Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Hades kártevő

Hades kártevő

Mezo -ra Malware, Férgek-ben
Fordítás ide:

A kiberbűnözők továbbra is fokozzák a szoftverellátási láncok elleni támadásokat, és az újonnan felfedezett, Hades néven ismert rosszindulatú programművelet a mai napig megfigyelt egyik legkifinomultabb fenyegetésként jelent meg.

A kutatók leleplezték a Hades kampányt, egy rendkívül fejlett ellátási láncot támadó kompromittálást, amely a Python fejlesztői környezeteket célozta meg. A rosszindulatú program azonnal aktiválódik, amikor egy feltört csomagot importálnak, és a népszerű Bun eszközkészletet használja a többlépcsős hasznos adatok csendes végrehajtásához. Ezek a hasznos adatok képesek érzékeny információk ellopására, rendszerek közötti laterális mozgásra, megbízható biztonsági keretrendszerek kihasználására és mesterséges intelligencia által vezérelt kódelemző eszközök manipulálására ellenséges, azonnali injekciós technikákkal.

Az érintett projektek között van a széles körben használt C++ könyvtár, az ensmallen, valamint számos csomag a számítógépes biológia, a bioinformatika és a genotípus-fenotípus elemző ökoszisztémákon belül.

Miért áll külön Hádész?

A kampány legriasztóbb jellemzője a gyorsan terjedő féregben alkalmazott több fejlett támadási technika kombinációja. A biztonsági kutatók korábban már találkoztak memória-kaparásra összpontosító rosszindulatú programokkal, a nagy nyelvi modellek (LLM) biztonsági elemzésének félrevezetésére tervezett támadásokkal és romboló törlő rosszindulatú programokkal. Mindhárom képesség integrálása egy önmagát terjedő ellátási lánc fenyegetésbe azonban a kifinomultság jelentős fokozódását jelenti.

A kutatók a kampányt a Miasma fenyegetés legújabb evolúciójának tulajdonítják. A Miasma korábbi műveletei önreplikáló férgeket telepítettek, amelyek több felhőből származó hitelesítő adatok gyűjtését végezték, rosszindulatú kód végrehajtását indították el, amikor a tárhelyeket integrált fejlesztői környezeteken (IDE) vagy mesterséges intelligencia ügynökökön keresztül érték el, és értékes adatok után kutattak a Linux folyamatmemóriában.

A Hades művelet számos alapvető jellemzőt megőriz, beleértve a hitelesítő adatok ellopását, a féregszerű terjedést és a GitHub-alapú adatlopást. A vizsgálat során azonosított további feltört csomagok közé tartozik az mflux-streamlit, az nhmpy, a ppkt2synergy, az embiggen, a gpsea és a pyphetools.

Csomag importálásától a teljes rendszer kompromittálódásáig

A támadás egy obfuszkált szkripttel kezdődik, amely egy csomag init.py fájljába van ágyazva. Ez egy kritikus összetevő, amely lehetővé teszi a Python csomagok importálását. A végrehajtás után a rosszindulatú program egy előre lefordított Bun futtatókörnyezetet telepít, és elindít egy rosszindulatú JavaScript hasznos adatot.

A Bunra támaszkodva a támadók összetett JavaScript műveleteket hajthatnak végre még olyan rendszereken is, amelyeken nincs telepítve Node.js. Ez a megközelítés segít megkerülni a hagyományos csomagkezelési vezérlőket, és csökkenti a proxy naplók láthatóságát.

A rosszindulatú program memória-kaparó képességekkel rendelkezik Linux rendszerekhez, és speciális memória-kitermelő modulokat tartalmaz macOS és Windows rendszerekhez. Ezek az összetevők lehetővé teszik a támadók számára, hogy rendkívül érzékeny információkat, beleértve a memóriában tárolt titkosított adatokat is, visszaszerezzék.

Túljárni az AI biztonsági eszközök eszén

A kampány egyik leginnovatívabb funkciója az automatizált, LLM-alapú biztonsági szkennerek manipulálásának képessége. A támadók egy gondosan megtervezett szövegblokkot helyeznek el a rosszindulatú fájlok elejére, amely utasítja a mesterséges intelligencia elemző rendszereket a rejtett kód figyelmen kívül hagyására, a csomag megbízhatóként való besorolására és biztonságosnak nyilvánító jelentések készítésére.

A kutatók ezt a kiberfenyegetések terén bekövetkezett jelentős fogalmi változásként írják le. A támadók nem kizárólag a szoftveres sebezhetőségeket célozzák meg, hanem közvetlenül a mesterséges intelligencia által működtetett rendszerek logikai folyamatait. A biztonsági szkennerek, amelyek szigorú elkülönítési mechanizmusok nélkül küldenek nyers kódot és szöveget a jogi menedzsereknek (LLM), befolyásolhatók téves negatív értékelések készítésére, lehetővé téve a rosszindulatú csomagok számára, hogy elkerüljék az észlelést.

Ez a technika rávilágít egy növekvő kockázatra, amelyet a szervezetek egyre inkább a mesterséges intelligencia által vezérelt biztonsági eszközökre támaszkodnak. Mivel az LLM-ek továbbra is rendkívül érzékenyek a szociális mérnöki jellegű manipulációkra, a támadók várhatóan továbbra is mind a mesterséges intelligencia által vezérelt biztonsági ügynököket, mind az emberi felhasználókat célozzák meg egyre kifinomultabb, prompt-alapú megtévesztés révén.

