Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma Hades-haittaohjelma

Hades-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Matoja
Käännä:

Kyberrikolliset jatkavat ohjelmistojen toimitusketjuihin kohdistuvien hyökkäysten tehostamista, ja äskettäin löydetty Hades-niminen haittaohjelmaoperaatio on noussut yhdeksi tähän mennessä havaituista kehittyneimmistä uhkista.

Tutkijat paljastivat Hades-kampanjan, erittäin edistyneen toimitusketjuhyökkäyksen, joka kohdistui Python-kehitysympäristöihin. Haittaohjelma aktivoituu välittömästi, kun vaarantunut paketti tuodaan järjestelmään, ja se hyödyntää suosittua Bun-työkalupakkia monivaiheisten hyötykuormien hiljaiseen suorittamiseen. Nämä hyötykuormat pystyvät varastamaan arkaluonteisia tietoja, liikkumaan sivusuunnassa järjestelmien välillä, hyödyntämään luotettavia tietoturvakehyksiä ja manipuloimaan tekoälyllä toimivia koodinanalyysityökaluja haitallisten pikainjektiotekniikoiden avulla.

Vaikutus koskee muun muassa laajalti käytettyä C++-kirjastoa ensmallen sekä useita laskennallisen biologian, bioinformatiikan ja genotyyppi-fenotyyppi-analyysiekosysteemien paketteja.

Miksi Hades erottuu muista

Kampanjan hälyttävin piirre on useiden edistyneiden hyökkäystekniikoiden yhdistelmä nopeasti leviävän madon sisällä. Tietoturvatutkijat ovat aiemmin havainneet muistin kaapimiseen keskittyviä haittaohjelmia, laajojen kielimallien (LLM) tietoturva-analyysien harhaanjohtamiseen suunniteltuja hyökkäyksiä ja tuhoisia pyyhkijähaittaohjelmia. Kaikkien kolmen ominaisuuden integrointi itse leviäväksi toimitusketjuuhkaksi edustaa kuitenkin merkittävää kehittyneisyyden lisääntymistä.

Tutkijat pitävät kampanjaa Miasma-uhkatoimijan viimeisimpänä kehitysaskeleena. Aiemmat Miasma-operaatiot käyttivät itsereplikoituvia matoja, jotka keräsivät tunnistetietoja useista pilvipalveluista, laukaisivat haitallisen koodin suorittamisen, kun tietovarastoihin päästiin käsiksi integroitujen kehitysympäristöjen (IDE) tai tekoälyagenttien kautta, ja skannasivat Linuxin prosessimuistia arvokkaan datan varalta.

Hades-operaatio säilyttää monia näistä ydinominaisuuksista, mukaan lukien tunnistetietojen varastamisen, matojen kaltaisen leviämisen ja GitHub-pohjaisen tiedon vuotamisen. Tutkimuksen aikana tunnistettuja muita vaarantuneita paketteja ovat mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea ja pyphetools.

Paketin tuonnista täydelliseen järjestelmän vaarantumiseen

Hyökkäys alkaa paketin init.py-tiedostoon upotetulla hämärretyllä komentosarjalla, joka on kriittinen Python-pakettien tuonnin mahdollistava komponentti. Suoritettuaan haittaohjelma ottaa käyttöön esikäännetyn Bun-ajonaikaisen ympäristön ja käynnistää haitallisen JavaScript-hyötykuorman.

Bunin avulla hyökkääjät voivat suorittaa monimutkaisia JavaScript-operaatioita jopa järjestelmissä, joissa ei ole asennettuna Node.js:ää. Tämä lähestymistapa auttaa ohittamaan perinteiset paketinhallinnan hallintatoiminnot ja vähentää näkyvyyttä välityspalvelinlokeissa.

Haittaohjelma on varustettu muistin kaapimiseen tarkoitetuilla ominaisuuksilla Linux-järjestelmille ja sisältää erikoistuneita muistinpoimintamoduuleja macOS:lle ja Windowsille. Näiden komponenttien avulla hyökkääjät voivat palauttaa erittäin arkaluontoisia tietoja, mukaan lukien muistissa olevia salattuja tietoja.

Ylitä tekoälyllä toteutetut tietoturvatyökalut

Yksi kampanjan innovatiivisimmista ominaisuuksista on sen kyky manipuloida automaattisia LLM-pohjaisia tietoturvaskannereita. Hyökkääjät lisäävät haitallisten tiedostojen alkuun huolellisesti muotoillun tekstilohkon, joka ohjeistaa tekoälyanalyysijärjestelmiä jättämään piilotetun koodin huomiotta, luokittelemaan paketin luotettavaksi ja luomaan raportteja, jotka julistavat sen turvalliseksi.

Tutkijat kuvailevat tätä merkittäväksi käsitteelliseksi muutokseksi kyberuhkien saralla. Hyökkääjät eivät kohdista hyökkäyksiä pelkästään ohjelmistohaavoittuvuuksiin, vaan suoraan tekoälyjärjestelmien päättelyprosesseihin. Tietoturvaskannerit, jotka lähettävät raakakoodia ja tekstiä oikeustieteen logiikkamalleille (LLM) ilman tiukkoja erottelumekanismeja, voidaan saada tuottamaan vääriä negatiivisia arviointeja, jolloin haitalliset paketit voivat välttyä havaitsemiselta.

