Hades మాల్వేర్

సైబర్ నేరగాళ్లు సాఫ్ట్‌వేర్ సరఫరా గొలుసులపై దాడులను తీవ్రతరం చేస్తూనే ఉన్నారు, ఈ క్రమంలో హేడీస్ అని పిలువబడే కొత్తగా కనుగొనబడిన మాల్వేర్ ఆపరేషన్, ఇప్పటివరకు గమనించిన అత్యంత అధునాతన ముప్పులలో ఒకటిగా ఆవిర్భవించింది.

పరిశోధకులు పైథాన్ డెవలప్‌మెంట్ ఎన్విరాన్‌మెంట్‌లను లక్ష్యంగా చేసుకున్న అత్యంత అధునాతన సప్లై-చైన్ కాంప్రమైజ్ అయిన హేడిస్ క్యాంపెయిన్‌ను వెలికితీశారు. కాంప్రమైజ్ చేయబడిన ప్యాకేజీని ఇంపోర్ట్ చేసిన వెంటనే ఈ మాల్వేర్ యాక్టివేట్ అవుతుంది, ఇది బహుళ-దశల పేలోడ్‌లను నిశ్శబ్దంగా అమలు చేయడానికి ప్రసిద్ధ బన్ టూల్‌కిట్‌ను ఉపయోగించుకుంటుంది. ఈ పేలోడ్‌లు సున్నితమైన సమాచారాన్ని దొంగిలించడం, సిస్టమ్‌ల అంతటా అడ్డంగా కదలడం, విశ్వసనీయ భద్రతా ఫ్రేమ్‌వర్క్‌లను దుర్వినియోగం చేయడం మరియు ప్రతికూల ప్రాంప్ట్ ఇంజెక్షన్ పద్ధతుల ద్వారా AI-ఆధారిత కోడ్ విశ్లేషణ సాధనాలను తారుమారు చేయడం వంటివి చేయగలవు.

ప్రభావితమైన ప్రాజెక్టులలో విస్తృతంగా ఉపయోగించే C++ లైబ్రరీ ఎన్‌స్మాలెన్‌తో పాటు, కంప్యూటేషనల్ బయాలజీ, బయోఇన్ఫర్మాటిక్స్ మరియు జీనోటైప్-ఫినోటైప్ విశ్లేషణ రంగాలలోని అనేక ప్యాకేజీలు ఉన్నాయి.

హేడిస్ ఎందుకు ప్రత్యేకంగా నిలుస్తుంది

వేగంగా వ్యాప్తి చెందుతున్న వార్మ్‌లో అనేక అధునాతన దాడి పద్ధతులు కలగలిసి ఉండటమే ఈ క్యాంపెయిన్ యొక్క అత్యంత ఆందోళనకరమైన లక్షణం. భద్రతా పరిశోధకులు గతంలో మెమరీ స్క్రాపింగ్‌పై దృష్టి సారించిన మాల్వేర్, లార్జ్ లాంగ్వేజ్ మోడల్ (LLM) భద్రతా విశ్లేషణను తప్పుదారి పట్టించడానికి రూపొందించిన దాడులు, మరియు విధ్వంసకర వైపర్ మాల్వేర్‌లను ఎదుర్కొన్నారు. అయితే, ఈ మూడు సామర్థ్యాలను స్వయంగా వ్యాపించే సప్లై-చైన్ ముప్పుగా ఏకీకృతం చేయడం అనేది అధునాతనతలో ఒక ముఖ్యమైన పెరుగుదలను సూచిస్తుంది.

పరిశోధకులు ఈ దాడిని మియాస్మా ముప్పు కారకం యొక్క తాజా పరిణామంగా భావిస్తున్నారు. గతంలో మియాస్మా కార్యకలాపాలు స్వీయ-ప్రతిరూప వార్మ్‌లను మోహరించాయి. ఇవి మల్టీ-క్లౌడ్ క్రెడెన్షియల్ హార్వెస్టింగ్ నిర్వహించడం, ఇంటిగ్రేటెడ్ డెవలప్‌మెంట్ ఎన్విరాన్‌మెంట్‌లు (IDEలు) లేదా AI ఏజెంట్ల ద్వారా రిపోజిటరీలను యాక్సెస్ చేసినప్పుడు హానికరమైన కోడ్ ఎగ్జిక్యూషన్‌ను ప్రేరేపించడం, మరియు విలువైన డేటా కోసం లైనక్స్ ప్రాసెస్ మెమరీని స్కాన్ చేయడం వంటివి చేశాయి.

