Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Hades Malware

Hades Malware

Nga MezoMalware, Krimbat
Përkthe në:

Kriminelët kibernetikë vazhdojnë të intensifikojnë sulmet kundër zinxhirëve të furnizimit me softuerë, me një operacion të ri të zbuluar të malware-it të njohur si Hades që po shfaqet si një nga kërcënimet më të sofistikuara të vërejtura deri më sot.

Studiuesit zbuluan Hades Campaign, një kompromis shumë të avancuar të zinxhirit të furnizimit që synon mjediset e zhvillimit të Python. Malware aktivizohet menjëherë kur importohet një paketë e kompromentuar, duke shfrytëzuar mjetet e njohura Bun për të ekzekutuar në heshtje ngarkesa shumëfazore. Këto ngarkesa janë të afta të vjedhin informacione të ndjeshme, të lëvizin anash nëpër sisteme, të shfrytëzojnë kornizat e besueshme të sigurisë dhe të manipulojnë mjetet e analizës së kodit të mundësuara nga inteligjenca artificiale përmes teknikave të injektimit të shpejtë kundërshtar.

Midis projekteve të prekura janë biblioteka C++ e përdorur gjerësisht, ensmallen, dhe disa paketa brenda ekosistemeve të biologjisë llogaritëse, bioinformatikës dhe analizës gjenotip-fenotip.

Pse Hadesi qëndron i veçantë

Karakteristika më alarmuese e fushatës është kombinimi i teknikave të shumëfishta të sulmit të avancuar brenda një krimbi që përhapet me shpejtësi. Studiuesit e sigurisë kanë hasur më parë malware të përqendruar në vjedhjen e kujtesës, sulme të dizajnuara për të mashtruar analizën e sigurisë së modelit të gjuhës së madhe (LLM) dhe malware shkatërrues të fshirësve. Megjithatë, integrimi i të tre aftësive në një kërcënim vetëpërhapës të zinxhirit të furnizimit përfaqëson një përshkallëzim të konsiderueshëm të sofistikimit.

Studiuesit ia atribuojnë fushatën asaj që duket të jetë evolucioni më i fundit i aktorit kërcënues Miasma. Operacionet e mëparshme të Miasma-s vendosën krimba vetë-replikues që kryenin mbledhjen e kredencialeve në shumë re, shkaktonin ekzekutimin e kodit dashakeq kur depot qaseshin përmes mjediseve të zhvillimit të integruar (IDE) ose agjentëve të IA-së, dhe skanonin memorien e procesit Linux për të dhëna të vlefshme.

Operacioni Hades ruan shumë nga këto karakteristika kryesore, duke përfshirë vjedhjen e kredencialeve, përhapjen në formë krimbi dhe nxjerrjen e të dhënave të bazuara në GitHub. Paketa të tjera të kompromentuara të identifikuara gjatë hetimit përfshijnë mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea dhe pyphetools.

Nga Importimi i Paketave te Kompromentimi i Plotë i Sistemit

Sulmi fillon me një skript të turbullt të ngulitur brenda skedarit init.py të një pakete, një komponent kritik që mundëson importimin e paketave Python. Pasi ekzekutohet, malware vendos një kohë ekzekutimi Bun të parakompiluar dhe nis një ngarkesë të dëmshme JavaScript.

Duke u mbështetur në Bun, sulmuesit mund të ekzekutojnë operacione komplekse JavaScript edhe në sisteme pa Node.js të instaluar. Kjo qasje ndihmon në anashkalimin e kontrolleve tradicionale të menaxhimit të paketave dhe zvogëlon dukshmërinë në regjistrat e proxy-t.

Malware është i pajisur me aftësi për mbledhjen e kujtesës për sistemet Linux dhe përfshin module të specializuara për nxjerrjen e kujtesës për macOS dhe Windows. Këta komponentë u lejojnë sulmuesve të rikuperojnë informacione shumë të ndjeshme, duke përfshirë të dhënat e enkriptuara që ndodhen në kujtesë.

Tejkalimi i mjeteve të sigurisë së inteligjencës artificiale

Një nga karakteristikat më inovative të fushatës është aftësia e saj për të manipuluar skanerët e sigurisë të bazuar në LLM. Sulmuesit vendosin një bllok teksti të hartuar me kujdes në fillim të skedarëve keqdashës që udhëzon sistemet e analizës së IA-së të injorojnë kodin e fshehur, ta klasifikojnë paketën si të besueshme dhe të gjenerojnë raporte që e deklarojnë atë të sigurt.

Studiuesit e përshkruajnë këtë si një ndryshim të madh konceptual në kërcënimet kibernetike. Në vend që të synojnë vetëm dobësitë e softuerit, sulmuesit synojnë drejtpërdrejt proceset e arsyetimit të sistemeve të inteligjencës artificiale. Skanerët e sigurisë që u dërgojnë kod dhe tekst të papërpunuar LLM-ve pa mekanizma të rreptë ndarjeje mund të ndikohen në prodhimin e vlerësimeve të rreme negative, duke lejuar që paketat keqdashëse t'i shmangen zbulimit.

Kjo teknikë nxjerr në pah një rrezik në rritje me të cilin përballen organizatat që varen gjithnjë e më shumë nga mjetet e sigurisë të mundësuara nga inteligjenca artificiale. Ndërsa LLM-të mbeten shumë të ndjeshme ndaj manipulimit në stilin e inxhinierisë sociale, sulmuesit pritet të vazhdojnë të synojnë si agjentët e sigurisë të drejtuar nga inteligjenca artificiale ashtu edhe përdoruesit njerëzorë përmes mashtrimit gjithnjë e më të sofistikuar të bazuar në shpejtësi.

