មេរោគ Hades

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តបង្កើនការវាយប្រហារប្រឆាំងនឹងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី ដោយមានប្រតិបត្តិការមេរោគដែលទើបរកឃើញថ្មី ដែលគេស្គាល់ថា Hades កំពុងលេចចេញជាការគំរាមកំហែងដ៏ទំនើបបំផុតមួយដែលត្រូវបានគេសង្កេតឃើញរហូតមកដល់បច្ចុប្បន្ន។

ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញ Hades Campaign ដែលជាការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់កម្រិតខ្ពស់ដែលផ្តោតលើបរិស្ថានអភិវឌ្ឍន៍ Python។ មេរោគនេះធ្វើឱ្យសកម្មភ្លាមៗនៅពេលដែលកញ្ចប់ដែលសម្របសម្រួលត្រូវបាននាំចូល ដោយទាញយកអត្ថប្រយោជន៍ពីឧបករណ៍ Bun ដ៏ពេញនិយមដើម្បីប្រតិបត្តិ payloads ពហុដំណាក់កាលដោយស្ងៀមស្ងាត់។ payloads ទាំងនេះមានសមត្ថភាពលួចព័ត៌មានរសើប ផ្លាស់ទីទៅចំហៀងឆ្លងកាត់ប្រព័ន្ធ កេងប្រវ័ញ្ចក្របខ័ណ្ឌសុវត្ថិភាពដែលគួរឱ្យទុកចិត្ត និងរៀបចំឧបករណ៍វិភាគកូដដែលដំណើរការដោយ AI តាមរយៈបច្ចេកទេសចាក់បញ្ចូលការណែនាំប្រឆាំង។

ក្នុងចំណោមគម្រោងដែលរងផលប៉ះពាល់ រួមមានបណ្ណាល័យ C++ ដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ និងកញ្ចប់មួយចំនួននៅក្នុងប្រព័ន្ធអេកូឡូស៊ីជីវវិទ្យាកុំព្យូទ័រ ជីវព័ត៌មានវិទ្យា និងការវិភាគហ្សែន-លក្ខណៈ។

ហេតុអ្វីបានជាហាដេសឈរដាច់ពីគេ

លក្ខណៈគួរឱ្យព្រួយបារម្ភបំផុតរបស់យុទ្ធនាការនេះគឺការរួមបញ្ចូលគ្នានៃបច្ចេកទេសវាយប្រហារកម្រិតខ្ពស់ជាច្រើននៅក្នុងដង្កូវដែលរីករាលដាលយ៉ាងឆាប់រហ័ស។ អ្នកស្រាវជ្រាវសន្តិសុខធ្លាប់បានជួបប្រទះនឹងមេរោគដែលផ្តោតលើការកោសអង្គចងចាំ ការវាយប្រហារដែលត្រូវបានរចនាឡើងដើម្បីបំភាន់ការវិភាគសុវត្ថិភាពគំរូភាសាធំ (LLM) និងមេរោគលុបទិន្នន័យដែលបំផ្លិចបំផ្លាញ។ ទោះជាយ៉ាងណាក៏ដោយ ការរួមបញ្ចូលសមត្ថភាពទាំងបីទៅក្នុងការគំរាមកំហែងខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលរីករាលដាលដោយខ្លួនឯងតំណាងឱ្យការកើនឡើងគួរឱ្យកត់សម្គាល់នៃភាពទំនើប។

ក្រុមអ្នកស្រាវជ្រាវបានសន្មតថាយុទ្ធនាការនេះទៅនឹងអ្វីដែលហាក់ដូចជាការវិវត្តន៍ចុងក្រោយបំផុតរបស់ភ្នាក់ងារគំរាមកំហែង Miasma។ ប្រតិបត្តិការ Miasma មុនៗបានដាក់ពង្រាយដង្កូវដែលចម្លងដោយខ្លួនឯង ដែលធ្វើការប្រមូលផលព័ត៌មានសម្ងាត់ពហុពពក បង្កឱ្យមានការប្រតិបត្តិកូដព្យាបាទនៅពេលដែលឃ្លាំងត្រូវបានចូលប្រើតាមរយៈបរិស្ថានអភិវឌ្ឍន៍រួមបញ្ចូលគ្នា (IDEs) ឬភ្នាក់ងារ AI និងស្កេនអង្គចងចាំដំណើរការ Linux សម្រាប់ទិន្នន័យដ៏មានតម្លៃ។

ប្រតិបត្តិការ Hades រក្សាបាននូវលក្ខណៈស្នូលជាច្រើនទាំងនេះ រួមទាំងការលួចព័ត៌មានសម្ងាត់ ការសាយភាយដូចដង្កូវ និងការលួចទិន្នន័យដែលមានមូលដ្ឋានលើ GitHub។ កញ្ចប់រងការសម្របសម្រួលបន្ថែមដែលត្រូវបានកំណត់ក្នុងអំឡុងពេលស៊ើបអង្កេតរួមមាន mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea និង pyphetools។

