημιουργεί κρυπτογραφικά υπογεγραμμένα αρχεία προέλευσης SLSA χρησιμοποιώντας το Sigstore. Στη συνέχεια, κατεβάζει βιβλιοθήκες-στόχους, εισάγει κακόβουλα φορτία και αναδημοσιεύει παραβιασμένες εκδόσεις τόσο στο Python Package Index (PyPI) όσο και στο npm χρησιμοποιώντας κλεμμένα διαπιστευτήρια και πλαστογραφημένα δεδομένα προέλευσης.

Ως αποτέλεσμα, τα κακόβουλα πακέτα φαίνεται να προέρχονται από νόμιμα οργανωτικά περιβάλλοντα κατασκευής και διαθέτουν φαινομενικά έγκυρη κρυπτογραφική επαλήθευση.

Μυστική Κλοπή, Χειραγώγηση Πράκτορα Τεχνητής Νοημοσύνης και Καταστροφική Επιμονή

Πέρα από την δηλητηρίαση δεμάτων και την κλοπή διαπιστευτηρίων, το Hades εισάγει αρκετές πρόσθετες δυνατότητες που έχουν σχεδιαστεί για να μεγιστοποιήσουν τον μακροπρόθεσμο αντίκτυπο:

  • Εξαγωγή μυστικών απευθείας από τη μνήμη του δρομέα GitHub Actions χωρίς εγγραφή δεδομένων στο δίσκο ή δημιουργία ύποπτης κίνησης δικτύου.
  • Στόχευση αρχείων διαμόρφωσης και συνόλων κανόνων που σχετίζονται με 14 διαφορετικούς παράγοντες και πλατφόρμες Τεχνητής Νοημοσύνης.
  • Ανάπτυξη προσαρμοσμένων προτροπών και hooks εκτέλεσης που εκκινούν αυτόματα κακόβουλες εντολές Bun όταν οι βοηθοί τεχνητής νοημοσύνης αλληλεπιδρούν με μολυσμένους χώρους εργασίας.
  • Δημιουργία μόνιμης πρόσβασης σε παραβιασμένα συστήματα.
  • Συνεχής παρακολούθηση κλεμμένων διακριτικών ελέγχου ταυτότητας.
  • Αυτόματη ενεργοποίηση ενός καταστροφικού στοιχείου υαλοκαθαριστήρα σε περίπτωση ανάκλησης ενός κλεμμένου διακριτικού, με αποτέλεσμα τη διαγραφή των αρχείων χρήστη.

Μια ματιά στο μέλλον των κυβερνοαπειλών

Η Εκστρατεία Hades καταδεικνύει πώς το σύγχρονο κακόβουλο λογισμικό εξελίσσεται πέρα από τις παραδοσιακές τεχνικές εκμετάλλευσης. Συνδυάζοντας την παραβίαση της αλυσίδας εφοδιασμού, την απόξεση μνήμης, τη χειραγώγηση τεχνητής νοημοσύνης, την κλοπή διαπιστευτηρίων, την κρυπτογραφική κατάχρηση εμπιστοσύνης, την πλευρική κίνηση και τις καταστροφικές δυνατότητες μέσα σε ένα αυτοδιαδιδόμενο σκουλήκι, η επιχείρηση αυτή καταδεικνύει μια νέα γενιά κυβερνοαπειλών.

Ίσως η πιο ανησυχητική εξέλιξη είναι η άμεση στόχευση συστημάτων ασφαλείας που βασίζονται στην Τεχνητή Νοημοσύνη. Καθώς οι οργανισμοί ενσωματώνουν όλο και περισσότερο εργαλεία που υποστηρίζονται από την Τεχνητή Νοημοσύνη (LLM) στις ροές εργασίας ανάπτυξης και ασφάλειας, οι επιτιθέμενοι αρχίζουν να αντιμετωπίζουν αυτά τα συστήματα ως επιφάνειες επίθεσης από μόνες τους. Το Hades χρησιμεύει ως μια ισχυρή υπενθύμιση ότι το μέλλον της κυβερνοασφάλειας θα περιλαμβάνει την υπεράσπιση όχι μόνο του λογισμικού και των υποδομών, αλλά και των μηχανισμών λήψης αποφάσεων της τεχνητής νοημοσύνης.

Τάσεις

Σφάλμα επικύρωσης email - Απάτη email

Phishing, Ανεπιθύμητη αλληλογραφία
Η απάτη μέσω email με τίτλο «Σφάλμα επικύρωσης email» είναι μια καμπάνια ηλεκτρονικού «ψαρέματος» (phishing) που μεταμφιέζεται σε αυτοματοποιημένη ειδοποίηση από μια υπηρεσία φιλοξενίας αλληλογραφίας. Το δόλιο μήνυμα ισχυρίζεται ότι πολλά εισερχόμενα email έχουν αποκλειστεί λόγω προβλήματος επικύρωσης email και βρίσκονται σε καραντίνα. Παρουσιάζοντας αυτό που φαίνεται να είναι ένα τεχνικό...

Περισσότερες εμφανίσεις

Φόρτωση...