Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér Hades

Škodlivý softvér Hades

Do roku Mezo v roku Malvér, Červy
Preložiť do:

Kyberzločinci naďalej zintenzívňujú útoky na dodávateľské reťazce softvéru, pričom novo objavená operácia škodlivého softvéru známa ako Hades sa stáva jednou z najsofistikovanejších hrozieb, aké boli doteraz pozorované.

Výskumníci odhalili kampaň Hades, vysoko pokročilý kompromitujúci systém dodávateľského reťazca zameraný na vývojové prostredia Pythonu. Malvér sa aktivuje okamžite po importe napadnutého balíka a využíva populárnu sadu nástrojov Bun na tiché vykonávanie viacstupňových dátových úložisk. Tieto dáta sú schopné kradnúť citlivé informácie, presúvať sa laterálne medzi systémami, zneužívať dôveryhodné bezpečnostné rámce a manipulovať s nástrojmi na analýzu kódu poháňanými umelou inteligenciou prostredníctvom techník adversarial prompt injection.

Medzi dotknutými projektmi je široko používaná knižnica C++ ensmallen a niekoľko balíkov v rámci ekosystémov výpočtovej biológie, bioinformatiky a analýzy genotypu a fenotypu.

Prečo Hádes vyniká

Najalarmujúcejšou charakteristikou kampane je kombinácia viacerých pokročilých útočných techník v rámci rýchlo sa šíriaceho červa. Bezpečnostní výskumníci sa už predtým stretli so škodlivým softvérom zameraným na scraping pamäte, útokmi navrhnutými tak, aby zavádzali bezpečnostnú analýzu modelov veľkých jazykov (LLM) a deštruktívnym škodlivým softvérom typu wiper. Integrácia všetkých troch funkcií do samovoľne sa šíriacej hrozby pre dodávateľský reťazec však predstavuje výrazné zvýšenie sofistikovanosti.

Výskumníci pripisujú kampaň tomu, čo sa javí ako najnovší vývojový stupeň hrozby Miasma. Skoršie operácie Miasma nasadili samoreplikujúce sa červy, ktoré vykonávali zber prihlasovacích údajov z viacerých cloudov, spúšťali spustenie škodlivého kódu pri prístupe k repozitárom prostredníctvom integrovaných vývojových prostredí (IDE) alebo agentov umelej inteligencie a skenovali pamäť procesov Linuxu a hľadali cenné údaje.

Operácia Hades si zachováva mnohé z týchto základných charakteristík vrátane krádeže prihlasovacích údajov, šírenia podobných červom a úniku údajov prostredníctvom GitHubu. Medzi ďalšie kompromitované balíky identifikované počas vyšetrovania patria mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea a pyphetools.

Od importu balíkov k úplnému narušeniu systému

Útok začína obfuskovaným skriptom vloženým do súboru init.py balíka, čo je kľúčový komponent, ktorý umožňuje import balíkov Pythonu. Po spustení malvér nasadí predkompilované prostredie Bun a spustí škodlivý JavaScriptový súbor.

Spoliehaním sa na Bun môžu útočníci vykonávať zložité operácie JavaScriptu aj na systémoch bez nainštalovaného Node.js. Tento prístup pomáha obísť tradičné ovládacie prvky správy balíkov a znižuje viditeľnosť v protokoloch proxy.

Malvér je vybavený funkciami na scraping pamäte pre systémy Linux a obsahuje špecializované moduly na extrakciu pamäte pre macOS a Windows. Tieto komponenty umožňujú útočníkom obnoviť vysoko citlivé informácie vrátane šifrovaných údajov uložených v pamäti.

Prechytrenie bezpečnostných nástrojov s umelou inteligenciou

Jednou z najinovatívnejších funkcií kampane je jej schopnosť manipulovať s automatizovanými bezpečnostnými skenermi založenými na LLM. Útočníci umiestnia na začiatok škodlivých súborov starostlivo vytvorený blok textu, ktorý inštruuje systémy analýzy umelej inteligencie, aby ignorovali skrytý kód, klasifikovali balík ako dôveryhodný a generovali správy, ktoré ho vyhlasujú za bezpečný.

Výskumníci to opisujú ako zásadný koncepčný posun v kybernetických hrozbách. Namiesto zamerania sa iba na softvérové zraniteľnosti sa útočníci zameriavajú priamo na procesy uvažovania systémov umelej inteligencie. Bezpečnostné skenery, ktoré odosielajú surový kód a text do LLM bez prísnych mechanizmov separácie, môžu byť ovplyvnené tak, aby vytvárali falošne negatívne hodnotenia, čo umožňuje škodlivým balíkom vyhnúť sa detekcii.

Táto technika poukazuje na rastúce riziko, ktorému čelia organizácie, ktoré sa čoraz viac spoliehajú na bezpečnostné nástroje založené na umelej inteligencii. Keďže LLM zostávajú veľmi náchylné na manipuláciu v štýle sociálneho inžinierstva, očakáva sa, že útočníci sa budú naďalej zameriavať na bezpečnostných agentov riadených umelou inteligenciou aj na ľudských používateľov prostredníctvom čoraz sofistikovanejšieho klamania založeného na výzvach.