ពីការនាំចូលកញ្ចប់រហូតដល់ការសម្របសម្រួលប្រព័ន្ធពេញលេញ

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងស្គ្រីបដែលមិនច្បាស់លាស់ដែលបានបង្កប់នៅក្នុងឯកសារ init.py របស់កញ្ចប់ ដែលជាសមាសធាតុសំខាន់មួយដែលអនុញ្ញាតឱ្យនាំចូលកញ្ចប់ Python។ នៅពេលដែលត្រូវបានប្រតិបត្តិ មេរោគនឹងដាក់ពង្រាយ Bun runtime ដែលបានចងក្រងជាមុន ហើយបើកដំណើរការ payload JavaScript ព្យាបាទ។

ដោយពឹងផ្អែកលើ Bun អ្នកវាយប្រហារអាចប្រតិបត្តិប្រតិបត្តិការ JavaScript ស្មុគស្មាញសូម្បីតែនៅលើប្រព័ន្ធដែលមិនបានដំឡើង Node.js ក៏ដោយ។ វិធីសាស្រ្តនេះជួយរំលងការគ្រប់គ្រងកញ្ចប់បែបប្រពៃណី និងកាត់បន្ថយភាពមើលឃើញនៅក្នុងកំណត់ហេតុប្រូកស៊ី។

មេរោគនេះត្រូវបានបំពាក់ដោយសមត្ថភាពកោសអង្គចងចាំសម្រាប់ប្រព័ន្ធ Linux និងរួមបញ្ចូលម៉ូឌុលទាញយកអង្គចងចាំឯកទេសសម្រាប់ macOS និង Windows។ សមាសធាតុទាំងនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារសង្គ្រោះព័ត៌មានរសើបខ្ពស់ រួមទាំងទិន្នន័យដែលបានអ៊ិនគ្រីបដែលស្ថិតនៅក្នុងអង្គចងចាំ។

ឆ្លាតជាងឧបករណ៍សុវត្ថិភាព AI

លក្ខណៈពិសេសប្រកបដោយភាពច្នៃប្រឌិតបំផុតមួយរបស់យុទ្ធនាការនេះគឺសមត្ថភាពរបស់វាក្នុងការរៀបចំម៉ាស៊ីនស្កេនសុវត្ថិភាពដែលមានមូលដ្ឋានលើ LLM ដោយស្វ័យប្រវត្តិ។ អ្នកវាយប្រហារដាក់ប្លុកអត្ថបទដែលបង្កើតឡើងយ៉ាងប្រុងប្រយ័ត្ននៅដើមឯកសារព្យាបាទ ដែលណែនាំប្រព័ន្ធវិភាគ AI ឱ្យមិនអើពើនឹងកូដដែលលាក់ ចាត់ថ្នាក់កញ្ចប់ថាគួរឱ្យទុកចិត្ត និងបង្កើតរបាយការណ៍ដែលប្រកាសថាវាមានសុវត្ថិភាព។

អ្នកស្រាវជ្រាវពិពណ៌នារឿងនេះថាជាការផ្លាស់ប្តូរគំនិតដ៏សំខាន់មួយនៅក្នុងការគំរាមកំហែងតាមអ៊ីនធឺណិត។ ជំនួសឱ្យការកំណត់គោលដៅភាពងាយរងគ្រោះរបស់កម្មវិធីតែម្នាក់ឯង អ្នកវាយប្រហារផ្តោតគោលដៅដោយផ្ទាល់ទៅលើដំណើរការវែកញែកនៃប្រព័ន្ធ AI។ ម៉ាស៊ីនស្កេនសុវត្ថិភាពដែលដាក់ស្នើកូដ និងអត្ថបទឆៅទៅ LLMs ដោយគ្មានយន្តការបំបែកយ៉ាងតឹងរ៉ឹងអាចត្រូវបានជះឥទ្ធិពលឱ្យបង្កើតការវាយតម្លៃអវិជ្ជមានមិនពិត ដែលអនុញ្ញាតឱ្យកញ្ចប់ព្យាបាទគេចវេសពីការរកឃើញ។

