Hades मैलवेयर

साइबर अपराधी सॉफ्टवेयर आपूर्ति श्रृंखलाओं के खिलाफ हमलों को तेज करना जारी रखे हुए हैं, और हाल ही में खोजा गया मैलवेयर ऑपरेशन जिसे हेड्स के नाम से जाना जाता है, अब तक देखे गए सबसे परिष्कृत खतरों में से एक के रूप में उभरा है।

शोधकर्ताओं ने हेड्स कैंपेन का पता लगाया है, जो पायथन डेवलपमेंट एनवायरनमेंट को निशाना बनाने वाला एक बेहद उन्नत सप्लाई-चेन कॉम्प्रोमाइज मैलवेयर है। यह मैलवेयर किसी भी कॉम्प्रोमाइज्ड पैकेज को इम्पोर्ट करते ही तुरंत सक्रिय हो जाता है और लोकप्रिय बन टूलकिट का उपयोग करके चुपचाप कई चरणों वाले पेलोड को निष्पादित करता है। ये पेलोड संवेदनशील जानकारी चुराने, सिस्टमों के बीच ट्रांसफर होने, विश्वसनीय सुरक्षा फ्रेमवर्क का फायदा उठाने और एडवर्सरियल प्रॉम्प्ट इंजेक्शन तकनीकों के माध्यम से एआई-संचालित कोड विश्लेषण टूल में हेरफेर करने में सक्षम हैं।

प्रभावित परियोजनाओं में व्यापक रूप से उपयोग की जाने वाली सी++ लाइब्रेरी एनस्मॉलन और कम्प्यूटेशनल बायोलॉजी, बायोइन्फॉर्मेटिक्स और जीनोटाइप-फेनोटाइप विश्लेषण इकोसिस्टम के भीतर कई पैकेज शामिल हैं।

हेड्स क्यों अद्वितीय है?

इस अभियान की सबसे चिंताजनक विशेषता तेजी से फैलने वाले वर्म में कई उन्नत आक्रमण तकनीकों का संयोजन है। सुरक्षा शोधकर्ताओं ने पहले भी मेमोरी स्क्रैपिंग पर केंद्रित मैलवेयर, बड़े भाषा मॉडल (एलएलएम) सुरक्षा विश्लेषण को गुमराह करने के लिए डिज़ाइन किए गए हमले और विनाशकारी वाइपर मैलवेयर का सामना किया है। हालांकि, इन तीनों क्षमताओं को एक स्व-प्रसारित आपूर्ति-श्रृंखला खतरे में एकीकृत करना जटिलता में एक महत्वपूर्ण वृद्धि दर्शाता है।

शोधकर्ताओं का मानना है कि यह अभियान मियास्मा नामक खतरे पैदा करने वाले समूह के नवीनतम रूप से जुड़ा है। इससे पहले, मियास्मा के अभियानों में स्व-प्रतिकृति करने वाले वर्म्स का उपयोग किया जाता था जो कई क्लाउड से क्रेडेंशियल एकत्र करते थे, एकीकृत विकास वातावरण (IDE) या AI एजेंटों के माध्यम से रिपॉजिटरी तक पहुँचने पर दुर्भावनापूर्ण कोड निष्पादन को ट्रिगर करते थे, और मूल्यवान डेटा के लिए लिनक्स प्रक्रिया मेमोरी को स्कैन करते थे।

हेड्स ऑपरेशन में इनमें से कई मुख्य विशेषताएं बरकरार हैं, जिनमें क्रेडेंशियल चोरी, वर्म जैसी प्रसार प्रक्रिया और गिटहब आधारित डेटा की चोरी शामिल हैं। जांच के दौरान पहचाने गए अन्य प्रभावित पैकेजों में mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea और pyphetools शामिल हैं।

पैकेज आयात से लेकर संपूर्ण सिस्टम में गड़बड़ी तक

यह हमला एक पैकेज की init.py फ़ाइल में एम्बेडेड एक अस्पष्ट स्क्रिप्ट से शुरू होता है, जो पायथन पैकेज आयात को सक्षम करने वाला एक महत्वपूर्ण घटक है। एक बार निष्पादित होने पर, मैलवेयर एक पूर्व-संकलित बन रनटाइम तैनात करता है और एक दुर्भावनापूर्ण जावास्क्रिप्ट पेलोड लॉन्च करता है।

Bun पर निर्भर रहकर, हमलावर Node.js इंस्टॉल न होने वाले सिस्टम पर भी जटिल जावास्क्रिप्ट ऑपरेशन चला सकते हैं। यह तरीका पारंपरिक पैकेज प्रबंधन नियंत्रणों को दरकिनार करने में मदद करता है और प्रॉक्सी लॉग में दृश्यता को कम करता है।

