Hades Malware

Până în Mezo în Programe malware, Viermi

Tradu in:

Infractorii cibernetici continuă să intensifice atacurile împotriva lanțurilor de aprovizionare cu software, o operațiune malware recent descoperită, cunoscută sub numele de Hades, devenind una dintre cele mai sofisticate amenințări observate până în prezent.

Cercetătorii au descoperit Campania Hades, o vulnerabilitate extrem de avansată a lanțului de aprovizionare care vizează mediile de dezvoltare Python. Malware-ul se activează imediat ce este importat un pachet compromis, utilizând popularul setul de instrumente Bun pentru a executa în mod silențios sarcini utile în mai multe etape. Aceste sarcini utile sunt capabile să fure informații sensibile, să se deplaseze lateral între sisteme, să exploateze cadre de securitate de încredere și să manipuleze instrumente de analiză a codului bazate pe inteligență artificială prin tehnici de injectare promptă adversă.

Printre proiectele afectate se numără biblioteca C++ utilizată pe scară largă, ensmallen, și mai multe pachete din cadrul ecosistemelor de biologie computațională, bioinformatică și analiză genotip-fenotip.

Cuprins

De ce Hades se distinge

Cea mai alarmantă caracteristică a campaniei este combinarea mai multor tehnici avansate de atac în cadrul unui vierme cu răspândire rapidă. Cercetătorii în domeniul securității au întâlnit anterior programe malware axate pe extragerea memoriei, atacuri concepute pentru a induce în eroare analiza securității bazată pe modelul de limbaj mare (LLM) și programe malware distructive de tip wiper. Cu toate acestea, integrarea tuturor celor trei capabilități într-o amenințare la adresa lanțului de aprovizionare care se auto-răspândește reprezintă o escaladare semnificativă a sofisticarii.

Cercetătorii atribuie campania la ceea ce pare a fi cea mai recentă evoluție a actorului de amenințare Miasma. Operațiunile anterioare ale Miasma au implementat viermi autoreplicanți care au efectuat recoltarea de acreditări în mai multe cloud-uri, au declanșat executarea de cod rău intenționat atunci când depozitele au fost accesate prin medii de dezvoltare integrate (IDE) sau agenți de inteligență artificială și au scanat memoria proceselor Linux pentru date valoroase.

Operațiunea Hades păstrează multe dintre aceste caracteristici de bază, inclusiv furtul de credențiale, propagarea de tip vierme și exfiltrarea datelor bazată pe GitHub. Alte pachete compromise identificate în timpul investigației includ mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea și pyphetools.

De la importul pachetelor la compromiterea completă a sistemului

Atacul începe cu un script ofuscat încorporat în fișierul init.py al unui pachet, o componentă critică ce permite importul de pachete Python. Odată executat, malware-ul implementează un runtime Bun precompilat și lansează o utilă JavaScript malițioasă.

Bazându-se pe Bun, atacatorii pot executa operațiuni JavaScript complexe chiar și pe sisteme fără Node.js instalat. Această abordare ajută la ocolirea controalelor tradiționale de gestionare a pachetelor și reduce vizibilitatea în jurnalele proxy.

Malware-ul este echipat cu capabilități de extragere a memoriei pentru sistemele Linux și include module specializate de extragere a memoriei pentru macOS și Windows. Aceste componente permit atacatorilor să recupereze informații extrem de sensibile, inclusiv date criptate care se află în memorie.

Depășirea inteligenței instrumentelor de securitate cu inteligență artificială

Una dintre cele mai inovatoare caracteristici ale campaniei este capacitatea sa de a manipula scanere de securitate automate bazate pe LLM. Atacatorii plasează un bloc de text atent elaborat la începutul fișierelor malițioase, care instruiește sistemele de analiză bazate pe inteligență artificială să ignore codul ascuns, să clasifice pachetul ca fiind de încredere și să genereze rapoarte prin care îl declară sigur.

Cercetătorii descriu acest lucru ca o schimbare conceptuală majoră în ceea ce privește amenințările cibernetice. În loc să vizeze doar vulnerabilitățile software, atacatorii vizează direct procesele de raționament ale sistemelor de inteligență artificială. Scanerele de securitate care trimit cod brut și text către LLM-uri fără mecanisme stricte de separare pot fi influențate să producă evaluări fals negative, permițând pachetelor rău intenționate să evite detectarea.

Această tehnică evidențiază un risc tot mai mare cu care se confruntă organizațiile care depind din ce în ce mai mult de instrumente de securitate bazate pe inteligență artificială. Întrucât LLM-urile rămân extrem de susceptibile la manipulări de tip inginerie socială, se așteaptă ca atacatorii să continue să vizeze atât agenții de securitate bazați pe inteligență artificială, cât și utilizatorii umani prin intermediul unor înșelăciuni bazate pe prompturi din ce în ce mai sofisticate.

