قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار Hades

بدافزار Hades

تا Mezo در بدافزار, کرم ها
ترجمه به:

مجرمان سایبری همچنان به تشدید حملات علیه زنجیره‌های تأمین نرم‌افزار ادامه می‌دهند و یک عملیات بدافزاری تازه کشف‌شده به نام Hades به عنوان یکی از پیچیده‌ترین تهدیدات مشاهده‌شده تا به امروز ظاهر شده است.

محققان، کمپین Hades، یک حمله‌ی زنجیره‌ی تأمین بسیار پیشرفته که محیط‌های توسعه‌ی پایتون را هدف قرار می‌دهد، را کشف کردند. این بدافزار بلافاصله پس از وارد کردن یک بسته‌ی آلوده فعال می‌شود و از ابزار محبوب Bun برای اجرای مخفیانه‌ی بارهای داده‌ی چند مرحله‌ای استفاده می‌کند. این بارها قادر به سرقت اطلاعات حساس، انتقال جانبی در سیستم‌ها، سوءاستفاده از چارچوب‌های امنیتی قابل اعتماد و دستکاری ابزارهای تحلیل کد مبتنی بر هوش مصنوعی از طریق تکنیک‌های تزریق سریع خصمانه هستند.

از جمله پروژه‌های تحت تأثیر، می‌توان به کتابخانه‌ی پرکاربرد ++C به نام ensmallen و چندین بسته‌ی کاربردی در زیست‌شناسی محاسباتی، بیوانفورماتیک و اکوسیستم‌های تحلیل ژنوتیپ-فنوتیپ اشاره کرد.

چرا هادس متمایز است؟

نگران‌کننده‌ترین ویژگی این کمپین، ترکیب چندین تکنیک حمله پیشرفته در یک کرم با سرعت انتشار بالا است. محققان امنیتی پیش از این با بدافزارهایی مواجه شده‌اند که بر روی خراشیدن حافظه، حملاتی که برای گمراه کردن تحلیل امنیتی مدل زبان بزرگ (LLM) طراحی شده‌اند و بدافزارهای مخرب پاک‌کننده اطلاعات تمرکز دارند. با این حال، ادغام هر سه قابلیت در یک تهدید زنجیره تأمین خودگستر، نشان‌دهنده افزایش قابل توجه پیچیدگی آن است.

محققان این کمپین را به آنچه که به نظر می‌رسد آخرین تکامل عامل تهدید Miasma است، نسبت می‌دهند. عملیات‌های قبلی Miasma کرم‌های خود تکثیر شونده‌ای را مستقر می‌کردند که برداشت اعتبارنامه‌های چند ابری را انجام می‌دادند، هنگام دسترسی به مخازن از طریق محیط‌های توسعه یکپارچه (IDE) یا عوامل هوش مصنوعی، باعث اجرای کد مخرب می‌شدند و حافظه پردازش لینوکس را برای داده‌های ارزشمند اسکن می‌کردند.

عملیات Hades بسیاری از این ویژگی‌های اصلی، از جمله سرقت اعتبارنامه، انتشار کرم‌مانند و استخراج داده‌ها مبتنی بر GitHub را حفظ کرده است. بسته‌های آلوده دیگری که در طول تحقیقات شناسایی شده‌اند عبارتند از mflux-streamlit، nhmpy، ppkt2synergy، embiggen، gpsea و pyphetools.

از وارد کردن بسته تا نفوذ کامل به سیستم

این حمله با یک اسکریپت مبهم‌سازی‌شده که در فایل init.py یک بسته جاسازی شده است، آغاز می‌شود. این فایل، یک جزء حیاتی است که امکان وارد کردن بسته‌های پایتون را فراهم می‌کند. پس از اجرا، بدافزار یک زمان اجرای Bun از پیش کامپایل‌شده را مستقر کرده و یک بار داده مخرب جاوا اسکریپت را اجرا می‌کند.

با تکیه بر Bun، مهاجمان می‌توانند عملیات پیچیده جاوا اسکریپت را حتی روی سیستم‌هایی که Node.js نصب نشده است، اجرا کنند. این رویکرد به دور زدن کنترل‌های سنتی مدیریت بسته کمک می‌کند و قابلیت مشاهده در گزارش‌های پروکسی را کاهش می‌دهد.

این بدافزار مجهز به قابلیت‌های خراشیدن حافظه برای سیستم‌های لینوکس است و شامل ماژول‌های تخصصی استخراج حافظه برای macOS و ویندوز می‌باشد. این اجزا به مهاجمان اجازه می‌دهند اطلاعات بسیار حساس، از جمله داده‌های رمزگذاری شده موجود در حافظه را بازیابی کنند.