హేడెస్ ఆపరేషన్, క్రెడెన్షియల్ దొంగతనం, వార్మ్ లాంటి వ్యాప్తి, మరియు గిట్‌హబ్ ఆధారిత డేటా బహిష్కరణ వంటి అనేక ప్రధాన లక్షణాలను కలిగి ఉంది. దర్యాప్తు సమయంలో గుర్తించిన అదనపు రాజీపడిన ప్యాకేజీలలో mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea, మరియు pyphetools ఉన్నాయి.

ప్యాకేజీ దిగుమతి నుండి పూర్తి సిస్టమ్ రాజీ వరకు

పైథాన్ ప్యాకేజీ ఇంపోర్ట్‌లను ఎనేబుల్ చేసే ఒక కీలకమైన భాగమైన, ప్యాకేజీ యొక్క init.py ఫైల్‌లో పొందుపరిచిన ఒక అస్పష్టమైన స్క్రిప్ట్‌తో ఈ దాడి మొదలవుతుంది. అది ఎగ్జిక్యూట్ అయిన తర్వాత, ఈ మాల్వేర్ ముందుగా కంపైల్ చేయబడిన బన్ రన్‌టైమ్‌ను డిప్లాయ్ చేసి, ఒక హానికరమైన జావాస్క్రిప్ట్ పేలోడ్‌ను లాంచ్ చేస్తుంది.

Bun పై ఆధారపడటం ద్వారా, Node.js ఇన్‌స్టాల్ చేయని సిస్టమ్‌లలో కూడా దాడి చేసేవారు సంక్లిష్టమైన జావాస్క్రిప్ట్ ఆపరేషన్‌లను అమలు చేయగలరు. ఈ విధానం సాంప్రదాయ ప్యాకేజీ నిర్వహణ నియంత్రణలను దాటవేయడానికి మరియు ప్రాక్సీ లాగ్‌లలో కనిపించే విషయాన్ని తగ్గించడానికి సహాయపడుతుంది.

ఈ మాల్వేర్ లైనక్స్ సిస్టమ్‌ల కోసం మెమరీ-స్క్రాపింగ్ సామర్థ్యాలను కలిగి ఉంది మరియు macOS, విండోస్ కోసం ప్రత్యేకమైన మెమరీ ఎక్స్‌ట్రాక్షన్ మాడ్యూళ్లను కూడా కలిగి ఉంటుంది. ఈ కాంపోనెంట్లు, మెమరీలో నిక్షిప్తమై ఉన్న ఎన్‌క్రిప్టెడ్ డేటాతో సహా అత్యంత సున్నితమైన సమాచారాన్ని తిరిగి పొందడానికి దాడి చేసేవారికి వీలు కల్పిస్తాయి.

AI భద్రతా సాధనాలను అధిగమించడం

ఈ క్యాంపెయిన్ యొక్క అత్యంత వినూత్నమైన ఫీచర్లలో ఒకటి, ఆటోమేటెడ్ LLM-ఆధారిత సెక్యూరిటీ స్కానర్‌లను తారుమారు చేయగల దాని సామర్థ్యం. దాడి చేసేవారు హానికరమైన ఫైళ్ల ప్రారంభంలో జాగ్రత్తగా రూపొందించిన ఒక టెక్స్ట్ బ్లాక్‌ను ఉంచుతారు. ఇది AI విశ్లేషణ వ్యవస్థలకు దాగి ఉన్న కోడ్‌ను విస్మరించమని, ప్యాకేజీని నమ్మదగినదిగా వర్గీకరించమని, మరియు అది సురక్షితమని ప్రకటించే నివేదికలను రూపొందించమని సూచిస్తుంది.