Infraštruktúra GitHubu sa zmenila na nenápadné veliteľské centrum

Architektúra velenia a riadenia Hades sa spolieha na tri samostatné komunikačné kanály hostované na verejnej infraštruktúre GitHub, čo umožňuje bezproblémové prepojenie škodlivej prevádzky s legitímnou aktivitou vývojárov.

Ukradnuté prihlasovacie údaje sú lokálne šifrované prostredníctvom viacstupňového procesu zahŕňajúceho serializáciu a kompresiu predtým, ako sú nahrané do verejných repozitárov GitHub kontrolovaných útočníkom. Tieto repozitáre sú bežne označené popisom: „Hades – koniec pre zatratených“.

Stratégia exfiltrácie malvéru odráža techniky, ktoré boli predtým spojené s Miasmou, vďaka čomu sa GitHub javí ako bežná destinácia, pričom sa škodlivá aktivita skrýva.

Zneužívanie dôvery na jej šírenie v rámci sietí

Charakteristickým znakom kampane je jej schopnosť šíriť sa v rôznych prostrediach zneužívaním technológií, ktoré sa zvyčajne používajú na zvýšenie bezpečnosti a integrity softvéru, vrátane:

  • Secure Shell (SSH) a Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Úrovne dodávateľského reťazca pre softvérové artefakty (SLSA)

Keď sa malvér spustí v rámci spúšťača GitHub Actions, vyhľadáva dostupné premenné OIDC, obchádza mechanizmy vynucovania podpisov v registri a generuje kryptograficky podpísané záznamy o pôvode SLSA pomocou Sigstore. Následne stiahne cieľové knižnice, vloží škodlivé užitočné zaťaženie a znova publikuje kompromitované verzie do indexu balíkov Python (PyPI) aj npm pomocou ukradnutých prihlasovacích údajov a sfalšovaných údajov o pôvode.

V dôsledku toho sa zdá, že škodlivé balíky pochádzajú z legitímnych organizačných prostredí a majú zdanlivo platné kryptografické overenie.

Tajná krádež, manipulácia s agentmi umelej inteligencie a deštruktívna perzistencia

Okrem otravy balíkov a krádeže poverení predstavuje Hades niekoľko ďalších funkcií navrhnutých tak, aby maximalizovali dlhodobý dopad:

  • Extrakcia tajných údajov priamo z pamäte bežca GitHub Actions bez zápisu údajov na disk alebo generovania podozrivej sieťovej prevádzky.
  • Zacielenie na konfiguračné súbory a sady pravidiel spojené so 14 rôznymi agentmi a platformami umelej inteligencie.
  • Nasadenie vlastných výziev a vykonávacích hookov, ktoré automaticky spúšťajú škodlivé príkazy Bun, keď asistenti umelej inteligencie interagujú s infikovanými pracovnými priestormi.
  • Zavedenie trvalého prístupu na kompromitovaných systémoch.
  • Nepretržité monitorovanie ukradnutých autentifikačných tokenov.
  • Automatická aktivácia deštruktívneho komponentu stierača, ak je odcudzený token odvolaný, čo má za následok vymazanie používateľských súborov.

Pohľad do budúcnosti kybernetických hrozieb

Kampaň Hades demonštruje, ako sa moderný malware vyvíja za hranice tradičných techník zneužívania. Kombináciou kompromitácie dodávateľského reťazca, skracovania pamäte, manipulácie s umelou inteligenciou, krádeže poverení, zneužívania kryptografickej dôvery, laterálneho pohybu a deštruktívnych schopností v rámci samorozširujúceho sa červa táto operácia ilustruje novú generáciu kybernetických hrozieb.

Asi najznepokojujúcejším vývojom je priame zacielenie na bezpečnostné systémy riadené umelou inteligenciou. Keďže organizácie čoraz viac integrujú nástroje založené na LLM do vývojových a bezpečnostných pracovných postupov, útočníci začínajú tieto systémy považovať za samostatné útočné plochy. Hádes slúži ako silná pripomienka, že budúcnosť kybernetickej bezpečnosti bude zahŕňať obranu nielen softvéru a infraštruktúry, ale aj rozhodovacích mechanizmov umelej inteligencie.

Trendy

Chyba overenia e-mailu – podvod s e-mailom

Phishing, Spam
Podvodný e-mail s názvom „Chyba overenia e-mailu“ je phishingová kampaň, ktorá sa maskuje ako automatické oznámenie od služby hostingu e-mailov. Podvodná správa tvrdí, že niekoľko prichádzajúcich e-mailov bolo zablokovaných z dôvodu problému s overením e-mailu a sú uložené v karanténe. Prezentáciou zdanlivo technického problému ovplyvňujúceho doručovanie e-mailov sa podvodníci snažia prinútiť...

Najviac videné

Načítava...