هوش مصنوعی در ابزارهای امنیتی

یکی از نوآورانه‌ترین ویژگی‌های این کمپین، توانایی آن در دستکاری اسکنرهای امنیتی خودکار مبتنی بر LLM است. مهاجمان یک بلوک متنی با دقت ساخته شده را در ابتدای فایل‌های مخرب قرار می‌دهند که به سیستم‌های تحلیل هوش مصنوعی دستور می‌دهد کد پنهان را نادیده بگیرند، بسته را به عنوان قابل اعتماد طبقه‌بندی کنند و گزارش‌هایی تولید کنند که آن را ایمن اعلام کنند.

محققان این را به عنوان یک تغییر مفهومی عمده در تهدیدات سایبری توصیف می‌کنند. مهاجمان به جای هدف قرار دادن آسیب‌پذیری‌های نرم‌افزاری به تنهایی، مستقیماً فرآیندهای استدلال سیستم‌های هوش مصنوعی را هدف قرار می‌دهند. اسکنرهای امنیتی که کد و متن خام را بدون مکانیسم‌های جداسازی دقیق به LLMها ارسال می‌کنند، می‌توانند تحت تأثیر قرار گیرند و ارزیابی‌های منفی کاذب تولید کنند و به بسته‌های مخرب اجازه دهند از شناسایی فرار کنند.

این تکنیک، خطر رو به رشدی را که سازمان‌هایی که به طور فزاینده‌ای به ابزارهای امنیتی مبتنی بر هوش مصنوعی وابسته هستند، با آن مواجه هستند، برجسته می‌کند. از آنجایی که LLMها همچنان در معرض دستکاری به سبک مهندسی اجتماعی هستند، انتظار می‌رود مهاجمان همچنان از طریق فریب مبتنی بر سرعت عمل که به طور فزاینده‌ای پیچیده می‌شود، هم عوامل امنیتی مبتنی بر هوش مصنوعی و هم کاربران انسانی را هدف قرار دهند.

زیرساخت گیت‌هاب به یک مرکز فرماندهی مخفی تبدیل شد

معماری فرماندهی و کنترل Hades به سه کانال ارتباطی جداگانه که در زیرساخت عمومی GitHub میزبانی می‌شوند، متکی است و این امکان را فراهم می‌کند که ترافیک مخرب به طور یکپارچه با فعالیت مشروع توسعه‌دهندگان ترکیب شود.

اعتبارنامه‌های سرقت‌شده قبل از آپلود شدن در مخازن عمومی GitHub تحت کنترل مهاجم، از طریق یک فرآیند چند مرحله‌ای شامل سریال‌سازی و فشرده‌سازی، به‌صورت محلی رمزگذاری می‌شوند. این مخازن معمولاً با این توضیح برچسب‌گذاری می‌شوند: «هادس - پایان نفرین‌شدگان».

استراتژی خروج بدافزار از سیستم، تکنیک‌هایی را که قبلاً با Miasma مرتبط بودند، منعکس می‌کند و باعث می‌شود GitHub به عنوان یک مقصد عادی ظاهر شود در حالی که فعالیت مخرب را پنهان می‌کند.

سوءاستفاده از اعتماد برای گسترش در سراسر شبکه‌ها

یکی از ویژگی‌های بارز این کمپین، توانایی آن در انتشار از طریق محیط‌ها با سوءاستفاده از فناوری‌هایی است که معمولاً برای افزایش امنیت و یکپارچگی نرم‌افزار استفاده می‌شوند، از جمله:

  • پوسته امن (SSH) و پروتکل کپی امن (SCP)
  • اتصال OpenID (OIDC)
  • سطوح زنجیره تأمین برای مصنوعات نرم‌افزاری (SLSA)

وقتی این بدافزار درون یک اجراکننده‌ی GitHub Actions اجرا می‌شود، به دنبال متغیرهای OIDC موجود می‌گردد، مکانیسم‌های اجرای امضای رجیستری را دور می‌زند و با استفاده از Sigstore رکوردهای منشأ SLSA امضا شده با رمزنگاری تولید می‌کند. سپس کتابخانه‌های هدف را دانلود می‌کند، بارهای مخرب را تزریق می‌کند و نسخه‌های آسیب‌دیده را با استفاده از اعتبارنامه‌های دزدیده شده و داده‌های منشأ جعلی، هم در Python Package Index (PyPI) و هم در npm منتشر می‌کند.