Tämä tekniikka korostaa kasvavaa riskiä, johon organisaatiot joutuvat, kun ne ovat yhä riippuvaisempia tekoälypohjaisista tietoturvatyökaluista. Koska oikeustieteen maisterit ovat edelleen erittäin alttiita sosiaalisen manipuloinnin kaltaiselle manipuloinnille, hyökkääjien odotetaan jatkavan sekä tekoälyn käyttämien tietoturva-agenttien että ihmiskäyttäjien kohdistamista yhä kehittyneempien kehotteisiin perustuvan harhaanjohtamisen avulla.

GitHub-infrastruktuurista tehtiin huomaamaton komentokeskus

Hadesin komento- ja ohjausarkkitehtuuri perustuu kolmeen erilliseen julkisessa GitHub-infrastruktuurissa isännöityyn viestintäkanavaan, mikä mahdollistaa haitallisen liikenteen saumattoman sulautumisen lailliseen kehittäjätoimintaan.

Varastetut tunnistetiedot salataan paikallisesti monivaiheisen prosessin kautta, johon kuuluu serialisointia ja pakkausta, ennen kuin ne ladataan hyökkääjän hallitsemiin julkisiin GitHub-arkistoon. Nämä arkistoon liittyvät tiedostot on yleensä merkitty kuvauksella: "Hades – The End for the Damned".

Haittaohjelman vuotostrategia peilaa aiemmin Miasmaan yhdistettyjä tekniikoita, saaden GitHubin näyttämään normaalilta kohteena, mutta samalla peittäen haitallista toimintaa.

Luottamuksen hyödyntäminen leviämiseksi verkostoissa

Kampanjan määrittelevä piirre on sen kyky levitä ympäristöissä väärinkäyttämällä teknologioita, joita tyypillisesti käytetään turvallisuuden ja ohjelmistojen eheyden parantamiseen, mukaan lukien:

  • Secure Shell (SSH) ja Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Ohjelmistoartefaktien toimitusketjun tasot (SLSA)

GitHub Actions -ajokokeen sisällä suoritettuna haittaohjelma etsii saatavilla olevia OIDC-muuttujia, ohittaa rekisteriallekirjoitusten valvontamekanismit ja luo kryptografisesti allekirjoitettuja SLSA-alkuperätietueita Sigstoren avulla. Sitten se lataa kohdekirjastot, lisää haitallisia hyötykuormia ja julkaisee vaarantuneet versiot uudelleen sekä Python Package Indexiin (PyPI) että npm:ään käyttämällä varastettuja tunnistetietoja ja väärennettyjä alkuperätietoja.

Tämän seurauksena haitalliset paketit näyttävät olevan peräisin laillisista organisaatioiden rakennusympäristöistä ja niillä näyttää olevan pätevä kryptografinen varmennus.

Salainen varkaus, tekoälyagenttien manipulointi ja tuhoisa pysyvyys

Pakettien myrkytyksen ja tunnistetietojen varkauden lisäksi Hades esittelee useita lisäominaisuuksia, jotka on suunniteltu maksimoimaan pitkän aikavälin vaikutus:

  • Salaisuuksien poimiminen suoraan GitHub Actions -ohjelman muistista ilman tietojen kirjoittamista levylle tai epäilyttävän verkkoliikenteen luomista.
  • 14 eri tekoälyagenttiin ja -alustaan liittyvien määritystiedostojen ja sääntöjoukkojen kohdentaminen.
  • Otettiin käyttöön mukautettuja kehotteita ja suorituskomentoja, jotka käynnistävät automaattisesti haitallisia Bun-komentoja, kun tekoälyavustajat ovat vuorovaikutuksessa tartunnan saaneiden työtilojen kanssa.
  • Pysyvän pääsyn muodostaminen vaarantuneisiin järjestelmiin.
  • Varastettujen todennustunnusten jatkuva valvonta.
  • Tuhoavan pyyhinkomponentin automaattinen aktivointi, jos varastettu token peruutetaan, mikä johtaa käyttäjätiedostojen poistamiseen.

Kurkistus kyberuhkien tulevaisuuteen

Hades-kampanja osoittaa, kuinka nykyaikainen haittaohjelma kehittyy perinteisten hyväksikäyttötekniikoiden ulkopuolelle. Yhdistämällä toimitusketjun vaarantamisen, muistin kaapimisen, tekoälyn manipuloinnin, tunnistetietojen varastamisen, kryptografisen luottamuksen väärinkäytön, sivuttaissiirron ja tuhoisat ominaisuudet itseään leviävän madon sisällä, operaatio havainnollistaa uuden sukupolven kyberuhkia.

Ehkäpä huolestuttavin kehitysaskel on tekoälypohjaisten tietoturvajärjestelmien suora kohdistuminen hyökkäyksiin. Organisaatioiden integroidessa yhä enemmän LLM-pohjaisia työkaluja kehitys- ja tietoturvatyönkulkuihin, hyökkääjät alkavat kohdella näitä järjestelmiä itsenäisinä hyökkäyspintoinaan. Hades toimii voimakkaana muistutuksena siitä, että kyberturvallisuuden tulevaisuus edellyttää paitsi ohjelmistojen ja infrastruktuurin myös tekoälyn päätöksentekomekanismien puolustamista.

Trendaavat

Sähköpostin vahvistusvirhe Sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Sähköpostihuijaus ”Email Validation Error” on tietojenkalastelukampanja, joka naamioituu sähköpostipalvelun automaattiseksi ilmoitukseksi. Vilpillinen viesti väittää, että useita saapuvia sähköposteja on estetty sähköpostin vahvistusongelman vuoksi ja että ne pidetään karanteenissa. Esittelemällä näennäisen teknisen ongelman, joka vaikuttaa sähköpostin toimitukseen, huijarit yrittävät painostaa...

Eniten katsottu

Ladataan...