Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver Hades

Zlonamjerni softver Hades

Do Mezo. Malware, Crvi. godine
Prevedi na:

Kibernetički kriminalci nastavljaju intenzivirati napade na lance opskrbe softverom, a novootkrivena operacija zlonamjernog softvera poznata kao Hades pojavljuje se kao jedna od najsofisticiranijih prijetnji uočenih do sada.

Istraživači su otkrili Hades kampanju, vrlo naprednu kompromitaciju lanca opskrbe usmjerenu na Python razvojna okruženja. Zlonamjerni softver se aktivira odmah kada se uveze kompromitirani paket, koristeći popularni Bun alat za tiho izvršavanje višefaznih korisnih podataka. Ovi korisni podaci sposobni su ukrasti osjetljive informacije, lateralno se kretati između sustava, iskorištavati pouzdane sigurnosne okvire i manipulirati alatima za analizu koda pokretanim umjetnom inteligencijom putem tehnika ubrizgavanja prompta.

Među pogođenim projektima su široko korištena C++ biblioteka ensmallen i nekoliko paketa unutar ekosustava računalne biologije, bioinformatike i analize genotip-fenotip.

Zašto se Had izdvaja

Najalarmantnija karakteristika kampanje je kombinacija više naprednih tehnika napada unutar brzo širećeg crva. Sigurnosni istraživači su se prethodno susreli sa zlonamjernim softverom usmjerenim na struganje memorije, napadima osmišljenim da zavaravaju sigurnosnu analizu modela velikih jezičnih jezika (LLM) i destruktivnim zlonamjernim softverom za brisanje podataka. Međutim, integriranje sve tri mogućnosti u samošireću prijetnju lancu opskrbe predstavlja značajnu eskalaciju sofisticiranosti.

Istraživači pripisuju kampanju onome što se čini kao najnovija evolucija aktera prijetnje Miasma. Ranije operacije Miasma koristile su samoreplicirajuće crve koji su provodili prikupljanje vjerodajnica iz više oblaka, pokretali izvršavanje zlonamjernog koda kada se repozitorijima pristupalo putem integriranih razvojnih okruženja (IDE) ili AI agenata te skenirali memoriju Linux procesa u potrazi za vrijednim podacima.

Operacija Hades zadržava mnoge od ovih ključnih karakteristika, uključujući krađu vjerodajnica, širenje nalik crvima i krađu podataka temeljenu na GitHubu. Dodatni kompromitirani paketi identificirani tijekom istrage uključuju mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea i pyphetools.

Od uvoza paketa do potpunog kompromitiranja sustava

Napad započinje obfuskiranim skriptom ugrađenim u init.py datoteku paketa, ključnu komponentu koja omogućuje uvoz Python paketa. Nakon izvršenja, zlonamjerni softver implementira prekompilirano Bun okruženje za izvođenje i pokreće zlonamjerni JavaScript payload.

Oslanjajući se na Bun, napadači mogu izvršavati složene JavaScript operacije čak i na sustavima bez instaliranog Node.js-a. Ovaj pristup pomaže u zaobilaženju tradicionalnih kontrola upravljanja paketima i smanjuje vidljivost u proxy zapisnicima.

Zlonamjerni softver opremljen je mogućnostima struganja memorije za Linux sustave i uključuje specijalizirane module za ekstrakciju memorije za macOS i Windows. Ove komponente omogućuju napadačima oporavak vrlo osjetljivih informacija, uključujući šifrirane podatke koji se nalaze u memoriji.

Nadmudrivanje sigurnosnih alata umjetne inteligencije

Jedna od najinovativnijih značajki kampanje je njezina sposobnost manipuliranja automatiziranim sigurnosnim skenerima temeljenim na LLM-u. Napadači postavljaju pažljivo izrađen blok teksta na početak zlonamjernih datoteka koji upućuje sustave za analizu umjetne inteligencije da ignoriraju skriveni kod, klasificiraju paket kao pouzdan i generiraju izvješća koja ga proglašavaju sigurnim.

Istraživači to opisuju kao veliku konceptualnu promjenu u kibernetičkim prijetnjama. Umjesto da ciljaju samo na softverske ranjivosti, napadači izravno ciljaju procese zaključivanja AI sustava. Sigurnosni skeneri koji šalju sirovi kod i tekst LLM-ovima bez strogih mehanizama odvajanja mogu biti pod utjecajem da proizvode lažno negativne procjene, što omogućuje zlonamjernim paketima da izbjegnu otkrivanje.

Ova tehnika naglašava rastući rizik s kojim se suočavaju organizacije koje sve više ovise o sigurnosnim alatima pokretanim umjetnom inteligencijom. Budući da LLM-ovi ostaju vrlo osjetljivi na manipulacije u stilu socijalnog inženjeringa, očekuje se da će napadači nastaviti ciljati i sigurnosne agente pokretane umjetnom inteligencijom i ljudske korisnike putem sve sofisticiranije obmane temeljene na upitima.