పరిశోధకులు దీనిని సైబర్ ముప్పులలో ఒక ప్రధానమైన భావనాత్మక మార్పుగా అభివర్ణిస్తున్నారు. దాడి చేసేవారు కేవలం సాఫ్ట్‌వేర్ బలహీనతలను మాత్రమే లక్ష్యంగా చేసుకోకుండా, నేరుగా AI వ్యవస్థల తార్కిక ప్రక్రియలను లక్ష్యంగా చేసుకుంటున్నారు. కఠినమైన విభజన యంత్రాంగాలు లేకుండా ముడి కోడ్ మరియు టెక్స్ట్‌ను LLMలకు సమర్పించే సెక్యూరిటీ స్కానర్‌లు, తప్పుడు-ప్రతికూల అంచనాలను ఇచ్చేలా ప్రభావితం కావచ్చు, దీనివల్ల హానికరమైన ప్యాకేజీలు పట్టుబడకుండా తప్పించుకోగలుగుతాయి.

AI- ఆధారిత భద్రతా సాధనాలపై ఎక్కువగా ఆధారపడే సంస్థలు ఎదుర్కొంటున్న పెరుగుతున్న ప్రమాదాన్ని ఈ పద్ధతి ఎత్తి చూపుతుంది. LLMలు సోషల్-ఇంజనీరింగ్ తరహా తారుమారుకు అత్యంత సులభంగా లోనవుతున్నందున, దాడి చేసేవారు మరింత అధునాతనమైన ప్రాంప్ట్-ఆధారిత మోసం ద్వారా AI-ఆధారిత భద్రతా ఏజెంట్లను మరియు మానవ వినియోగదారులను లక్ష్యంగా చేసుకోవడం కొనసాగిస్తారని అంచనా వేయబడింది.

గిట్‌హబ్ ఇన్‌ఫ్రాస్ట్రక్చర్ ఒక రహస్య కమాండ్ సెంటర్‌గా మారింది

హేడీస్ కమాండ్-అండ్-కంట్రోల్ ఆర్కిటెక్చర్, పబ్లిక్ గిట్‌హబ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై హోస్ట్ చేయబడిన మూడు వేర్వేరు కమ్యూనికేషన్ ఛానెల్‌లపై ఆధారపడి ఉంటుంది, ఇది హానికరమైన ట్రాఫిక్ చట్టబద్ధమైన డెవలపర్ కార్యకలాపాలతో సజావుగా కలిసిపోవడానికి వీలు కల్పిస్తుంది.

దొంగిలించబడిన ఆధారాలు, దాడి చేసేవారి నియంత్రణలో ఉన్న పబ్లిక్ గిట్‌హబ్ రిపోజిటరీలకు అప్‌లోడ్ చేయడానికి ముందు, సీరియలైజేషన్ మరియు కంప్రెషన్ వంటి బహుళ-దశల ప్రక్రియ ద్వారా స్థానికంగా ఎన్‌క్రిప్ట్ చేయబడతాయి. ఈ రిపోజిటరీలకు సాధారణంగా 'Hades — The End for the Damned' అనే లేబుల్ ఉంటుంది.

ఈ మాల్వేర్ యొక్క సమాచార సేకరణ వ్యూహం, గతంలో మియాస్మాతో ముడిపడి ఉన్న పద్ధతులను పోలి ఉంటుంది. ఇది హానికరమైన కార్యకలాపాలను దాచిపెడుతూనే, గిట్‌హబ్‌ను ఒక సాధారణ గమ్యస్థానంగా కనిపించేలా చేస్తుంది.

నెట్‌వర్క్‌లలో వ్యాప్తి చెందడానికి నమ్మకాన్ని ఉపయోగించుకోవడం

భద్రత మరియు సాఫ్ట్‌వేర్ సమగ్రతను మెరుగుపరచడానికి సాధారణంగా ఉపయోగించే సాంకేతికతలను దుర్వినియోగం చేయడం ద్వారా వివిధ పరిసరాలలో వ్యాపించగల సామర్థ్యం ఈ ప్రచారం యొక్క ఒక ముఖ్య లక్షణం, వాటిలో ఇవి ఉన్నాయి:

• సెక్యూర్ షెల్ (SSH) మరియు సెక్యూర్ కాపీ ప్రోటోకాల్ (SCP)
• ఓపెన్‌ఐడి కనెక్ట్ (OIDC)
• సాఫ్ట్‌వేర్ ఆర్టిఫ్యాక్ట్‌ల కోసం సరఫరా-గొలుసు స్థాయిలు (SLSA)