Infrastruktura e GitHub u shndërrua në një qendër komande të fshehtë

Arkitektura e komandës dhe kontrollit Hades mbështetet në tre kanale të veçanta komunikimi të vendosura në infrastrukturën publike të GitHub, duke mundësuar që trafiku keqdashës të përzihet pa probleme me aktivitetin legjitim të zhvilluesve.

Kredencialet e vjedhura enkriptohen lokalisht përmes një procesi shumëfazor që përfshin serializimin dhe kompresimin përpara se të ngarkohen në depot publike të GitHub të kontrolluara nga sulmuesit. Këto depo zakonisht etiketohen me përshkrimin: 'Hadi — Fundi i të Mallkuarve'.

Strategjia e nxjerrjes së malware-it pasqyron teknikat e lidhura më parë me Miasma-n, duke e bërë GitHub-in të duket si një destinacion normal ndërsa fsheh aktivitetin keqdashës.

Shfrytëzimi i Besimit për t'u Përhapur në të Gjitha Rrjetet

Një tipar përcaktues i fushatës është aftësia e saj për t'u përhapur nëpër mjedise duke abuzuar me teknologjitë që përdoren zakonisht për të rritur sigurinë dhe integritetin e softuerit, duke përfshirë:

  • Secure Shell (SSH) dhe Secure Copy Protocol (SCP)
  • Lidhja OpenID (OIDC)
  • Nivelet e Zinxhirit të Furnizimit për Artifaktet e Softuerit (SLSA)

Kur ekzekutohet brenda një programi ekzekutues GitHub Actions, malware kërkon variabla OIDC të disponueshëm, anashkalon mekanizmat e zbatimit të nënshkrimit të regjistrit dhe gjeneron të dhëna të origjinës SLSA të nënshkruara kriptografikisht duke përdorur Sigstore. Pastaj shkarkon bibliotekat e synuara, injekton ngarkesa të dëmshme dhe ripublikon versione të kompromentuara si në Python Package Index (PyPI) ashtu edhe në npm duke përdorur kredenciale të vjedhura dhe të dhëna të falsifikuara të origjinës.

Si rezultat, paketat keqdashëse duket se burojnë nga mjedise legjitime të ndërtimit organizativ dhe posedojnë verifikim kriptografik në dukje të vlefshëm.

Vjedhje Sekrete, Manipulim nga Agjentët e IA-së dhe Këmbëngulje Shkatërruese

Përtej helmimit të pakove dhe vjedhjes së kredencialeve, Hades prezanton disa aftësi shtesë të dizajnuara për të maksimizuar ndikimin afatgjatë:

  • Nxjerrja e sekreteve direkt nga memoria e ekzekutuesit të GitHub Actions pa shkruar të dhëna në disk ose pa gjeneruar trafik të dyshimtë të rrjetit.
  • Synimi i skedarëve të konfigurimit dhe grupeve të rregullave të lidhura me 14 agjentë dhe platforma të ndryshme të IA-së.
  • Vendosja e kërkesave të personalizuara dhe grepave të ekzekutimit që lëshojnë automatikisht komanda dashakeqe Bun kur asistentët e IA-së bashkëveprojnë me hapësira pune të infektuara.
  • Vendosja e aksesit të vazhdueshëm në sistemet e kompromentuara.
  • Monitorim i vazhdueshëm i tokenëve të vjedhur të autentifikimit.
  • Aktivizimi automatik i një komponenti shkatërrues të fshirëses nëse një token i vjedhur revokohet, duke rezultuar në fshirjen e skedarëve të përdoruesit.

Një vështrim në të ardhmen e kërcënimeve kibernetike

Fushata Hades demonstron se si programet keqdashëse moderne po evoluojnë përtej teknikave tradicionale të shfrytëzimit. Duke kombinuar kompromentimin e zinxhirit të furnizimit, vjedhjen e kujtesës, manipulimin e inteligjencës artificiale, vjedhjen e kredencialeve, abuzimin kriptografik të besimit, lëvizjen anësore dhe aftësitë shkatërruese brenda një krimbi vetëpërhapës, operacioni ilustron një brez të ri kërcënimesh kibernetike.

Ndoshta zhvillimi më shqetësues është shënjestrimi i drejtpërdrejtë i sistemeve të sigurisë të drejtuara nga inteligjenca artificiale. Ndërsa organizatat integrojnë gjithnjë e më shumë mjete të mundësuara nga LLM në rrjedhat e punës së zhvillimit dhe sigurisë, sulmuesit po fillojnë t'i trajtojnë këto sisteme si sipërfaqe sulmi në vetvete. Hades shërben si një kujtesë e fuqishme se e ardhmja e sigurisë kibernetike do të përfshijë mbrojtjen jo vetëm të softuerit dhe infrastrukturës, por edhe të mekanizmave vendimmarrës të inteligjencës artificiale.

Postime të ngjashme

Në trend

Gabim gjatë Validimit të Email-it Mashtrim me Email

Fishing, Spam
Mashtrimi me email 'Gabim në Validimin e Email-it' është një fushatë phishing që maskohet si një njoftim automatik nga një shërbim hostimi email-esh. Mesazhi mashtrues pretendon se disa email-e hyrëse janë bllokuar për shkak të një problemi me validimin e email-it dhe po mbahen në karantinë. Duke paraqitur atë që duket të jetë një problem teknik që ndikon në dërgimin e email-eve, mashtruesit...

Më e shikuara

Po ngarkohet...