Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносное ПО Hades

Вредоносное ПО Hades

К Mezo году в Вредоносное ПО, Черви году
Перевести на:

Киберпреступники продолжают усиливать атаки на цепочки поставок программного обеспечения, при этом недавно обнаруженная вредоносная программа под названием Hades стала одной из самых изощренных угроз, наблюдавшихся на сегодняшний день.

Исследователи обнаружили Hades Campaign — высокотехнологичную программу для взлома цепочек поставок, нацеленную на среды разработки Python. Вредоносное ПО активируется немедленно при импорте скомпрометированного пакета, используя популярный инструментарий Bun для скрытого выполнения многоэтапных полезных нагрузок. Эти полезные нагрузки способны красть конфиденциальную информацию, распространяться по системам, использовать уязвимости в проверенных системах безопасности и манипулировать инструментами анализа кода на основе ИИ с помощью методов внедрения вредоносных подсказок.

Среди затронутых проектов — широко используемая библиотека C++ ensmallen и несколько пакетов в рамках экосистем вычислительной биологии, биоинформатики и анализа генотипа и фенотипа.

Почему Аид стоит особняком

Наиболее тревожной особенностью этой кампании является сочетание множества сложных методов атаки в рамках быстро распространяющегося червя. Ранее исследователи в области безопасности сталкивались с вредоносным ПО, ориентированным на сбор данных из памяти, атаками, призванными ввести в заблуждение аналитики безопасности на основе больших языковых моделей (LLM), и деструктивным вредоносным ПО, уничтожающим данные. Однако интеграция всех трех возможностей в самораспространяющуюся угрозу, затрагивающую цепочку поставок, представляет собой значительное повышение уровня сложности.

Исследователи связывают эту кампанию с, по всей видимости, последней эволюцией хакерской группировки Miasma. Ранее Miasma использовала самовоспроизводящиеся черви, которые осуществляли сбор учетных данных в различных облачных средах, запускали выполнение вредоносного кода при доступе к репозиториям через интегрированные среды разработки (IDE) или агенты искусственного интеллекта, а также сканировали память процессов Linux на предмет ценных данных.

Операция Hades сохраняет многие из этих основных характеристик, включая кражу учетных данных, распространение вредоносного ПО по типу червя и утечку данных через GitHub. В ходе расследования были выявлены дополнительные скомпрометированные пакеты, в том числе mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea и pyphetools.

От импорта пакетов до полной компрометации системы.

Атака начинается с обфусцированного скрипта, встроенного в файл init.py пакета, критически важный компонент, обеспечивающий импорт пакетов Python. После выполнения вредоносная программа развертывает предварительно скомпилированную среду выполнения Bun и запускает вредоносную JavaScript-полезную нагрузку.

Используя Bun, злоумышленники могут выполнять сложные операции JavaScript даже в системах без установленного Node.js. Такой подход помогает обойти традиционные средства управления пакетами и снижает видимость в логах прокси-сервера.

Вредоносная программа оснащена средствами для извлечения данных из памяти в системах Linux и включает в себя специализированные модули для извлечения данных из памяти в macOS и Windows. Эти компоненты позволяют злоумышленникам восстанавливать крайне конфиденциальную информацию, включая зашифрованные данные, хранящиеся в памяти.

Перехитрить инструменты безопасности на основе ИИ

Одна из самых инновационных особенностей этой кампании — возможность манипулировать автоматизированными сканерами безопасности на основе LLM. Злоумышленники размещают тщательно составленный блок текста в начале вредоносных файлов, который инструктирует системы анализа на основе ИИ игнорировать скрытый код, классифицировать пакет как заслуживающий доверия и генерировать отчеты, объявляющие его безопасным.

Исследователи описывают это как крупный концептуальный сдвиг в киберугрозах. Вместо того чтобы атаковать только уязвимости программного обеспечения, злоумышленники напрямую нацеливаются на процессы рассуждения систем искусственного интеллекта. Сканеры безопасности, которые отправляют необработанный код и текст в LLM без строгих механизмов разделения, могут быть подвержены влиянию и выдавать ложноотрицательные результаты, что позволяет вредоносным пакетам избегать обнаружения.

Этот метод подчеркивает растущий риск, с которым сталкиваются организации, все больше полагающиеся на инструменты безопасности на основе искусственного интеллекта. Поскольку системы управления безопасностью остаются крайне уязвимыми для манипуляций в стиле социальной инженерии, ожидается, что злоумышленники будут продолжать атаковать как агентов безопасности, управляемых ИИ, так и пользователей-людей, используя все более изощренные методы обмана на основе подсказок.

