Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Hades-malware

Hades-malware

Tegen Mezo in Malware, Wormen
Vertalen naar:

Cybercriminelen blijven hun aanvallen op softwareleveringsketens intensiveren, waarbij een recent ontdekte malware-operatie genaamd Hades zich ontpopt als een van de meest geavanceerde bedreigingen die tot nu toe zijn waargenomen.

Onderzoekers hebben de Hades-campagne ontdekt, een zeer geavanceerde aanval op de toeleveringsketen gericht op Python-ontwikkelomgevingen. De malware wordt direct geactiveerd wanneer een gecompromitteerd pakket wordt geïmporteerd en maakt gebruik van de populaire Bun-toolkit om geruisloos payloads in meerdere fasen uit te voeren. Deze payloads zijn in staat gevoelige informatie te stelen, zich lateraal tussen systemen te verplaatsen, vertrouwde beveiligingsframeworks te misbruiken en AI-gestuurde codeanalysetools te manipuleren via technieken voor het injecteren van prompts.

Onder de getroffen projecten bevinden zich de veelgebruikte C++-bibliotheek ensmallen en diverse pakketten binnen de ecosystemen van computationele biologie, bio-informatica en genotype-fenotype-analyse.

Waarom Hades zich onderscheidt

Het meest alarmerende kenmerk van de campagne is de combinatie van meerdere geavanceerde aanvalstechnieken in een snel verspreidende worm. Beveiligingsonderzoekers zijn eerder malware tegengekomen die zich richt op het uitlezen van geheugen, aanvallen die bedoeld zijn om beveiligingsanalyses van grote taalmodellen (LLM's) te misleiden, en destructieve wiper-malware. De integratie van al deze drie mogelijkheden in een zelfverspreidende dreiging in de toeleveringsketen vertegenwoordigt echter een aanzienlijke toename in complexiteit.

Onderzoekers schrijven de campagne toe aan wat de nieuwste evolutie van de Miasma-dreiging lijkt te zijn. Eerdere Miasma-operaties zetten zelfreplicerende wormen in die inloggegevens uit meerdere clouds verzamelden, kwaadaardige code uitvoerden wanneer repositories werden benaderd via geïntegreerde ontwikkelomgevingen (IDE's) of AI-agenten, en het geheugen van Linux-processen scanden op waardevolle gegevens.

De Hades-aanval behoudt veel van deze kernkenmerken, waaronder diefstal van inloggegevens, verspreiding via wormen en data-exfiltratie via GitHub. Andere gecompromitteerde pakketten die tijdens het onderzoek zijn geïdentificeerd, zijn onder meer mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea en pyphetools.

Van pakketimport tot volledige systeemcompromis

De aanval begint met een versleuteld script dat is ingebed in het init.py-bestand van een pakket, een cruciaal onderdeel dat het importeren van Python-pakketten mogelijk maakt. Na uitvoering installeert de malware een vooraf gecompileerde Bun-runtime en start een kwaadaardige JavaScript-payload.

Door gebruik te maken van Bun kunnen aanvallers complexe JavaScript-bewerkingen uitvoeren, zelfs op systemen waar Node.js niet is geïnstalleerd. Deze aanpak helpt traditionele pakketbeheersystemen te omzeilen en vermindert de zichtbaarheid in proxylogboeken.

De malware beschikt over geheugen-scrapingmogelijkheden voor Linux-systemen en bevat gespecialiseerde geheugenextractiemodules voor macOS en Windows. Deze componenten stellen aanvallers in staat om zeer gevoelige informatie te achterhalen, waaronder versleutelde gegevens die in het geheugen zijn opgeslagen.

Slimmer zijn dan AI-beveiligingstools

Een van de meest innovatieve aspecten van de campagne is het vermogen om geautomatiseerde, op LLM gebaseerde beveiligingsscanners te manipuleren. Aanvallers plaatsen een zorgvuldig samengesteld tekstblok aan het begin van kwaadaardige bestanden dat AI-analysesystemen instrueert om verborgen code te negeren, het pakket als betrouwbaar te classificeren en rapporten te genereren die het veilig verklaren.

Onderzoekers beschrijven dit als een belangrijke conceptuele verschuiving in cyberdreigingen. In plaats van zich alleen te richten op softwarekwetsbaarheden, richten de aanvallers zich direct op de redeneerprocessen van AI-systemen. Beveiligingsscanners die onbewerkte code en tekst naar LLM's sturen zonder strikte scheidingsmechanismen, kunnen worden beïnvloed om vals-negatieve beoordelingen te produceren, waardoor kwaadaardige pakketten detectie kunnen ontwijken.