GitHub infrastruktura pretvorena u tajni zapovjedni centar

Arhitektura zapovijedanja i upravljanja Hades oslanja se na tri odvojena komunikacijska kanala smještena na javnoj GitHub infrastrukturi, omogućujući zlonamjernom prometu da se besprijekorno stapa s legitimnim aktivnostima programera.

Ukradeni podaci se lokalno šifriraju putem višestupanjskog procesa koji uključuje serijalizaciju i kompresiju prije nego što se prenesu u javne GitHub repozitorije kojima upravljaju napadači. Ti repozitoriji obično su označeni opisom: 'Had - Kraj prokletih'.

Strategija izvlačenja zlonamjernog softvera odražava tehnike koje su se prethodno povezivale s Miasmom, čineći da GitHub izgleda kao normalno odredište, a prikrivajući zlonamjernu aktivnost.

Iskorištavanje povjerenja za širenje po mrežama

Ključna značajka kampanje je njezina sposobnost širenja kroz okruženja zlouporabom tehnologija koje se obično koriste za poboljšanje sigurnosti i integriteta softvera, uključujući:

  • Sigurna ljuska (SSH) i protokol sigurnog kopiranja (SCP)
  • OpenID Connect (OIDC)
  • Razine opskrbnog lanca za softverske artefakte (SLSA)

Kada se izvršava unutar GitHub Actions runnera, zlonamjerni softver traži dostupne OIDC varijable, zaobilazi mehanizme za provedbu potpisa registra i generira kriptografski potpisane SLSA zapise o porijeklu koristeći Sigstore. Zatim preuzima ciljne biblioteke, ubrizgava zlonamjerne korisne sadržaje i ponovno objavljuje kompromitirane verzije i na Python Package Index (PyPI) i na npm koristeći ukradene vjerodajnice i krivotvorene podatke o porijeklu.

Kao rezultat toga, čini se da zlonamjerni paketi potječu iz legitimnih organizacijskih okruženja i posjeduju naizgled valjanu kriptografsku provjeru.

Tajna krađa, manipulacija AI agentima i destruktivna upornost

Osim trovanja paketa i krađe vjerodajnica, Hades uvodi nekoliko dodatnih mogućnosti osmišljenih za maksimiziranje dugoročnog utjecaja:

  • Izdvajanje tajni izravno iz memorije GitHub Actions runnera bez pisanja podataka na disk ili generiranja sumnjivog mrežnog prometa.
  • Ciljanje konfiguracijskih datoteka i skupova pravila povezanih s 14 različitih AI agenata i platformi.
  • Implementacija prilagođenih promptnih koraka i izvršnih hookova koji automatski pokreću zlonamjerne Bun naredbe kada AI asistenti komuniciraju sa zaraženim radnim prostorima.
  • Uspostavljanje trajnog pristupa kompromitiranim sustavima.
  • Kontinuirano praćenje ukradenih autentifikacijskih tokena.
  • Automatska aktivacija destruktivne komponente brisača ako se ukradeni token opozove, što rezultira brisanjem korisničkih datoteka.

Pogled u budućnost kibernetičkih prijetnji

Kampanja Hades pokazuje kako se moderni zlonamjerni softver razvija izvan tradicionalnih tehnika iskorištavanja. Kombinirajući kompromitiranje opskrbnog lanca, struganje memorije, manipulaciju umjetnom inteligencijom, krađu vjerodajnica, zlouporabu kriptografskog povjerenja, lateralno kretanje i destruktivne sposobnosti unutar samorazmnožavajućeg crva, operacija ilustrira novu generaciju kibernetičkih prijetnji.

Možda najzabrinjavajući razvoj je izravno ciljanje sigurnosnih sustava pokretanih umjetnom inteligencijom. Kako organizacije sve više integriraju alate pokretane LLM-om u razvojne i sigurnosne tijekove rada, napadači počinju tretirati te sustave kao samostalne površine za napad. Had služi kao snažan podsjetnik da će budućnost kibernetičke sigurnosti uključivati obranu ne samo softvera i infrastrukture već i mehanizama donošenja odluka umjetne inteligencije.

U trendu

Pogreška u validaciji e-pošte - prijevara putem e-pošte

Krađa identiteta, Spam
Prijevara e-poštom 'Pogreška u provjeri valjanosti e-pošte' je phishing kampanja koja se maskira kao automatska obavijest od usluge hostinga pošte. U lažnoj poruci tvrdi se da je nekoliko dolaznih e-poruka blokirano zbog problema s provjerom valjanosti e-pošte i da se drže u karanteni. Predstavljajući ono što se čini kao tehnički problem koji utječe na isporuku e-pošte, prevaranti pokušavaju...

Nagledanije

Učitavam...