Hadese pahavara
Küberkurjategijad intensiivistavad jätkuvalt rünnakuid tarkvara tarneahelate vastu ning äsja avastatud pahavaraoperatsioon Hades on osutunud üheks keerukamaks seni täheldatud ohuks.
Teadlased avastasid Hades Campaigni, ülitäpse tarneahela ohu, mis oli suunatud Pythoni arenduskeskkondadele. Pahavara aktiveerub kohe, kui ohustatud pakett imporditakse, kasutades populaarset Bun tööriistakomplekti mitmeastmeliste koormuste vaikseks käivitamiseks. Need koormused on võimelised varastama tundlikku teavet, liikuma süsteemide vahel horisontaalselt, ära kasutama usaldusväärseid turvaraamistikke ja manipuleerima tehisintellektil põhinevate koodianalüüsi tööriistadega vaenulike kiire süstimise tehnikate abil.
Mõjutatud projektide hulgas on laialdaselt kasutatav C++ teek ensmallen ja mitmed arvutusbioloogia, bioinformaatika ja genotüübi-fenotüübi analüüsi ökosüsteemide paketid.
Sisukord
Miks Hades eristub
Kampaania kõige murettekitavam omadus on mitmete täiustatud rünnakutehnikate kombinatsioon kiiresti levivas ussis. Turvauurijad on varem kokku puutunud mälu kraapimisele suunatud pahavaraga, suure keelemudeli (LLM) turvaanalüüsi eksitamiseks mõeldud rünnakutega ja hävitava pühkimispahavaraga. Kõigi kolme võimekuse integreerimine ise levivasse tarneahela ohtu kujutab endast aga olulist keerukuse suurenemist.
Teadlased omistavad kampaania Miasma ohutegija viimasele arengule. Varasemad Miasma operatsioonid kasutasid isereplitseerivaid usse, mis kogusid mitmest pilvest mandaate, käivitasid pahatahtliku koodi käivitamise, kui repositooriumidele pääseti ligi integreeritud arenduskeskkondade (IDE) või tehisintellekti agentide kaudu, ning skannisid Linuxi protsessimälu väärtuslike andmete leidmiseks.
Hadese operatsioon säilitab paljud neist põhiomadustest, sealhulgas volituste varguse, ussilaadse leviku ja GitHubi-põhise andmete väljafiltreerimise. Uurimise käigus tuvastati ka teisi ohustatud pakette, sealhulgas mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea ja pyphetools.
Pakettide impordist kuni täieliku süsteemi kompromiteerimiseni
Rünnak algab hägustatud skriptiga, mis on manustatud paketi init.py faili, mis on Pythoni pakettide importimist võimaldav kriitiline komponent. Pärast käivitamist juurutab pahavara eelkompileeritud Buni käituskeskkonna ja käivitab pahatahtliku JavaScripti koormuse.
Bunile toetudes saavad ründajad teostada keerulisi JavaScripti toiminguid isegi süsteemides, kus pole Node.js installitud. See lähenemisviis aitab mööda hiilida traditsioonilistest paketihalduse juhtelementidest ja vähendab nähtavust puhverserveri logides.
Pahavara on varustatud mälu kraapimise võimalustega Linuxi süsteemidele ning sisaldab spetsiaalseid mälu ekstraheerimise mooduleid macOS-i ja Windowsi jaoks. Need komponendid võimaldavad ründajatel taastada väga tundlikku teavet, sealhulgas mälus olevaid krüptitud andmeid.
Tehisintellekti turvatööriistade üle kavaldamine
Üks kampaania uuenduslikumaid omadusi on võime manipuleerida automatiseeritud LLM-põhiste turvaskanneritega. Ründajad paigutavad pahatahtlike failide algusesse hoolikalt koostatud tekstiploki, mis annab tehisintellekti analüüsisüsteemidele juhised ignoreerida peidetud koodi, liigitada pakett usaldusväärseks ja genereerida aruandeid, mis kuulutavad selle ohutuks.
Teadlased kirjeldavad seda kui küberohtude suurt kontseptuaalset nihet. Tarkvara haavatavuste sihtimise asemel sihivad ründajad otse tehisintellekti süsteemide arutlusprotsesse. Turvaskannerid, mis esitavad õigusteaduslikele halduritele (LLM) toorkoodi ja teksti ilma rangete eraldusmehhanismideta, võivad tekitada vale-negatiivseid tulemusi, mis võimaldab pahatahtlikel pakettidel avastamist vältida.