Инфраструктура GitHub превращена в скрытый командный центр.

Архитектура управления и контроля Hades основана на трех отдельных каналах связи, размещенных на общедоступной инфраструктуре GitHub, что позволяет вредоносному трафику беспрепятственно сливаться с легитимной деятельностью разработчиков.

Украденные учетные данные шифруются локально в многоэтапном процессе, включающем сериализацию и сжатие, прежде чем быть загруженными в контролируемые злоумышленниками общедоступные репозитории GitHub. Эти репозитории обычно маркируются описанием: «Аид — Конец для проклятых».

Стратегия проникновения вредоносного ПО повторяет методы, ранее применявшиеся в Miasma, благодаря чему GitHub выглядит как обычный ресурс, но при этом скрывает вредоносную активность.

Использование доверия для распространения в сетях.

Отличительной чертой этой кампании является ее способность распространяться в различных средах путем злоупотребления технологиями, обычно используемыми для повышения безопасности и целостности программного обеспечения, включая:

  • Протоколы Secure Shell (SSH) и Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Уровни цепочки поставок программных артефактов (SLSA)

При запуске внутри среды выполнения GitHub Actions вредоносная программа ищет доступные переменные OIDC, обходит механизмы проверки подписи реестра и генерирует криптографически подписанные записи происхождения SLSA с помощью Sigstore. Затем она загружает целевые библиотеки, внедряет вредоносные полезные нагрузки и повторно публикует скомпрометированные версии как в Python Package Index (PyPI), так и в npm, используя украденные учетные данные и поддельные данные о происхождении.

В результате вредоносные пакеты, по-видимому, создаются в легитимных средах сборки организаций и обладают, казалось бы, достоверной криптографической проверкой.

Тайное воровство, манипулирование агентами ИИ и деструктивная настойчивость

Помимо отравления посылок и кражи учетных данных, Hades внедряет ряд дополнительных возможностей, призванных максимизировать долгосрочный эффект:

  • Извлечение секретов непосредственно из памяти исполнителя GitHub Actions без записи данных на диск и генерации подозрительного сетевого трафика.
  • Целенаправленное воздействие на конфигурационные файлы и наборы правил, связанные с 14 различными агентами и платформами искусственного интеллекта.
  • Внедрение пользовательских подсказок и обработчиков выполнения, которые автоматически запускают вредоносные команды Bun при взаимодействии ИИ-помощников с зараженными рабочими пространствами.
  • Установление постоянного доступа к скомпрометированным системам.
  • Непрерывный мониторинг украденных токенов аутентификации.
  • Автоматическая активация деструктивного компонента удаления данных в случае аннулирования украденного токена, что приводит к удалению пользовательских файлов.

Взгляд в будущее киберугроз

Кампания Hades демонстрирует, как современное вредоносное ПО развивается, выходя за рамки традиционных методов эксплуатации. Сочетая в себе компрометацию цепочки поставок, сбор данных из памяти, манипулирование ИИ, кражу учетных данных, злоупотребление криптографическим доверием, горизонтальное перемещение и деструктивные возможности в рамках самораспространяющегося червя, операция иллюстрирует новое поколение киберугроз.

Пожалуй, наиболее тревожным событием является прямое нападение на системы безопасности, управляемые искусственным интеллектом. Поскольку организации все чаще интегрируют инструменты на основе LLM в процессы разработки и обеспечения безопасности, злоумышленники начинают рассматривать эти системы как самостоятельные объекты атаки. Hades служит убедительным напоминанием о том, что будущее кибербезопасности будет связано с защитой не только программного обеспечения и инфраструктуры, но и механизмов принятия решений искусственным интеллектом.

В тренде

Lantixprostream.co.in

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Сохранение бдительности при работе в интернете крайне важно, поскольку киберпреступники постоянно разрабатывают новые методы обмана ничего не подозревающих пользователей. Мошеннические веб-сайты...

Ошибка проверки электронной почты. Мошенничество с...

Фишинг, Спам
Мошенническая схема с электронными письмами под названием «Ошибка проверки электронной почты» — это фишинговая кампания, которая маскируется под автоматическое уведомление от почтового сервиса. В мошенническом сообщении утверждается, что несколько входящих писем были заблокированы из-за проблемы с проверкой электронной почты и находятся в карантине. Представляя ситуацию как техническую...

Lerantixflowcore.co.in

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Сейчас как никогда важно проявлять осторожность при работе в интернете. Киберпреступники и владельцы мошеннических сайтов постоянно разрабатывают обманные методы, призванные побудить посетителей к...

Наиболее просматриваемые

Загрузка...