Hades मालवेयर

साइबर अपराधीहरूले सफ्टवेयर आपूर्ति शृङ्खलाहरू विरुद्ध आक्रमणहरू तीव्र पारिरहेका छन्, हेड्स भनेर चिनिने भर्खरै पत्ता लागेको मालवेयर अपरेशन अहिलेसम्म अवलोकन गरिएको सबैभन्दा परिष्कृत खतराहरू मध्ये एकको रूपमा देखा परेको छ।

अनुसन्धानकर्ताहरूले हेड्स अभियान पत्ता लगाए, जुन पाइथन विकास वातावरणलाई लक्षित गर्ने एक उच्च उन्नत आपूर्ति-श्रृंखला सम्झौता हो। सम्झौता गरिएको प्याकेज आयात गर्दा मालवेयर तुरुन्तै सक्रिय हुन्छ, लोकप्रिय बन टूलकिटलाई चुपचाप बहु-चरण पेलोडहरू कार्यान्वयन गर्न प्रयोग गर्दछ। यी पेलोडहरू संवेदनशील जानकारी चोर्न, प्रणालीहरूमा पार्श्व रूपमा सार्न, विश्वसनीय सुरक्षा फ्रेमवर्कहरूको शोषण गर्न, र विरोधी प्रम्प्ट इंजेक्शन प्रविधिहरू मार्फत एआई-संचालित कोड विश्लेषण उपकरणहरूलाई हेरफेर गर्न सक्षम छन्।

प्रभावित परियोजनाहरूमा व्यापक रूपमा प्रयोग हुने C++ पुस्तकालय ensmallen र कम्प्युटेसनल जीवविज्ञान, बायोइन्फर्मेटिक्स, र जीनोटाइप-फेनोटाइप विश्लेषण इकोसिस्टम भित्र धेरै प्याकेजहरू छन्।

हेडिस किन अलग रहन्छ?

अभियानको सबैभन्दा खतरनाक विशेषता भनेको द्रुत रूपमा फैलिरहेको किरा भित्र धेरै उन्नत आक्रमण प्रविधिहरूको संयोजन हो। सुरक्षा अनुसन्धानकर्ताहरूले पहिले मेमोरी स्क्र्यापिङमा केन्द्रित मालवेयर, ठूलो भाषा मोडेल (LLM) सुरक्षा विश्लेषणलाई भ्रामक बनाउन डिजाइन गरिएका आक्रमणहरू, र विनाशकारी वाइपर मालवेयरको सामना गरेका छन्। यद्यपि, तीनवटै क्षमताहरूलाई स्व-फैलाउने आपूर्ति-श्रृंखला खतरामा एकीकृत गर्नुले परिष्कारमा उल्लेखनीय वृद्धिलाई प्रतिनिधित्व गर्दछ।

अनुसन्धानकर्ताहरूले यो अभियानलाई मियास्मा खतरा अभिनेताको पछिल्लो विकास जस्तो देखिने कुरालाई श्रेय दिन्छन्। पहिले मियास्मा अपरेसनहरूले बहु-क्लाउड क्रेडेन्सियल कटाई सञ्चालन गर्ने स्व-प्रतिकृति कीराहरू तैनाथ गर्थे, एकीकृत विकास वातावरण (IDEs) वा AI एजेन्टहरू मार्फत भण्डारहरू पहुँच गर्दा दुर्भावनापूर्ण कोड कार्यान्वयन ट्रिगर गर्थे, र बहुमूल्य डेटाको लागि लिनक्स प्रक्रिया मेमोरी स्क्यान गर्थे।

हेड्स अपरेशनले यी धेरै मुख्य विशेषताहरू कायम राख्छ, जसमा प्रमाणपत्र चोरी, वर्म-जस्तै प्रसार, र GitHub-आधारित डेटा एक्सफिल्ट्रेसन समावेश छ। अनुसन्धानको क्रममा पहिचान गरिएका थप सम्झौता गरिएका प्याकेजहरूमा mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea, र pyphetools समावेश छन्।

प्याकेज आयात देखि पूर्ण प्रणाली सम्झौता सम्म

आक्रमण प्याकेजको init.py फाइल भित्र एम्बेड गरिएको अस्पष्ट स्क्रिप्टबाट सुरु हुन्छ, जुन एक महत्वपूर्ण कम्पोनेन्ट हो जसले पाइथन प्याकेज आयातलाई सक्षम बनाउँछ। एक पटक कार्यान्वयन भएपछि, मालवेयरले पूर्व-कम्पाइल गरिएको बन रनटाइम तैनाथ गर्छ र दुर्भावनापूर्ण जाभास्क्रिप्ट पेलोड सुरु गर्छ।

बनमा भर परेर, आक्रमणकारीहरूले Node.js स्थापना नगरिएका प्रणालीहरूमा पनि जटिल JavaScript अपरेशनहरू कार्यान्वयन गर्न सक्छन्। यो दृष्टिकोणले परम्परागत प्याकेज व्यवस्थापन नियन्त्रणहरूलाई बाइपास गर्न मद्दत गर्दछ र प्रोक्सी लगहरूमा दृश्यता कम गर्दछ।

