Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Hades Malware

Hades Malware

Do Mezo w Złośliwe oprogramowanie, Robaki
Przetłumacz na:

Cyberprzestępcy nadal nasilają ataki na łańcuchy dostaw oprogramowania, a niedawno odkryta operacja złośliwego oprogramowania znana jako Hades jawi się jako jedno z najbardziej wyrafinowanych zagrożeń zaobserwowanych do tej pory.

Badacze odkryli kampanię Hades, wysoce zaawansowaną awarię łańcucha dostaw, atakującą środowiska programistyczne Pythona. Szkodliwe oprogramowanie aktywuje się natychmiast po zaimportowaniu zainfekowanego pakietu, wykorzystując popularny zestaw narzędzi Bun do dyskretnego wykonywania wieloetapowych ataków. Ataki te potrafią wykradać poufne informacje, przemieszczać się między systemami, wykorzystywać zaufane struktury zabezpieczeń i manipulować narzędziami do analizy kodu opartymi na sztucznej inteligencji za pomocą agresywnych technik szybkiego wstrzykiwania.

Wśród projektów, których dotyczy problem, znajdują się powszechnie używana biblioteka C++ ensmallen oraz kilka pakietów z zakresu biologii obliczeniowej, bioinformatyki oraz ekosystemów analizy genotypu i fenotypu.

Dlaczego Hades wyróżnia się

Najbardziej niepokojącą cechą tej kampanii jest połączenie wielu zaawansowanych technik ataku w ramach szybko rozprzestrzeniającego się robaka. Badacze bezpieczeństwa spotkali się już wcześniej ze złośliwym oprogramowaniem koncentrującym się na scrapowaniu pamięci, atakami mającymi na celu zmylenie analizy bezpieczeństwa LLM (Light Language Model) oraz destrukcyjnym złośliwym oprogramowaniem typu wiper. Jednak zintegrowanie wszystkich trzech możliwości w samorozprzestrzeniającym się zagrożeniu łańcucha dostaw oznacza znaczny wzrost wyrafinowania.

Badacze przypisują tę kampanię temu, co wydaje się być najnowszą ewolucją cyberprzestępcy Miasma. Wcześniejsze operacje Miasma polegały na wdrażaniu samoreplikujących się robaków, które zbierały dane uwierzytelniające z wielu chmur, uruchamiały wykonywanie złośliwego kodu po uzyskaniu dostępu do repozytoriów za pośrednictwem zintegrowanych środowisk programistycznych (IDE) lub agentów AI oraz skanowały pamięć procesów Linuksa w poszukiwaniu cennych danych.

Operacja Hades zachowuje wiele z tych kluczowych cech, w tym kradzież danych uwierzytelniających, rozprzestrzenianie się robaków internetowych i eksfiltrację danych z GitHub. Inne zainfekowane pakiety zidentyfikowane podczas śledztwa to mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea i pyphetools.

Od importu pakietów do całkowitego naruszenia systemu

Atak rozpoczyna się od zaciemnionego skryptu osadzonego w pliku init.py pakietu – kluczowym komponencie umożliwiającym import pakietów Pythona. Po uruchomieniu złośliwe oprogramowanie wdraża prekompilowane środowisko wykonawcze Bun i uruchamia złośliwy kod JavaScript.

Wykorzystując Bun, atakujący mogą wykonywać złożone operacje JavaScript nawet w systemach bez zainstalowanego Node.js. Takie podejście pomaga ominąć tradycyjne mechanizmy zarządzania pakietami i ogranicza widoczność logów proxy.

Szkodliwe oprogramowanie jest wyposażone w funkcje scrapowania pamięci dla systemów Linux oraz zawiera specjalistyczne moduły ekstrakcji pamięci dla systemów macOS i Windows. Komponenty te umożliwiają atakującym odzyskanie bardzo poufnych informacji, w tym zaszyfrowanych danych przechowywanych w pamięci.

Przechytrzenie narzędzi bezpieczeństwa AI

Jedną z najbardziej innowacyjnych cech kampanii jest możliwość manipulowania automatycznymi skanerami bezpieczeństwa opartymi na LLM. Atakujący umieszczają starannie spreparowany blok tekstu na początku złośliwych plików, który instruuje systemy analizy AI, aby ignorowały ukryty kod, klasyfikowały pakiet jako godny zaufania i generowały raporty uznające go za bezpieczny.

Naukowcy opisują to jako istotną zmianę koncepcji w cyberzagrożeniach. Zamiast atakować wyłącznie luki w zabezpieczeniach oprogramowania, atakujący bezpośrednio atakują procesy wnioskowania systemów sztucznej inteligencji. Skanery bezpieczeństwa, które przesyłają surowy kod i tekst do systemów LLM bez ścisłych mechanizmów separacji, mogą zostać zmanipulowane i generować fałszywie negatywne oceny, umożliwiając złośliwym pakietom uniknięcie wykrycia.

Ta technika uwydatnia rosnące ryzyko, z jakim borykają się organizacje, które w coraz większym stopniu polegają na narzędziach bezpieczeństwa opartych na sztucznej inteligencji. Ponieważ systemy LLM pozostają wysoce podatne na manipulacje socjotechniczne, oczekuje się, że atakujący będą nadal atakować zarówno agentów bezpieczeństwa opartych na sztucznej inteligencji, jak i użytkowników, wykorzystując coraz bardziej zaawansowane metody oszustwa oparte na komunikatach.