A GitHub infrastruktúra titkos parancsnoki központtá alakult

A Hades parancs- és vezérlőarchitektúrája három különálló, nyilvános GitHub infrastruktúrán üzemeltetett kommunikációs csatornára támaszkodik, lehetővé téve a rosszindulatú forgalom zökkenőmentes összeolvadását a legitim fejlesztői tevékenységgel.

Az ellopott hitelesítő adatokat helyben titkosítják egy többlépcsős folyamaton keresztül, amely magában foglalja a szerializálást és a tömörítést, mielőtt feltöltenék őket a támadó által ellenőrzött nyilvános GitHub-tárházakba. Ezeket a tárolókat általában a következő leírással látják el: „Hádész – Az átkozottak vége”.

A kártevő kiszűrési stratégiája a korábban a Miasmával azonosított technikákat tükrözi, a GitHub-ot normál célpontként jelenítve meg, miközben elrejti a rosszindulatú tevékenységeket.

A bizalom kihasználása a hálózatokon való terjesztés érdekében

A kampány meghatározó jellemzője, hogy képes terjedni különböző környezetekben olyan technológiák visszaélésével, amelyeket jellemzően a biztonság és a szoftverintegritás fokozására használnak, beleértve:

  • Biztonságos shell (SSH) és biztonságos másolási protokoll (SCP)
  • OpenID Connect (OIDC)
  • Szoftvertermékek ellátási lánc szintjei (SLSA)

Amikor egy GitHub Actions futtatókörnyezetben fut, a rosszindulatú program elérhető OIDC változókat keres, megkerüli a regisztrációs aláírás-végrehajtási mechanizmusokat, és kriptográfiailag aláírt SLSA származási rekordokat generál a Sigstore segítségével. Ezután letölti a célkönyvtárakat, rosszindulatú hasznos adatokat injektál, és a feltört verziókat újra közzéteszi mind a Python Package Indexben (PyPI), mind az npm-ben lopott hitelesítő adatok és hamisított származási adatok felhasználásával.

Ennek eredményeként úgy tűnik, hogy a rosszindulatú csomagok legitim szervezeti build környezetekből származnak, és látszólag érvényes kriptográfiai ellenőrzéssel rendelkeznek.

Titkos lopás, mesterséges intelligencia általi ügynökmanipuláció és romboló kitartás

A csomagmérgezés és a hitelesítő adatok ellopásán túl a Hades számos további funkciót vezet be, amelyek célja a hosszú távú hatás maximalizálása:

  • Titkos adatok kinyerése közvetlenül a GitHub Actions futtatómemóriájából anélkül, hogy adatokat kellene lemezre írni, vagy gyanús hálózati forgalmat generálni.
  • 14 különböző MI-ügynökhöz és platformhoz kapcsolódó konfigurációs fájlok és szabálykészletek célzása.
  • Egyéni promptok és végrehajtási hookok telepítése, amelyek automatikusan elindítják a rosszindulatú Bun-parancsokat, amikor a mesterséges intelligencia által használt asszisztensek fertőzött munkaterületekkel kommunikálnak.
  • Állandó hozzáférés létrehozása a feltört rendszereken.
  • Az ellopott hitelesítési tokenek folyamatos monitorozása.
  • Egy destruktív törlő komponens automatikus aktiválása ellopott tokenek visszavonása esetén, ami a felhasználói fájlok törlését eredményezi.

Pillantás a kiberfenyegetések jövőjébe

A Hades-kampány bemutatja, hogyan fejlődik a modern rosszindulatú szoftver a hagyományos kihasználási technikákon túl. Az ellátási lánc kompromittálásának, a memória-kaparásnak, a mesterséges intelligencia manipulációjának, a hitelesítő adatok ellopásának, a kriptográfiai bizalommal való visszaélésnek, az oldalirányú mozgásnak és a romboló képességeknek egy önmagát terjedő féregben történő kombinálásával a művelet a kiberfenyegetések új generációját illusztrálja.

Talán a leginkább aggasztó fejlesztési kérdés a mesterséges intelligencia által vezérelt biztonsági rendszerek közvetlen célba vétele. Ahogy a szervezetek egyre inkább integrálják az LLM-alapú eszközöket a fejlesztési és biztonsági munkafolyamatokba, a támadók elkezdik ezeket a rendszereket önálló támadási felületként kezelni. Hádész erőteljes emlékeztetőül szolgál arra, hogy a kiberbiztonság jövője nemcsak a szoftverek és az infrastruktúra, hanem a mesterséges intelligencia döntéshozatali mechanizmusainak védelmét is magában foglalja.

Felkapott

E-mail-ellenőrzési hiba E-mail-átverés

Adathalászat, Spam
Az „Email Validation Error” (Email-ellenőrzési hiba) e-mailes átverés egy adathalász kampány, amely egy levelezési tárhelyszolgáltató automatikus értesítésének álcázza magát. A csaló üzenet azt állítja, hogy több bejövő e-mailt blokkoltak egy e-mail-ellenőrzési probléma miatt, és karanténban tartják őket. Azzal, hogy egy e-mail-kézbesítést befolyásoló technikai problémának tűnő jelenséget...

Legnézettebb

Betöltés...