यो मालवेयर लिनक्स प्रणालीहरूको लागि मेमोरी-स्क्र्यापिङ क्षमताहरूसँग सुसज्जित छ र यसमा macOS र Windows को लागि विशेष मेमोरी निकासी मोड्युलहरू समावेश छन्। यी कम्पोनेन्टहरूले आक्रमणकारीहरूलाई मेमोरीमा रहेको इन्क्रिप्टेड डेटा सहित अत्यधिक संवेदनशील जानकारी पुन: प्राप्ति गर्न अनुमति दिन्छ।

एआई सुरक्षा उपकरणहरूलाई उत्कृष्ट बनाउने

अभियानको सबैभन्दा नवीन विशेषताहरू मध्ये एक स्वचालित LLM-आधारित सुरक्षा स्क्यानरहरू हेरफेर गर्ने क्षमता हो। आक्रमणकारीहरूले दुर्भावनापूर्ण फाइलहरूको सुरुमा सावधानीपूर्वक तयार पारिएको पाठको ब्लक राख्छन् जसले AI विश्लेषण प्रणालीहरूलाई लुकेको कोडलाई बेवास्ता गर्न, प्याकेजलाई विश्वसनीयको रूपमा वर्गीकृत गर्न र यसलाई सुरक्षित घोषणा गर्ने रिपोर्टहरू उत्पन्न गर्न निर्देशन दिन्छ।

अनुसन्धानकर्ताहरूले यसलाई साइबर खतराहरूमा एक प्रमुख वैचारिक परिवर्तनको रूपमा वर्णन गर्छन्। सफ्टवेयर कमजोरीहरूलाई मात्र लक्षित गर्नुको सट्टा, आक्रमणकारीहरूले AI प्रणालीहरूको तर्क प्रक्रियाहरूलाई प्रत्यक्ष रूपमा लक्षित गर्छन्। कडा पृथकीकरण संयन्त्र बिना LLM हरूलाई कच्चा कोड र पाठ पेश गर्ने सुरक्षा स्क्यानरहरूलाई गलत-नकारात्मक मूल्याङ्कनहरू उत्पादन गर्न प्रभावित गर्न सकिन्छ, जसले गर्दा दुर्भावनापूर्ण प्याकेजहरू पत्ता लगाउनबाट बच्न सक्छन्।

यो प्रविधिले एआई-संचालित सुरक्षा उपकरणहरूमा बढ्दो रूपमा निर्भर संस्थाहरूको बढ्दो जोखिमलाई हाइलाइट गर्दछ। एलएलएमहरू सामाजिक-इन्जिनियरिङ-शैली हेरफेरको लागि अत्यधिक संवेदनशील रहँदा, आक्रमणकारीहरूले बढ्दो परिष्कृत प्रम्प्ट-आधारित छल मार्फत एआई-संचालित सुरक्षा एजेन्टहरू र मानव प्रयोगकर्ताहरू दुवैलाई लक्षित गर्न जारी राख्ने अपेक्षा गरिएको छ।

GitHub पूर्वाधार एक गोप्य कमाण्ड सेन्टरमा परिणत भयो

हेड्स कमाण्ड-एन्ड-कन्ट्रोल आर्किटेक्चर सार्वजनिक GitHub पूर्वाधारमा होस्ट गरिएका तीन अलग-अलग सञ्चार च्यानलहरूमा निर्भर गर्दछ, जसले गर्दा दुर्भावनापूर्ण ट्राफिकलाई वैध विकासकर्ता गतिविधिसँग निर्बाध रूपमा मिश्रण गर्न सक्षम बनाउँछ।

चोरी गरिएका प्रमाणहरू आक्रमणकारी-नियन्त्रित सार्वजनिक GitHub भण्डारहरूमा अपलोड गर्नु अघि क्रमबद्धता र कम्प्रेसन समावेश गर्ने बहु-चरण प्रक्रिया मार्फत स्थानीय रूपमा इन्क्रिप्ट गरिन्छ। यी भण्डारहरूलाई सामान्यतया वर्णनको साथ लेबल गरिन्छ: 'हेड्स - द एन्ड फर द डम्न्ड।'

मालवेयरको एक्सफिल्ट्रेसन रणनीतिले पहिले मियास्मासँग सम्बन्धित प्रविधिहरूलाई प्रतिबिम्बित गर्दछ, जसले गर्दा GitHub लाई सामान्य गन्तव्यको रूपमा देखा पर्दछ जबकि दुर्भावनापूर्ण गतिविधि लुकाउँछ।

नेटवर्कहरूमा फैलाउन विश्वासको शोषण गर्दै

अभियानको एउटा परिभाषित विशेषता भनेको सुरक्षा र सफ्टवेयर अखण्डता बढाउन प्रयोग गरिने प्रविधिहरूको दुरुपयोग गरेर वातावरण मार्फत प्रचार गर्ने क्षमता हो, जसमा निम्न समावेश छन्:

• सुरक्षित शेल (SSH) र सुरक्षित प्रतिलिपि प्रोटोकल (SCP)
• ओपनआईडी कनेक्ट (OIDC)
• सफ्टवेयर कलाकृतिहरूको लागि आपूर्ति-श्रृंखला स्तरहरू (SLSA)

GitHub Actions रनर भित्र कार्यान्वयन गर्दा, मालवेयरले उपलब्ध OIDC चरहरू खोज्छ, रजिस्ट्री-हस्ताक्षर प्रवर्तन संयन्त्रहरूलाई बाइपास गर्छ, र Sigstore प्रयोग गरेर क्रिप्टोग्राफिक रूपमा हस्ताक्षर गरिएको SLSA प्रोभेन्स रेकर्डहरू उत्पन्न गर्छ। त्यसपछि यसले लक्षित पुस्तकालयहरू डाउनलोड गर्छ, मालिसियस पेलोडहरू इन्जेक्ट गर्छ, र चोरी गरिएका प्रमाणहरू र नक्कली प्रोभेन्स डेटा प्रयोग गरेर पाइथन प्याकेज इन्डेक्स (PyPI) र npm दुवैमा सम्झौता गरिएका संस्करणहरू पुन: प्रकाशित गर्छ।

फलस्वरूप, दुर्भावनापूर्ण प्याकेजहरू वैध संगठनात्मक निर्माण वातावरणबाट उत्पन्न भएको देखिन्छ र तिनीहरूमा मान्य क्रिप्टोग्राफिक प्रमाणीकरण देखिन्छ।

गोप्य चोरी, एआई एजेन्ट हेरफेर, र विनाशकारी निरन्तरता

प्याकेज विषाक्तता र प्रमाणपत्र चोरी बाहेक, हेड्सले दीर्घकालीन प्रभावलाई अधिकतम बनाउन डिजाइन गरिएका धेरै अतिरिक्त क्षमताहरू प्रस्तुत गर्दछ:

• डिस्कमा डेटा नलेखिकन वा शंकास्पद नेटवर्क ट्राफिक उत्पन्न नगरीकन GitHub Actions रनर मेमोरीबाट सिधै गोप्य कुराहरू निकाल्ने।
• १४ विभिन्न एआई एजेन्टहरू र प्लेटफर्महरूसँग सम्बन्धित कन्फिगरेसन फाइलहरू र नियम सेटहरूको लक्षितीकरण।
• एआई सहायकहरूले संक्रमित कार्यस्थानहरूसँग अन्तर्क्रिया गर्दा स्वचालित रूपमा दुर्भावनापूर्ण बन आदेशहरू सुरु गर्ने अनुकूलन प्रम्प्टहरू र कार्यान्वयन हुकहरूको तैनाती।
• सम्झौता गरिएका प्रणालीहरूमा निरन्तर पहुँचको स्थापना।
• चोरी भएका प्रमाणीकरण टोकनहरूको निरन्तर निगरानी।
• चोरी भएको टोकन रद्द भएमा विनाशकारी वाइपर कम्पोनेन्टको स्वचालित सक्रियता, जसले गर्दा प्रयोगकर्ता फाइलहरू मेटिन्छन्।

साइबर खतराहरूको भविष्यको झलक

हेड्स अभियानले परम्परागत शोषण प्रविधिहरूभन्दा बाहिर आधुनिक मालवेयर कसरी विकसित हुँदैछ भनेर देखाउँछ। आपूर्ति-श्रृंखला सम्झौता, मेमोरी स्क्र्यापिङ, एआई हेरफेर, प्रमाणपत्र चोरी, क्रिप्टोग्राफिक विश्वास दुरुपयोग, पार्श्व आन्दोलन, र आत्म-प्रसारित कीरा भित्र विनाशकारी क्षमताहरू संयोजन गरेर, अपरेशनले साइबर खतराहरूको नयाँ पुस्तालाई चित्रण गर्दछ।

सायद सबैभन्दा चिन्ताजनक विकास भनेको एआई-संचालित सुरक्षा प्रणालीहरूको प्रत्यक्ष लक्षितकरण हो। संस्थाहरूले विकास र सुरक्षा कार्यप्रवाहमा LLM-संचालित उपकरणहरूलाई बढ्दो रूपमा एकीकृत गर्दै जाँदा, आक्रमणकारीहरूले ती प्रणालीहरूलाई आफ्नै अधिकारमा आक्रमण सतहको रूपमा व्यवहार गर्न थालेका छन्। हेड्सले साइबर सुरक्षाको भविष्यमा सफ्टवेयर र पूर्वाधार मात्र नभई कृत्रिम बुद्धिमत्ताको निर्णय लिने संयन्त्रहरूको पनि रक्षा गर्ने कुरामा शक्तिशाली सम्झाउने काम गर्दछ।