Malware Hades

Entro Mezo nel Malware, Vermi

Traduci in:

I criminali informatici continuano a intensificare gli attacchi contro le catene di fornitura del software, e una nuova operazione malware, nota come Hades, si sta affermando come una delle minacce più sofisticate osservate finora.

I ricercatori hanno scoperto la Campagna Hades, una compromissione della catena di fornitura altamente sofisticata che prende di mira gli ambienti di sviluppo Python. Il malware si attiva immediatamente all'importazione di un pacchetto compromesso, sfruttando il popolare toolkit Bun per eseguire silenziosamente payload a più fasi. Questi payload sono in grado di rubare informazioni sensibili, spostarsi lateralmente tra i sistemi, sfruttare framework di sicurezza affidabili e manipolare strumenti di analisi del codice basati sull'intelligenza artificiale tramite tecniche di iniezione di prompt malevoli.

Tra i progetti interessati figurano la libreria C++ ampiamente utilizzata ensmallen e diversi pacchetti all'interno degli ecosistemi di biologia computazionale, bioinformatica e analisi genotipo-fenotipo.

Sommario

Perché Ade si distingue

La caratteristica più allarmante di questa campagna è la combinazione di molteplici tecniche di attacco avanzate all'interno di un worm a rapida propagazione. I ricercatori di sicurezza si sono già imbattuti in malware focalizzati sul recupero di dati dalla memoria, attacchi progettati per ingannare le analisi di sicurezza dei modelli linguistici di grandi dimensioni (LLM) e malware distruttivi in grado di cancellare i dati. Tuttavia, l'integrazione di tutte e tre queste capacità in una minaccia autodiffondente per la catena di approvvigionamento rappresenta un significativo aumento di sofisticazione.

I ricercatori attribuiscono la campagna a quella che sembra essere l'ultima evoluzione del gruppo di hacker Miasma. Le precedenti operazioni di Miasma utilizzavano worm autoreplicanti che raccoglievano credenziali su più cloud, eseguivano codice dannoso quando si accedeva ai repository tramite ambienti di sviluppo integrati (IDE) o agenti di intelligenza artificiale e scansionavano la memoria dei processi Linux alla ricerca di dati sensibili.

L'operazione Hades conserva molte di queste caratteristiche principali, tra cui il furto di credenziali, la propagazione a worm e l'esfiltrazione di dati tramite GitHub. Ulteriori pacchetti compromessi identificati durante l'indagine includono mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea e pyphetools.

Dall’importazione dei pacchetti alla compromissione completa del sistema.

L'attacco inizia con uno script offuscato incorporato nel file init.py di un pacchetto, un componente critico che abilita l'importazione dei pacchetti Python. Una volta eseguito, il malware distribuisce un runtime Bun precompilato e lancia un payload JavaScript dannoso.

Sfruttando Bun, gli aggressori possono eseguire complesse operazioni JavaScript anche su sistemi senza Node.js installato. Questo approccio consente di aggirare i tradizionali controlli di gestione dei pacchetti e riduce la visibilità nei log del proxy.

Il malware è dotato di funzionalità di estrazione dati dalla memoria per i sistemi Linux e include moduli specializzati per l'estrazione di dati dalla memoria per macOS e Windows. Questi componenti consentono agli aggressori di recuperare informazioni altamente sensibili, inclusi dati crittografati residenti nella memoria.

Come superare in astuzia gli strumenti di sicurezza basati sull’intelligenza artificiale

Una delle caratteristiche più innovative della campagna è la sua capacità di manipolare gli scanner di sicurezza automatizzati basati su LLM. Gli aggressori inseriscono un blocco di testo appositamente creato all'inizio dei file dannosi che istruisce i sistemi di analisi basati sull'IA a ignorare il codice nascosto, classificare il pacchetto come affidabile e generare report che lo dichiarano sicuro.

I ricercatori descrivono questo fenomeno come un importante cambiamento concettuale nelle minacce informatiche. Anziché puntare esclusivamente alle vulnerabilità del software, gli aggressori prendono di mira direttamente i processi di ragionamento dei sistemi di intelligenza artificiale. Gli scanner di sicurezza che inviano codice sorgente e testo non elaborati ai modelli di logica del linguaggio (LLM) senza rigorosi meccanismi di separazione possono essere influenzati a produrre falsi negativi, consentendo ai pacchetti dannosi di eludere il rilevamento.

Questa tecnica mette in luce un rischio crescente per le organizzazioni che dipendono sempre più da strumenti di sicurezza basati sull'intelligenza artificiale. Poiché i sistemi di gestione dell'apprendimento (LLM) rimangono altamente vulnerabili alle manipolazioni di tipo ingegneria sociale, si prevede che gli aggressori continueranno a prendere di mira sia gli agenti di sicurezza basati sull'IA sia gli utenti umani attraverso inganni sempre più sofisticati basati su suggerimenti.