See tehnika toob esile kasvava riski, millega seisavad silmitsi organisatsioonid, kes üha enam sõltuvad tehisintellektil põhinevatest turvatööriistadest. Kuna õigusteaduse spetsialistid on endiselt väga vastuvõtlikud sotsiaalse inseneritöö stiilis manipuleerimisele, eeldatakse, et ründajad jätkavad nii tehisintellektil põhinevate turvaagentide kui ka inimeste sihtimist üha keerukamate käsuviibal põhinevate pettuste abil.
GitHubi infrastruktuurist sai salajane juhtimiskeskus
Hadese käsklus- ja juhtimisarhitektuur tugineb kolmele eraldi suhtluskanalile, mis asuvad avalikul GitHubi infrastruktuuril, võimaldades pahatahtlikul liiklusel sujuvalt sulanduda seadusliku arendajategevusega.
Varastatud volikirjad krüpteeritakse lokaalselt mitmeastmelise protsessi abil, mis hõlmab serialiseerimist ja tihendamist, enne kui need üles laaditakse ründaja kontrollitavatesse avalikesse GitHubi repositooriumidesse. Need repositooriumid on tavaliselt märgistatud kirjeldusega: „Hades – neetud lõpp”.
Pahavara väljafiltreerimise strateegia peegeldab varem Miasmaga seostatud tehnikaid, pannes GitHubi paistma tavalise sihtkohana, varjates samal ajal pahatahtlikku tegevust.
Usalduse ärakasutamine võrgustikes levitamiseks
Kampaania iseloomulikuks tunnuseks on selle võime levida keskkondades, kuritarvitades tehnoloogiaid, mida tavaliselt kasutatakse turvalisuse ja tarkvara terviklikkuse parandamiseks, sealhulgas:
- Turvaline kest (SSH) ja turvalise kopeerimise protokoll (SCP)
- OpenID Connect (OIDC)
- Tarkvaraartefaktide tarneahela tasemed (SLSA)
GitHub Actionsi käivitajas käivitatuna otsib pahavara saadaolevaid OIDC muutujaid, möödub registriallkirja jõustamise mehhanismidest ja genereerib Sigstore'i abil krüptograafiliselt allkirjastatud SLSA päritolukirjeid. Seejärel laadib see alla sihtteegid, süstib pahatahtlikke koormusi ja avaldab ohustatud versioonid nii Python Package Indexis (PyPI) kui ka npm-is, kasutades varastatud volitusi ja võltsitud päritoluandmeid.
Seetõttu näivad pahatahtlikud paketid pärinevat õigustatud organisatsioonilistest ehituskeskkondadest ja neil on näiliselt kehtiv krüptograafiline kinnitus.
Salajane vargus, tehisintellekti agendi manipuleerimine ja hävitav püsivus
Lisaks pakkide mürgitamisele ja volituste vargusele pakub Hades mitmeid lisavõimalusi, mis on loodud pikaajalise mõju maksimeerimiseks:
- Saladuste ekstraheerimine otse GitHub Actionsi käivitaja mälust ilma andmeid kettale kirjutamata või kahtlast võrguliiklust genereerimata.
- 14 erineva tehisintellekti agendi ja platvormiga seotud konfiguratsioonifailide ja reeglistike sihtimine.
- Kohandatud viipade ja täitmiskonksude juurutamine, mis käivitavad automaatselt pahatahtlikke Buni käske, kui tehisintellekti assistendid suhtlevad nakatunud tööruumidega.
- Püsiva juurdepääsu loomine ohustatud süsteemidele.
- Varastatud autentimismärkide pidev jälgimine.
- Varastatud tokeni tühistamisel aktiveeritakse automaatselt hävitav puhastuskomponent, mille tulemuseks on kasutajafailide kustutamine.
Pilguheit küberohtude tulevikku
Hadese kampaania demonstreerib, kuidas tänapäevane pahavara areneb traditsioonilistest ärakasutamistehnikatest kaugemale. Kombineerides tarneahela kompromiteerimist, mälu kraapimist, tehisintellektiga manipuleerimist, volituste vargust, krüptograafilise usalduse kuritarvitamist, külgmist liikumist ja hävitavaid võimeid isepaljuneva ussi sees, illustreerib see operatsioon uut põlvkonda küberohte.
Võib-olla kõige murettekitavam arendustegevuses on tehisintellektil põhinevate turvasüsteemide otsene sihtimine. Kuna organisatsioonid integreerivad üha enam õigusteaduse magistriõppel põhinevaid tööriistu arendus- ja turbeprotsessidesse, hakkavad ründajad neid süsteeme käsitlema iseseisvate rünnakupindadena. Hades on võimas meeldetuletus, et küberturvalisuse tulevik hõlmab lisaks tarkvarale ja infrastruktuurile ka tehisintellekti otsustusmehhanismide kaitsmist.