Deze techniek benadrukt een groeiend risico voor organisaties die steeds meer afhankelijk zijn van AI-gestuurde beveiligingstools. Omdat LLM's zeer vatbaar blijven voor manipulatie via social engineering, wordt verwacht dat aanvallers zowel AI-gestuurde beveiligingssystemen als menselijke gebruikers zullen blijven aanvallen met steeds geavanceerdere, op prompts gebaseerde misleiding.

GitHub-infrastructuur omgetoverd tot een geheim commandocentrum

De Hades-command-and-control-architectuur is gebaseerd op drie afzonderlijke communicatiekanalen die worden gehost op de openbare GitHub-infrastructuur, waardoor kwaadaardig verkeer naadloos kan samensmelten met legitieme ontwikkelaarsactiviteiten.

Gestolen inloggegevens worden lokaal versleuteld via een meerstappenproces met serialisatie en compressie, voordat ze worden geüpload naar openbare GitHub-repositories die door de aanvaller worden beheerd. Deze repositories hebben vaak de beschrijving: 'Hades — Het einde voor de verdoemden.'

De exfiltratiestrategie van de malware vertoont overeenkomsten met technieken die eerder in verband werden gebracht met Miasma, waarbij GitHub zich voordoet als een normale bestemming terwijl de kwaadaardige activiteiten worden verborgen.

Het misbruiken van vertrouwen om zich over netwerken te verspreiden

Een kenmerkend aspect van de campagne is het vermogen om zich door verschillende omgevingen te verspreiden door misbruik te maken van technologieën die doorgaans worden gebruikt om de beveiliging en software-integriteit te verbeteren, waaronder:

  • Secure Shell (SSH) en Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Supply-chain Levels for Software Artifacts (SLSA)

Wanneer de malware wordt uitgevoerd binnen een GitHub Actions-runner, zoekt deze naar beschikbare OIDC-variabelen, omzeilt mechanismen voor het afdwingen van registerhandtekeningen en genereert cryptografisch ondertekende SLSA-provenance-records met behulp van Sigstore. Vervolgens downloadt de malware de doelbibliotheken, injecteert kwaadaardige payloads en publiceert de gecompromitteerde versies opnieuw naar zowel de Python Package Index (PyPI) als npm met behulp van gestolen inloggegevens en vervalste provenance-gegevens.

Hierdoor lijken de kwaadwillige pakketten afkomstig te zijn uit legitieme ontwikkelomgevingen van organisaties en beschikken ze over ogenschijnlijk geldige cryptografische verificatie.

Geheime diefstal, manipulatie van AI-agenten en destructieve persistentie

Naast het vergiftigen van pakketten en het stelen van inloggegevens introduceert Hades een aantal extra mogelijkheden die zijn ontworpen om de impact op de lange termijn te maximaliseren:

  • Geheimen rechtstreeks extraheren uit het geheugen van de GitHub Actions-runner zonder gegevens naar de schijf te schrijven of verdacht netwerkverkeer te genereren.
  • Gericht op configuratiebestanden en regelsets die zijn gekoppeld aan 14 verschillende AI-agenten en -platformen.
  • Implementatie van aangepaste prompts en uitvoeringshooks die automatisch kwaadaardige Bun-opdrachten starten wanneer AI-assistenten interactie hebben met geïnfecteerde werkruimtes.
  • Het verkrijgen van permanente toegang tot gecompromitteerde systemen.
  • Continue monitoring van gestolen authenticatietokens.
  • Automatische activering van een destructieve wiper-component als een gestolen token wordt ingetrokken, wat resulteert in het verwijderen van gebruikersbestanden.

Een blik in de toekomst van cyberdreigingen

De Hades-campagne laat zien hoe moderne malware zich ontwikkelt en verder gaat dan traditionele exploitatietechnieken. Door het compromitteren van de toeleveringsketen, het uitlezen van geheugen, AI-manipulatie, diefstal van inloggegevens, misbruik van cryptografische vertrouwensmechanismen, laterale verplaatsing en destructieve mogelijkheden te combineren in een zelfverspreidende worm, illustreert de operatie een nieuwe generatie cyberdreigingen.

De meest zorgwekkende ontwikkeling is wellicht het rechtstreeks aanvallen van AI-gestuurde beveiligingssystemen. Naarmate organisaties steeds meer LLM-tools integreren in ontwikkelings- en beveiligingsworkflows, beginnen aanvallers deze systemen als zelfstandige aanvalsoppervlakken te beschouwen. Hades is een krachtige herinnering dat de toekomst van cybersecurity niet alleen draait om de bescherming van software en infrastructuur, maar ook om de besluitvormingsmechanismen van kunstmatige intelligentie.

Trending

Meest bekeken

Bezig met laden...