यह मैलवेयर लिनक्स सिस्टम के लिए मेमोरी स्क्रैपिंग क्षमताओं से लैस है और इसमें macOS और विंडोज के लिए विशेष मेमोरी एक्सट्रैक्शन मॉड्यूल शामिल हैं। इन घटकों की मदद से हमलावर मेमोरी में मौजूद एन्क्रिप्टेड डेटा सहित अत्यंत संवेदनशील जानकारी को पुनर्प्राप्त कर सकते हैं।

एआई सुरक्षा उपकरणों को मात देना

इस अभियान की सबसे नवीन विशेषताओं में से एक स्वचालित एलएलएम-आधारित सुरक्षा स्कैनर को प्रभावित करने की इसकी क्षमता है। हमलावर दुर्भावनापूर्ण फ़ाइलों की शुरुआत में सावधानीपूर्वक तैयार किया गया टेक्स्ट ब्लॉक रखते हैं जो एआई विश्लेषण प्रणालियों को छिपे हुए कोड को अनदेखा करने, पैकेज को विश्वसनीय के रूप में वर्गीकृत करने और इसे सुरक्षित घोषित करने वाली रिपोर्ट तैयार करने का निर्देश देता है।

शोधकर्ता इसे साइबर खतरों में एक महत्वपूर्ण वैचारिक बदलाव बताते हैं। अब हमलावर केवल सॉफ़्टवेयर की कमज़ोरियों को निशाना बनाने के बजाय, सीधे कृत्रिम बुद्धिमत्ता (एआई) प्रणालियों की तर्क प्रक्रियाओं को लक्षित करते हैं। सुरक्षा स्कैनर जो सख्त पृथक्करण तंत्र के बिना कच्चे कोड और टेक्स्ट को एलएलएम में जमा करते हैं, वे गलत-नकारात्मक आकलन उत्पन्न करने के लिए प्रभावित हो सकते हैं, जिससे दुर्भावनापूर्ण पैकेजों को पता लगने से बचने का मौका मिल जाता है।

यह तकनीक उन संगठनों के लिए बढ़ते जोखिम को उजागर करती है जो एआई-आधारित सुरक्षा उपकरणों पर तेजी से निर्भर होते जा रहे हैं। चूंकि एलएलएम सामाजिक इंजीनियरिंग शैली के हेरफेर के प्रति अत्यधिक संवेदनशील बने हुए हैं, इसलिए हमलावरों द्वारा एआई-संचालित सुरक्षा एजेंटों और मानव उपयोगकर्ताओं दोनों को लक्षित करने के लिए अधिक परिष्कृत संकेत-आधारित धोखे का सहारा लेने की संभावना है।

GitHub का बुनियादी ढांचा एक गुप्त कमांड सेंटर में बदल गया

हेड्स कमांड-एंड-कंट्रोल आर्किटेक्चर सार्वजनिक गिटहब इंफ्रास्ट्रक्चर पर होस्ट किए गए तीन अलग-अलग संचार चैनलों पर निर्भर करता है, जिससे दुर्भावनापूर्ण ट्रैफिक वैध डेवलपर गतिविधि के साथ सहजता से घुलमिल जाता है।

चोरी किए गए क्रेडेंशियल्स को सीरियलाइज़ेशन और कम्प्रेशन जैसी कई चरणों वाली प्रक्रिया के माध्यम से स्थानीय रूप से एन्क्रिप्ट किया जाता है, फिर हमलावर द्वारा नियंत्रित सार्वजनिक GitHub रिपॉजिटरी में अपलोड किया जाता है। इन रिपॉजिटरी को आमतौर पर 'हेड्स - द एंड फॉर द डैम्ड' के रूप में लेबल किया जाता है।

इस मैलवेयर की डेटा चोरी करने की रणनीति पहले मियास्मा से जुड़ी तकनीकों से मिलती-जुलती है, जिसमें GitHub को एक सामान्य गंतव्य के रूप में दिखाया जाता है जबकि दुर्भावनापूर्ण गतिविधि को छिपाया जाता है।

नेटवर्कों में प्रसार के लिए विश्वास का फायदा उठाना

इस अभियान की एक प्रमुख विशेषता यह है कि यह सुरक्षा और सॉफ़्टवेयर अखंडता को बढ़ाने के लिए आमतौर पर उपयोग की जाने वाली तकनीकों का दुरुपयोग करके विभिन्न वातावरणों में फैलने की क्षमता रखता है, जिनमें शामिल हैं:

• सिक्योर शेल (एसएसएच) और सिक्योर कॉपी प्रोटोकॉल (एससीपी)
• ओपनआईडी कनेक्ट (ओआईडीसी)
• सॉफ्टवेयर आर्टिफैक्ट्स के लिए आपूर्ति-श्रृंखला स्तर (एसएलएसए)

GitHub Actions रनर के अंदर निष्पादित होने पर, मैलवेयर उपलब्ध OIDC वेरिएबल्स की खोज करता है, रजिस्ट्री-हस्ताक्षर प्रवर्तन तंत्रों को बायपास करता है, और Sigstore का उपयोग करके क्रिप्टोग्राफिक रूप से हस्ताक्षरित SLSA प्रोवेनेंस रिकॉर्ड उत्पन्न करता है। इसके बाद यह लक्षित लाइब्रेरी डाउनलोड करता है, दुर्भावनापूर्ण पेलोड इंजेक्ट करता है, और चोरी किए गए क्रेडेंशियल्स और जाली प्रोवेनेंस डेटा का उपयोग करके समझौता किए गए संस्करणों को Python Package Index (PyPI) और npm दोनों पर पुनः प्रकाशित करता है।

परिणामस्वरूप, दुर्भावनापूर्ण पैकेज वैध संगठनात्मक निर्माण वातावरण से उत्पन्न होते प्रतीत होते हैं और उनमें वैध क्रिप्टोग्राफिक सत्यापन होता है।

गुप्त चोरी, एआई एजेंट हेरफेर और विनाशकारी निरंतरता

पैकेज में जहर मिलाने और पहचान पत्र की चोरी के अलावा, हेड्स कई अतिरिक्त क्षमताएं पेश करता है जो दीर्घकालिक प्रभाव को अधिकतम करने के लिए डिज़ाइन की गई हैं:

• डिस्क पर डेटा लिखे बिना या संदिग्ध नेटवर्क ट्रैफ़िक उत्पन्न किए बिना सीधे GitHub Actions रनर मेमोरी से गुप्त जानकारी निकालना।
• 14 अलग-अलग एआई एजेंटों और प्लेटफार्मों से संबंधित कॉन्फ़िगरेशन फ़ाइलों और नियम सेटों को लक्षित करना।
• कस्टम प्रॉम्प्ट और निष्पादन हुक की तैनाती जो एआई सहायकों द्वारा संक्रमित कार्यक्षेत्रों के साथ बातचीत करने पर स्वचालित रूप से दुर्भावनापूर्ण बन कमांड लॉन्च करते हैं।
• असुरक्षित प्रणालियों पर स्थायी पहुंच स्थापित करना।
• चोरी हुए प्रमाणीकरण टोकनों की निरंतर निगरानी।
• चोरी किए गए टोकन को रद्द किए जाने पर एक विनाशकारी वाइपर घटक का स्वचालित रूप से सक्रिय होना, जिसके परिणामस्वरूप उपयोगकर्ता फ़ाइलें हटा दी जाती हैं।

साइबर खतरों के भविष्य की एक झलक

हेड्स अभियान दर्शाता है कि आधुनिक मैलवेयर पारंपरिक शोषण तकनीकों से आगे बढ़कर किस प्रकार विकसित हो रहा है। आपूर्ति श्रृंखला में सेंधमारी, मेमोरी स्क्रैपिंग, एआई हेरफेर, क्रेडेंशियल चोरी, क्रिप्टोग्राफिक विश्वास का दुरुपयोग, पार्श्व गति और एक स्व-प्रसारित वर्म के भीतर विनाशकारी क्षमताओं को मिलाकर, यह ऑपरेशन साइबर खतरों की एक नई पीढ़ी को दर्शाता है।

सबसे चिंताजनक घटनाक्रम शायद एआई-आधारित सुरक्षा प्रणालियों को सीधे निशाना बनाना है। जैसे-जैसे संगठन एलएलएम-संचालित उपकरणों को विकास और सुरक्षा कार्यप्रवाह में एकीकृत कर रहे हैं, हमलावर इन प्रणालियों को हमले के लिए एक सतह के रूप में देखने लगे हैं। हेड्स की घटना इस बात का सशक्त उदाहरण है कि साइबर सुरक्षा के भविष्य में न केवल सॉफ्टवेयर और बुनियादी ढांचे की रक्षा करना शामिल होगा, बल्कि कृत्रिम बुद्धिमत्ता के निर्णय लेने वाले तंत्रों की रक्षा करना भी शामिल होगा।