در نتیجه، به نظر می‌رسد بسته‌های مخرب از محیط‌های ساخت سازمانی قانونی سرچشمه می‌گیرند و دارای تأیید رمزنگاری ظاهراً معتبری هستند.

سرقت مخفی، دستکاری عامل هوش مصنوعی و تداوم مخرب

فراتر از آلوده‌سازی بسته‌ها و سرقت اطلاعات کاربری، Hades چندین قابلیت اضافی را معرفی می‌کند که برای به حداکثر رساندن تأثیر بلندمدت طراحی شده‌اند:

  • استخراج اطلاعات محرمانه مستقیماً از حافظه‌ی اجراکننده‌ی GitHub Actions بدون نوشتن داده روی دیسک یا ایجاد ترافیک شبکه‌ی مشکوک.
  • هدف قرار دادن فایل‌های پیکربندی و مجموعه قوانین مرتبط با ۱۴ عامل و پلتفرم هوش مصنوعی مختلف.
  • استقرار اعلان‌های سفارشی و قلاب‌های اجرایی که به‌طور خودکار دستورات مخرب Bun را هنگام تعامل دستیاران هوش مصنوعی با فضاهای کاری آلوده اجرا می‌کنند.
  • ایجاد دسترسی مداوم به سیستم‌های آسیب‌پذیر.
  • نظارت مداوم بر توکن‌های احراز هویت سرقت شده.
  • فعال‌سازی خودکار یک مؤلفه‌ی پاک‌کننده‌ی مخرب در صورت ابطال توکن دزدیده شده که منجر به حذف فایل‌های کاربر می‌شود.

نگاهی اجمالی به آینده تهدیدات سایبری

کمپین Hades نشان می‌دهد که چگونه بدافزارهای مدرن فراتر از تکنیک‌های سنتی بهره‌برداری در حال تکامل هستند. این عملیات با ترکیب نفوذ در زنجیره تأمین، خراشیدن حافظه، دستکاری هوش مصنوعی، سرقت اعتبارنامه، سوءاستفاده از اعتماد رمزنگاری، حرکت جانبی و قابلیت‌های مخرب در یک کرم خودانتشار، نسل جدیدی از تهدیدات سایبری را به تصویر می‌کشد.

شاید نگران‌کننده‌ترین توسعه، هدف قرار دادن مستقیم سیستم‌های امنیتی مبتنی بر هوش مصنوعی باشد. همزمان با اینکه سازمان‌ها به طور فزاینده‌ای ابزارهای مبتنی بر LLM را در گردش‌های کاری توسعه و امنیت ادغام می‌کنند، مهاجمان نیز شروع به برخورد با این سیستم‌ها به عنوان سطوح حمله به خود کرده‌اند. هادس به عنوان یادآوری قدرتمندی عمل می‌کند که آینده امنیت سایبری نه تنها شامل دفاع از نرم‌افزار و زیرساخت‌ها، بلکه شامل دفاع از مکانیسم‌های تصمیم‌گیری هوش مصنوعی نیز خواهد بود.

پرطرفدار

Lantixprostream.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
حفظ هوشیاری هنگام مرور اینترنت ضروری است، زیرا مجرمان سایبری به طور مداوم روش‌های جدیدی را برای فریب کاربران ناآگاه توسعه می‌دهند. وب‌سایت‌های سرکش اغلب به تاکتیک‌های دستکاری‌شده‌ای متکی هستند که...

خطای اعتبارسنجی ایمیل، کلاهبرداری ایمیلی

فیشینگ, هرزنامه
کلاهبرداری ایمیلی «خطای اعتبارسنجی ایمیل» یک کمپین فیشینگ است که خود را به عنوان یک اعلان خودکار از یک سرویس میزبانی ایمیل جا می‌زند. این پیام جعلی ادعا می‌کند که چندین ایمیل ورودی به دلیل مشکل اعتبارسنجی ایمیل مسدود شده و در قرنطینه نگهداری می‌شوند. کلاهبرداران با ارائه چیزی که به نظر می‌رسد یک مشکل فنی است که بر تحویل ایمیل تأثیر می‌گذارد، سعی می‌کنند گیرندگان را برای انجام اقدام فوری تحت...

Lerantixflowcore.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
احتیاط در هنگام مرور اینترنت بیش از هر زمان دیگری اهمیت دارد. مجرمان سایبری و گردانندگان وب‌سایت‌های کلاهبردار به طور مداوم تکنیک‌های فریبنده‌ای را توسعه می‌دهند که برای فریب بازدیدکنندگان و وادار...

پربیننده ترین

بارگذاری...