បច្ចេកទេសនេះបង្ហាញពីហានិភ័យកាន់តែខ្លាំងឡើងដែលអង្គការនានាកំពុងប្រឈមមុខ ដែលពឹងផ្អែកកាន់តែខ្លាំងឡើងលើឧបករណ៍សុវត្ថិភាពដែលដំណើរការដោយ AI។ ដោយសារតែ LLMs នៅតែងាយរងគ្រោះខ្លាំងចំពោះការរៀបចំបែបវិស្វកម្មសង្គម អ្នកវាយប្រហារត្រូវបានគេរំពឹងថានឹងបន្តកំណត់គោលដៅទាំងភ្នាក់ងារសុវត្ថិភាពដែលជំរុញដោយ AI និងអ្នកប្រើប្រាស់មនុស្សតាមរយៈការបោកប្រាស់ដែលមានមូលដ្ឋានលើប្រអប់បញ្ចូលទិន្នន័យដែលកាន់តែស្មុគស្មាញ។

ហេដ្ឋារចនាសម្ព័ន្ធ GitHub បានប្រែក្លាយទៅជាមជ្ឈមណ្ឌលបញ្ជាដ៏សម្ងាត់

ស្ថាបត្យកម្មបញ្ជា និងត្រួតពិនិត្យ Hades ពឹងផ្អែកលើបណ្តាញទំនាក់ទំនងដាច់ដោយឡែកចំនួនបី ដែលបង្ហោះនៅលើហេដ្ឋារចនាសម្ព័ន្ធ GitHub សាធារណៈ ដែលអាចឱ្យចរាចរណ៍ព្យាបាទលាយបញ្ចូលគ្នាយ៉ាងរលូនជាមួយសកម្មភាពរបស់អ្នកអភិវឌ្ឍន៍ស្របច្បាប់។

អត្តសញ្ញាណ​ដែល​ត្រូវ​បាន​លួច​ត្រូវ​បាន​អ៊ិនគ្រីប​ក្នុង​មូលដ្ឋាន​តាមរយៈ​ដំណើរការ​ច្រើន​ដំណាក់កាល​ដែល​ពាក់ព័ន្ធ​នឹង​ការ​ធ្វើ​ស៊េរី និង​ការ​បង្ហាប់ មុន​ពេល​ត្រូវ​បាន​ផ្ទុក​ឡើង​ទៅ​កាន់​ឃ្លាំង​ GitHub សាធារណៈ​ដែល​គ្រប់គ្រង​ដោយ​អ្នក​វាយប្រហារ។ ឃ្លាំង​ទាំងនេះ​ត្រូវ​បាន​ដាក់​ស្លាក​ជា​ទូទៅ​ជាមួយ​នឹង​ការ​ពិពណ៌នា​ថា​៖ 'Hades — The End for the Damned'។

យុទ្ធសាស្ត្រ​ច្រោះ​មេរោគ​របស់​មេរោគ​នេះ​ឆ្លុះបញ្ចាំង​ពី​បច្ចេកទេស​ដែល​ធ្លាប់​ជាប់​ទាក់ទង​ជាមួយ Miasma ដែល​ធ្វើ​ឱ្យ GitHub លេចឡើង​ជា​គោលដៅ​ធម្មតា​ខណៈពេល​ដែល​លាក់បាំង​សកម្មភាព​ព្យាបាទ។

ការកេងប្រវ័ញ្ចទំនុកចិត្តដើម្បីរីករាលដាលពាសពេញបណ្តាញ

លក្ខណៈពិសេសមួយនៃយុទ្ធនាការនេះគឺសមត្ថភាពរបស់វាក្នុងការផ្សព្វផ្សាយតាមរយៈបរិស្ថានដោយរំលោភបំពានបច្ចេកវិទ្យាដែលជាធម្មតាត្រូវបានប្រើដើម្បីបង្កើនសុវត្ថិភាព និងភាពសុចរិតនៃកម្មវិធី រួមមាន៖

• សែលសុវត្ថិភាព (SSH) និងពិធីការចម្លងសុវត្ថិភាព (SCP)
• ការតភ្ជាប់ OpenID (OIDC)
• កម្រិតខ្សែសង្វាក់ផ្គត់ផ្គង់សម្រាប់វត្ថុបុរាណផ្នែកទន់ (SLSA)

នៅពេលដែលត្រូវបានប្រតិបត្តិនៅខាងក្នុង GitHub Actions មេរោគនឹងស្វែងរកអថេរ OIDC ដែលមាន រំលងយន្តការអនុវត្តហត្ថលេខាចុះបញ្ជី និងបង្កើតកំណត់ត្រាប្រភព SLSA ដែលបានចុះហត្ថលេខាជាគ្រីបតូក្រាហ្វីដោយប្រើ Sigstore។ បន្ទាប់មកវាទាញយកបណ្ណាល័យគោលដៅ ចាក់បញ្ចូលបន្ទុកដែលមានគំនិតអាក្រក់ និងបោះពុម្ពផ្សាយឡើងវិញនូវកំណែដែលសម្របសម្រួលទៅទាំង Python Package Index (PyPI) និង npm ដោយប្រើព័ត៌មានសម្ងាត់ដែលត្រូវបានគេលួច និងទិន្នន័យប្រភពក្លែងក្លាយ។

