Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Hades ļaunprogrammatūra

Hades ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Tārpi. gadā
Tulkot uz:

Kibernoziedznieki turpina pastiprināt uzbrukumus programmatūras piegādes ķēdēm, un jaunatklāta ļaunprogrammatūras operācija, kas pazīstama kā Hades, ir kļuvusi par vienu no sarežģītākajiem līdz šim novērotajiem apdraudējumiem.

Pētnieki atklāja Hades kampaņu — ļoti progresīvu piegādes ķēdes apdraudējumu, kas vērsts pret Python izstrādes vidēm. Ļaunprogrammatūra aktivizējas nekavējoties, tiklīdz tiek importēta kompromitēta pakotne, izmantojot populāro Bun rīku komplektu, lai klusi izpildītu daudzpakāpju slodzes. Šīs slodzes spēj zagt sensitīvu informāciju, pārvietoties horizontāli starp sistēmām, izmantot uzticamus drošības ietvarus un manipulēt ar mākslīgā intelekta darbinātiem koda analīzes rīkiem, izmantojot pretinieku tūlītējas injekcijas metodes.

Starp skartajiem projektiem ir plaši izmantotā C++ bibliotēka ensmallen un vairākas pakotnes skaitļošanas bioloģijas, bioinformātikas un genotipu-fenotipu analīzes ekosistēmās.

Kāpēc Hadess izceļas

Kampaņas satraucošākā iezīme ir vairāku progresīvu uzbrukuma metožu apvienojums strauji izplatošā tārpā. Drošības pētnieki iepriekš ir saskārušies ar ļaunprogrammatūru, kas koncentrējas uz atmiņas nozagšanu, uzbrukumiem, kas paredzēti, lai maldinātu lielu valodu modeļu (LLM) drošības analīzi, un destruktīvu tīrītāju ļaunprogrammatūru. Tomēr visu trīs spēju integrēšana pašizplatītā piegādes ķēdes apdraudējumā ir ievērojama sarežģītības eskalācija.

Pētnieki šo kampaņu saista ar, šķiet, jaunāko Miasma apdraudējuma aģenta evolūcijas pavērsienu. Iepriekšējās Miasma operācijas izvietoja pašreplicējošus tārpus, kas veica akreditācijas datu ievākšanu vairākos mākoņos, aktivizēja ļaunprātīga koda izpildi, kad krātuvēm piekļāva, izmantojot integrētās izstrādes vides (IDE) vai mākslīgā intelekta aģentus, un skenēja Linux procesa atmiņu, meklējot vērtīgus datus.

Hades operācija saglabā daudzas no šīm pamatīpašībām, tostarp akreditācijas datu zādzību, tārpu līdzīgu izplatīšanos un GitHub balstītu datu eksfiltrāciju. Izmeklēšanas laikā tika identificētas arī citas kompromitētas pakotnes, tostarp mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea un pyphetools.

No pakotnes importēšanas līdz pilnīgai sistēmas atvienošanai

Uzbrukums sākas ar apmulsinātu skriptu, kas iegults pakotnes init.py failā, kas ir kritisks komponents, kas nodrošina Python pakotņu importēšanu. Pēc izpildes ļaunprogrammatūra izvieto iepriekš kompilētu Bun izpildlaiku un palaiž ļaunprātīgu JavaScript vērtumu.

Paļaujoties uz Bun, uzbrucēji var izpildīt sarežģītas JavaScript darbības pat sistēmās, kurās nav instalēts Node.js. Šī pieeja palīdz apiet tradicionālās pakotņu pārvaldības vadīklas un samazina redzamību starpniekservera žurnālos.

Ļaunprogrammatūra ir aprīkota ar atmiņas izgūšanas iespējām Linux sistēmām un ietver specializētus atmiņas izgūšanas moduļus macOS un Windows sistēmām. Šie komponenti ļauj uzbrucējiem atgūt ļoti sensitīvu informāciju, tostarp šifrētus datus, kas atrodas atmiņā.

Pārspējot mākslīgā intelekta drošības rīkus

Viena no kampaņas novatoriskākajām funkcijām ir tās spēja manipulēt ar automatizētiem LLM balstītiem drošības skeneriem. Uzbrucēji ļaunprātīgu failu sākumā ievieto rūpīgi izstrādātu teksta bloku, kas dod norādījumus mākslīgā intelekta analīzes sistēmām ignorēt slēpto kodu, klasificēt pakotni kā uzticamu un ģenerēt atskaites, kas pasludina to par drošu.

Pētnieki to raksturo kā būtisku konceptuālu maiņu kiberdraudu jomā. Uzbrucēji ne tikai mērķē uz programmatūras ievainojamībām, bet arī tieši uzvērš mākslīgā intelekta sistēmu spriešanas procesiem. Drošības skenerus, kas iesniedz neapstrādātu kodu un tekstu juridiskās pārvaldības (LLM) ierīcēm bez stingriem atdalīšanas mehānismiem, var ietekmēt kļūdaini negatīvu rezultātu ģenerēšana, ļaujot ļaunprātīgām pakotnēm izvairīties no atklāšanas.

Šī metode izceļ pieaugošo risku, ar ko saskaras organizācijas, kas arvien vairāk paļaujas uz mākslīgā intelekta darbinātiem drošības rīkiem. Tā kā tiesību zinātņu speciālisti joprojām ir ļoti pakļauti sociālās inženierijas stila manipulācijām, sagaidāms, ka uzbrucēji turpinās uzbrukt gan mākslīgā intelekta vadītiem drošības aģentiem, gan cilvēkiem, izmantojot arvien sarežģītāku uz uzvednēm balstītu maldināšanu.