Infrastruktura GitHub przekształcona w ukryte centrum dowodzenia

Architektura poleceń i kontroli Hades opiera się na trzech oddzielnych kanałach komunikacyjnych hostowanych w publicznej infrastrukturze GitHub, co umożliwia płynne mieszanie się złośliwego ruchu z legalną działalnością programistów.

Skradzione dane uwierzytelniające są szyfrowane lokalnie w wieloetapowym procesie obejmującym serializację i kompresję, a następnie przesyłane do kontrolowanych przez atakujących publicznych repozytoriów GitHub. Repozytoria te są zazwyczaj oznaczone etykietą: „Hades — Koniec Potępionych”.

Strategia eksfiltracji złośliwego oprogramowania opiera się na technikach wcześniej kojarzonych z Miasmą, dzięki czemu GitHub wydaje się normalnym miejscem docelowym, a jednocześnie ukrywa szkodliwą aktywność.

Wykorzystywanie zaufania do rozprzestrzeniania się w sieciach

Charakterystyczną cechą kampanii jest jej zdolność do rozprzestrzeniania się w różnych środowiskach poprzez wykorzystywanie technologii zwykle stosowanych w celu zwiększenia bezpieczeństwa i integralności oprogramowania, w tym:

  • Secure Shell (SSH) i protokół bezpiecznego kopiowania (SCP)
  • OpenID Connect (OIDC)
  • Poziomy łańcucha dostaw dla artefaktów oprogramowania (SLSA)

Po uruchomieniu w programie GitHub Actions, złośliwe oprogramowanie wyszukuje dostępne zmienne OIDC, omija mechanizmy wymuszania podpisów w rejestrze i generuje kryptograficznie podpisane rekordy pochodzenia SLSA za pomocą Sigstore. Następnie pobiera biblioteki docelowe, wstrzykuje złośliwe oprogramowanie i ponownie publikuje zainfekowane wersje zarówno w Python Package Index (PyPI), jak i npm, wykorzystując skradzione dane uwierzytelniające i sfałszowane dane pochodzenia.

W rezultacie złośliwe pakiety wydają się pochodzić z legalnych środowisk kompilacji organizacji i posiadają pozornie poprawną weryfikację kryptograficzną.

Tajna kradzież, manipulacja agentami AI i destrukcyjna trwałość

Oprócz zatruwania pakietów i kradzieży danych uwierzytelniających Hades wprowadza kilka dodatkowych możliwości mających na celu maksymalizację długoterminowego wpływu:

  • Wyodrębnianie sekretów bezpośrednio z pamięci modułu wykonawczego GitHub Actions bez zapisywania danych na dysku lub generowania podejrzanego ruchu sieciowego.
  • Celowanie w pliki konfiguracyjne i zestawy reguł powiązane z 14 różnymi agentami i platformami AI.
  • Wdrożenie niestandardowych monitów i haków wykonywalnych, które automatycznie uruchamiają złośliwe polecenia Bun, gdy asystenci AI wchodzą w interakcję z zainfekowanymi obszarami roboczymi.
  • Ustanowienie trwałego dostępu do naruszonych systemów.
  • Ciągły monitoring skradzionych tokenów uwierzytelniających.
  • Automatyczna aktywacja destrukcyjnego komponentu czyszczącego w przypadku unieważnienia skradzionego tokenu, co skutkuje usunięciem plików użytkownika.

Rzut oka na przyszłość zagrożeń cybernetycznych

Kampania Hades pokazuje, jak współczesne złośliwe oprogramowanie ewoluuje, wykraczając poza tradycyjne techniki eksploatacji. Łącząc w sobie kompromitację łańcucha dostaw, scrapowanie pamięci, manipulację sztuczną inteligencją, kradzież danych uwierzytelniających, nadużywanie zaufania kryptograficznego, ruch boczny i destrukcyjne możliwości w ramach samonapędzającego się robaka, operacja ta ilustruje nową generację cyberzagrożeń.

Być może najbardziej niepokojącym zjawiskiem jest bezpośrednie atakowanie systemów bezpieczeństwa opartych na sztucznej inteligencji. W miarę jak organizacje coraz częściej integrują narzędzia oparte na LLM z procesami rozwoju i bezpieczeństwa, atakujący zaczynają traktować te systemy jako odrębne powierzchnie ataku. Hades stanowi dobitne przypomnienie, że przyszłość cyberbezpieczeństwa będzie wymagała ochrony nie tylko oprogramowania i infrastruktury, ale także mechanizmów decyzyjnych sztucznej inteligencji.

powiązane posty

Popularne

Błąd weryfikacji adresu e-mail Oszustwo e-mailowe

Phishing, Spam
Oszustwo e-mailowe „Email Validation Error” to kampania phishingowa podszywająca się pod automatyczne powiadomienie z usługi hostingu poczty elektronicznej. Oszukańcza wiadomość twierdzi, że kilka przychodzących wiadomości e-mail zostało zablokowanych z powodu problemu z weryfikacją i poddanych kwarantannie. Przedstawiając pozornie problem techniczny utrudniający dostarczanie wiadomości e-mail,...

Najczęściej oglądane

Ładowanie...