L’infrastruttura di GitHub trasformata in un centro di comando invisibile

L'architettura di comando e controllo di Hades si basa su tre canali di comunicazione separati ospitati sull'infrastruttura pubblica di GitHub, consentendo al traffico malevolo di integrarsi perfettamente con la legittima attività degli sviluppatori.

Le credenziali rubate vengono crittografate localmente tramite un processo a più fasi che include serializzazione e compressione, prima di essere caricate su repository GitHub pubblici controllati dagli aggressori. Questi repository sono comunemente etichettati con la descrizione: "Ade - La fine per i dannati".

La strategia di esfiltrazione del malware ricalca le tecniche precedentemente associate a Miasma, facendo apparire GitHub come una destinazione normale mentre nasconde attività dannose.

Sfruttare la fiducia per diffondersi attraverso le reti

Una caratteristica distintiva della campagna è la sua capacità di propagarsi negli ambienti sfruttando tecnologie tipicamente utilizzate per migliorare la sicurezza e l'integrità del software, tra cui:

Secure Shell (SSH) e Secure Copy Protocol (SCP)
Connessione OpenID (OIDC)
Livelli della catena di fornitura per gli artefatti software (SLSA)

Quando eseguito all'interno di un runner di GitHub Actions, il malware cerca variabili OIDC disponibili, aggira i meccanismi di applicazione della firma del registro e genera record di provenienza SLSA firmati crittograficamente utilizzando Sigstore. Successivamente, scarica le librerie target, inietta payload dannosi e ripubblica le versioni compromesse sia su Python Package Index (PyPI) che su npm utilizzando credenziali rubate e dati di provenienza falsificati.

Di conseguenza, i pacchetti dannosi sembrano provenire da ambienti di compilazione aziendali legittimi e possiedono una verifica crittografica apparentemente valida.

Furto segreto, manipolazione da parte di agenti IA e persistenza distruttiva

Oltre all'avvelenamento dei pacchi e al furto di credenziali, Hades introduce diverse funzionalità aggiuntive progettate per massimizzare l'impatto a lungo termine:

Estrazione di segreti direttamente dalla memoria del runner di GitHub Actions senza scrivere dati su disco o generare traffico di rete sospetto.
Individuazione dei file di configurazione e dei set di regole associati a 14 diversi agenti e piattaforme di intelligenza artificiale.
Distribuzione di prompt personalizzati e hook di esecuzione che avviano automaticamente comandi Bun dannosi quando gli assistenti IA interagiscono con aree di lavoro infette.
Creazione di un accesso persistente sui sistemi compromessi.
Monitoraggio continuo dei token di autenticazione rubati.
Attivazione automatica di un componente di cancellazione distruttiva qualora un token rubato venga revocato, con conseguente eliminazione dei file utente.

Uno sguardo al futuro delle minacce informatiche

La campagna Hades dimostra come i malware moderni si stiano evolvendo oltre le tradizionali tecniche di sfruttamento. Combinando compromissione della catena di fornitura, estrazione di memoria, manipolazione dell'intelligenza artificiale, furto di credenziali, abuso della fiducia crittografica, movimento laterale e capacità distruttive all'interno di un worm auto-propagante, l'operazione illustra una nuova generazione di minacce informatiche.

Forse lo sviluppo più preoccupante è il targeting diretto dei sistemi di sicurezza basati sull'intelligenza artificiale. Man mano che le organizzazioni integrano sempre più strumenti basati su LLM nei flussi di lavoro di sviluppo e sicurezza, gli aggressori iniziano a trattare questi sistemi come vere e proprie superfici di attacco. Hades ci ricorda con forza che il futuro della sicurezza informatica implicherà la difesa non solo del software e dell'infrastruttura, ma anche dei meccanismi decisionali dell'intelligenza artificiale.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

Malware Hades

Perché Ade si distingue

Dall’importazione dei pacchetti alla compromissione completa del sistema.

Come superare in astuzia gli strumenti di sicurezza basati sull’intelligenza artificiale

L’infrastruttura di GitHub trasformata in un centro di comando invisibile

Sfruttare la fiducia per diffondersi attraverso le reti

Furto segreto, manipolazione da parte di agenti IA e persistenza distruttiva

Uno sguardo al futuro delle minacce informatiche

Invia commento

Post correlati

Ladro di ShadeStager

Tendenza

Lantixprostream.co.in

Errore di convalida dell'email Truffa via email

Lerantixflowcore.co.in

I più visti

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...

Eporner.com