ជាលទ្ធផល កញ្ចប់ព្យាបាទហាក់ដូចជាមានប្រភពមកពីបរិយាកាសបង្កើតរបស់អង្គការស្របច្បាប់ ហើយមានការផ្ទៀងផ្ទាត់គ្រីបតូក្រាហ្វិចដែលមានសុពលភាព។

ការលួចលាក់ ការរៀបចំភ្នាក់ងារ AI និងការតស៊ូបំផ្លិចបំផ្លាញ

ក្រៅពីការបំពុលកញ្ចប់ និងការលួចព័ត៌មានសម្ងាត់ Hades បានណែនាំសមត្ថភាពបន្ថែមមួយចំនួនដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនប្រសិទ្ធភាពរយៈពេលវែង៖

• ការស្រង់ចេញនូវអាថ៌កំបាំងដោយផ្ទាល់ពីអង្គចងចាំ GitHub Actions runner ដោយមិនចាំបាច់សរសេរទិន្នន័យទៅឌីស ឬបង្កើតចរាចរណ៍បណ្តាញគួរឱ្យសង្ស័យ។
• ការកំណត់គោលដៅនៃឯកសារកំណត់រចនាសម្ព័ន្ធ និងសំណុំច្បាប់ដែលភ្ជាប់ជាមួយភ្នាក់ងារ និងវេទិកា AI ចំនួន 14 ផ្សេងៗគ្នា។
• ការដាក់ពង្រាយ custom prompts និង execution hooks ដែលបើកដំណើរការពាក្យបញ្ជា Bun ដែលមានគំនិតអាក្រក់ដោយស្វ័យប្រវត្តិ នៅពេលដែលជំនួយការ AI ធ្វើអន្តរកម្មជាមួយកន្លែងធ្វើការដែលឆ្លងមេរោគ។
• ការបង្កើតការចូលប្រើអចិន្ត្រៃយ៍លើប្រព័ន្ធដែលរងការគំរាមកំហែង។
• ការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃសញ្ញាសម្ងាត់ផ្ទៀងផ្ទាត់ដែលត្រូវបានគេលួច។
• ការធ្វើឱ្យសកម្មដោយស្វ័យប្រវត្តិនៃសមាសធាតុ wiper បំផ្លិចបំផ្លាញ ប្រសិនបើសញ្ញាសម្ងាត់ដែលត្រូវបានគេលួចត្រូវបានដកហូត ដែលបណ្តាលឱ្យមានការលុបឯកសារអ្នកប្រើប្រាស់។

ការក្រឡេកមើលទៅអនាគតនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត

យុទ្ធនាការ Hades បង្ហាញពីរបៀបដែលមេរោគទំនើបកំពុងវិវត្តហួសពីបច្ចេកទេសកេងប្រវ័ញ្ចបែបប្រពៃណី។ ដោយរួមបញ្ចូលគ្នានូវការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់ ការកោសអង្គចងចាំ ការរៀបចំ AI ការលួចអត្តសញ្ញាណ ការរំលោភបំពានទំនុកចិត្តលើគ្រីបតូក្រាហ្វី ចលនាចំហៀង និងសមត្ថភាពបំផ្លិចបំផ្លាញនៅក្នុងដង្កូវដែលរីករាលដាលដោយខ្លួនឯង ប្រតិបត្តិការនេះបង្ហាញពីជំនាន់ថ្មីនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត។

ប្រហែលជាការអភិវឌ្ឍដែលគួរឱ្យព្រួយបារម្ភបំផុតគឺការកំណត់គោលដៅដោយផ្ទាល់ទៅលើប្រព័ន្ធសុវត្ថិភាពដែលជំរុញដោយ AI។ ខណៈពេលដែលអង្គការនានាកំពុងរួមបញ្ចូលឧបករណ៍ដែលដំណើរការដោយ LLM ទៅក្នុងដំណើរការអភិវឌ្ឍន៍ និងសុវត្ថិភាពកាន់តែខ្លាំងឡើង អ្នកវាយប្រហារកំពុងចាប់ផ្តើមចាត់ទុកប្រព័ន្ធទាំងនោះថាជាផ្ទៃវាយប្រហារដោយខ្លួនឯង។ Hades បម្រើជាការរំលឹកដ៏មានឥទ្ធិពលមួយថា អនាគតនៃសន្តិសុខតាមអ៊ីនធឺណិតនឹងពាក់ព័ន្ធនឹងការការពារមិនត្រឹមតែកម្មវិធី និងហេដ្ឋារចនាសម្ព័ន្ធប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងយន្តការធ្វើការសម្រេចចិត្តនៃបញ្ញាសិប្បនិម្មិតផងដែរ។