Infrastructura GitHub transformată într-un centru de comandă discret

Arhitectura de comandă și control Hades se bazează pe trei canale de comunicare separate găzduite pe infrastructura publică GitHub, permițând traficului rău intenționat să se îmbine perfect cu activitatea legitimă a dezvoltatorilor.

Acreditările furate sunt criptate local printr-un proces în mai multe etape care implică serializare și compresie înainte de a fi încărcate în depozite publice GitHub controlate de atacatori. Aceste depozite sunt de obicei etichetate cu descrierea: „Hades — Sfârșitul celor condamnați”.

Strategia de exfiltrare a malware-ului reflectă tehnicile asociate anterior cu Miasma, făcând ca GitHub să pară o destinație normală, ascunzând în același timp activitatea rău intenționată.

Exploatarea încrederii pentru a se răspândi în rețele

O caracteristică definitorie a campaniei este capacitatea sa de a se propaga în medii abuzând de tehnologiile utilizate de obicei pentru a spori securitatea și integritatea software-ului, inclusiv:

Secure Shell (SSH) și Secure Copy Protocol (SCP)
OpenID Connect (OIDC)
Niveluri ale lanțului de aprovizionare pentru artefacte software (SLSA)

Când este executat în cadrul unui runner GitHub Actions, malware-ul caută variabile OIDC disponibile, ocolește mecanismele de impunere a semnăturii de registry și generează înregistrări de proveniență SLSA semnate criptografic folosind Sigstore. Apoi descarcă bibliotecile țintă, injectează sarcini utile malițioase și republică versiunile compromise atât în Python Package Index (PyPI), cât și în npm, folosind acreditări furate și date de proveniență falsificate.

Prin urmare, pachetele rău intenționate par să provină din medii de construire organizaționale legitime și posedă o verificare criptografică aparent validă.

Furt secret, manipulare cu agenți IA și persistență distructivă

Dincolo de otrăvirea pachetelor și furtul de acreditări, Hades introduce câteva capabilități suplimentare concepute pentru a maximiza impactul pe termen lung:

Extragerea secretelor direct din memoria runner-ului GitHub Actions fără a scrie date pe disc sau a genera trafic de rețea suspect.
Direcționarea fișierelor de configurare și a seturilor de reguli asociate cu 14 agenți și platforme AI diferite.
Implementarea de prompturi personalizate și hook-uri de execuție care lansează automat comenzi Bun rău intenționate atunci când asistenții AI interacționează cu spațiile de lucru infectate.
Stabilirea accesului persistent pe sistemele compromise.
Monitorizare continuă a token-urilor de autentificare furate.
Activarea automată a unei componente distructive de ștergere dacă un token furat este revocat, ceea ce duce la ștergerea fișierelor utilizatorului.

O privire asupra viitorului amenințărilor cibernetice

Campania Hades demonstrează modul în care programele malware moderne evoluează dincolo de tehnicile tradiționale de exploatare. Prin combinarea compromiterii lanțului de aprovizionare, extragerii memoriei, manipulării inteligenței artificiale, furtului de credențiale, abuzului de încredere criptografică, mișcării laterale și capacităților distructive în cadrul unui vierme auto-propagator, operațiunea ilustrează o nouă generație de amenințări cibernetice.

Poate cea mai îngrijorătoare dezvoltare este direcționarea directă a sistemelor de securitate bazate pe inteligență artificială. Pe măsură ce organizațiile integrează din ce în ce mai mult instrumente bazate pe LLM în fluxurile de lucru de dezvoltare și securitate, atacatorii încep să trateze aceste sisteme ca suprafețe de atac în sine. Hades servește ca o reamintire puternică a faptului că viitorul securității cibernetice va implica apărarea nu doar a software-ului și a infrastructurii, ci și a mecanismelor decizionale ale inteligenței artificiale.

Procesorul de plăți de la EnigmaSoft Digital River GmbH Depunerea de faliment nu afectează protecția anti-malware a clienților SpyHunter

Căutare

Schimbați regiunea

Hades Malware

De ce Hades se distinge

De la importul pachetelor la compromiterea completă a sistemului

Depășirea inteligenței instrumentelor de securitate cu inteligență artificială

Infrastructura GitHub transformată într-un centru de comandă discret

Exploatarea încrederii pentru a se răspândi în rețele

Furt secret, manipulare cu agenți IA și persistență distructivă

O privire asupra viitorului amenințărilor cibernetice

Trimite comentariu

postări asemănatoare

Furtul de ShadeStager

Trending

Lantixprostream.co.in

Eroare de validare a e-mailului - Escrocherie prin...

Lerantixflowcore.co.in

Cele mai văzute

Eporner.com

Fuq.com

XHAMSTER Ransomware