GitHub infrastruktūra pārvērtās par slepenu komandcentru

Hades komandu un vadības arhitektūra balstās uz trim atsevišķiem saziņas kanāliem, kas tiek mitināti publiskajā GitHub infrastruktūrā, ļaujot ļaunprātīgai datplūsmai nemanāmi saplūst ar likumīgām izstrādātāju darbībām.

Nozagtie akreditācijas dati tiek lokāli šifrēti, izmantojot daudzpakāpju procesu, kas ietver serializāciju un saspiešanu, pirms tie tiek augšupielādēti uzbrucēja kontrolētās publiskajās GitHub krātuvēs. Šīs krātuves parasti tiek apzīmētas ar aprakstu: "Hades — The End for the Damned" (Els — Nolādēto gals).

Ļaunprogrammatūras eksfiltrācijas stratēģija atspoguļo iepriekš ar Miasma saistītās metodes, liekot GitHub izskatīties kā parastam galamērķim, vienlaikus slēpjot ļaunprātīgu darbību.

Uzticības izmantošana, lai izplatītos tīklos

Kampaņas raksturīga iezīme ir tās spēja izplatīties dažādās vidēs, ļaunprātīgi izmantojot tehnoloģijas, kas parasti tiek izmantotas drošības un programmatūras integritātes uzlabošanai, tostarp:

  • Droša čaula (SSH) un drošas kopēšanas protokols (SCP)
  • OpenID Connect (OIDC)
  • Programmatūras artefaktu piegādes ķēdes līmeņi (SLSA)

Izpildot GitHub Actions palaidējā, ļaunprogrammatūra meklē pieejamos OIDC mainīgos, apiet reģistra paraksta ieviešanas mehānismus un ģenerē kriptogrāfiski parakstītus SLSA izcelsmes ierakstus, izmantojot Sigstore. Pēc tam tā lejupielādē mērķa bibliotēkas, injicē ļaunprātīgu slodzi un atkārtoti publicē apdraudētās versijas gan Python Package Index (PyPI), gan npm, izmantojot nozagtus akreditācijas datus un viltotus izcelsmes datus.

Tā rezultātā šķiet, ka ļaunprātīgās pakotnes ir radušās likumīgās organizācijas veidošanas vidēs un tām ir šķietami derīga kriptogrāfiskā pārbaude.

Slepena zādzība, mākslīgā intelekta aģentu manipulācija un destruktīva noturība

Papildus paku saindēšanai un akreditācijas datu zādzībām Hades ievieš vairākas papildu iespējas, kas paredzētas ilgtermiņa ietekmes maksimizēšanai:

  • Noslēpumu ieguve tieši no GitHub Actions runner atmiņas, nerakstot datus diskā vai neradot aizdomīgu tīkla trafiku.
  • Ar 14 dažādiem mākslīgā intelekta aģentiem un platformām saistītu konfigurācijas failu un noteikumu kopu mērķauditorijas atlasīšana.
  • Pielāgotu uzvedņu un izpildes āķu izvietošana, kas automātiski palaiž ļaunprātīgas Bun komandas, kad mākslīgā intelekta palīgi mijiedarbojas ar inficētām darbvietām.
  • Pastāvīgas piekļuves izveide apdraudētās sistēmās.
  • Nepārtraukta nozagto autentifikācijas žetonu uzraudzība.
  • Automātiska destruktīva tīrītāja komponenta aktivizēšana, ja tiek atsaukts nozagts tokens, kā rezultātā tiek dzēsti lietotāja faili.

Ieskats kiberdraudu nākotnē

Hades kampaņa demonstrē, kā mūsdienu ļaunprogrammatūra attīstās, pārsniedzot tradicionālās ekspluatācijas metodes. Apvienojot piegādes ķēdes kompromitēšanu, atmiņas datu nozagšanu, mākslīgā intelekta manipulācijas, akreditācijas datu zādzību, kriptogrāfiskas uzticības ļaunprātīgu izmantošanu, sānu pārvietošanos un destruktīvas spējas pašvairojošā tārpā, šī operācija ilustrē jaunas paaudzes kiberdraudus.

Iespējams, ka vislielākās bažas rada tieši mākslīgā intelekta vadītu drošības sistēmu mērķtiecīga izmantošana. Tā kā organizācijas arvien vairāk integrē LLM darbinātus rīkus izstrādes un drošības darbplūsmās, uzbrucēji sāk uzskatīt šīs sistēmas par patstāvīgām uzbrukuma virsmām. Hades kalpo kā spēcīgs atgādinājums, ka kiberdrošības nākotne ietvers ne tikai programmatūras un infrastruktūras, bet arī mākslīgā intelekta lēmumu pieņemšanas mehānismu aizsardzību.

Tendences

E-pasta validācijas kļūda E-pasta krāpniecība

Pikšķerēšana, Mēstules
E-pasta krāpniecība “E-pasta validācijas kļūda” ir pikšķerēšanas kampaņa, kas maskējas kā automatizēts paziņojums no pasta mitināšanas pakalpojuma. Krāpnieciskajā ziņojumā tiek apgalvots, ka vairāki ienākošie e-pasti ir bloķēti e-pasta validācijas problēmas dēļ un tiek turēti karantīnā. Uzrādot šķietami tehnisku problēmu, kas ietekmē e-pasta piegādi, krāpnieki mēģina piespiest adresātus...

Visvairāk skatīts

Notiek ielāde...