గిట్‌హబ్ యాక్షన్స్ రన్నర్‌లో అమలు చేసినప్పుడు, ఈ మాల్వేర్ అందుబాటులో ఉన్న OIDC వేరియబుల్స్ కోసం వెతుకుతుంది, రిజిస్ట్రీ-సిగ్నేచర్ అమలు యంత్రాంగాలను దాటవేస్తుంది, మరియు సిగ్‌స్టోర్‌ను ఉపయోగించి క్రిప్టోగ్రాఫికల్‌గా సంతకం చేయబడిన SLSA ప్రొవెనెన్స్ రికార్డులను సృష్టిస్తుంది. ఆ తర్వాత అది టార్గెట్ లైబ్రరీలను డౌన్‌లోడ్ చేసి, హానికరమైన పేలోడ్‌లను చొప్పించి, దొంగిలించబడిన ఆధారాలు మరియు నకిలీ ప్రొవెనెన్స్ డేటాను ఉపయోగించి, రాజీపడిన వెర్షన్‌లను పైథాన్ ప్యాకేజ్ ఇండెక్స్ (PyPI) మరియు npm రెండింటిలోనూ తిరిగి ప్రచురిస్తుంది.

ఫలితంగా, హానికరమైన ప్యాకేజీలు చట్టబద్ధమైన సంస్థాగత నిర్మాణ వాతావరణాల నుండి వచ్చినట్లుగా కనిపిస్తాయి మరియు చెల్లుబాటు అయ్యే క్రిప్టోగ్రాఫిక్ ధృవీకరణను కలిగి ఉంటాయి.

రహస్య దొంగతనం, AI ఏజెంట్ మానిప్యులేషన్ మరియు విధ్వంసక పట్టుదల

ప్యాకేజీ పాయిజనింగ్ మరియు క్రెడెన్షియల్ దొంగతనం కాకుండా, దీర్ఘకాలిక ప్రభావాన్ని గరిష్ఠంగా పెంచడానికి రూపొందించిన అనేక అదనపు సామర్థ్యాలను హేడిస్ పరిచయం చేస్తుంది:

• డిస్క్‌కు డేటాను వ్రాయకుండా లేదా అనుమానాస్పద నెట్‌వర్క్ ట్రాఫిక్‌ను సృష్టించకుండా GitHub Actions రన్నర్ మెమరీ నుండి నేరుగా రహస్యాలను సంగ్రహించడం.
• 14 విభిన్న AI ఏజెంట్లు మరియు ప్లాట్‌ఫారమ్‌లకు సంబంధించిన కాన్ఫిగరేషన్ ఫైల్‌లు మరియు రూల్ సెట్‌లను లక్ష్యంగా చేసుకోవడం.
• AI అసిస్టెంట్లు ఇన్ఫెక్టెడ్ వర్క్‌స్పేస్‌లతో ఇంటరాక్ట్ అయినప్పుడు, హానికరమైన బన్ కమాండ్‌లను ఆటోమేటిక్‌గా ప్రారంభించే కస్టమ్ ప్రాంప్ట్‌లు మరియు ఎగ్జిక్యూషన్ హుక్‌లను అమలు చేయడం.
• హ్యాక్ చేయబడిన సిస్టమ్‌లలో నిరంతర యాక్సెస్‌ను ఏర్పాటు చేయడం.
• దొంగిలించబడిన ప్రమాణీకరణ టోకెన్ల నిరంతర పర్యవేక్షణ.
• దొంగిలించబడిన టోకెన్ రద్దు చేయబడితే, విధ్వంసకర వైపర్ భాగం స్వయంచాలకంగా సక్రియం చేయబడి, వినియోగదారు ఫైల్‌లు తొలగించబడతాయి.

సైబర్ ముప్పుల భవిష్యత్తుపై ఒక సంగ్రహావలోకనం

ఆధునిక మాల్వేర్ సాంప్రదాయ దోపిడీ పద్ధతులను అధిగమించి ఎలా అభివృద్ధి చెందుతోందో హేడెస్ క్యాంపెయిన్ ప్రదర్శిస్తుంది. సప్లై-చైన్ రాజీ, మెమరీ స్క్రాపింగ్, AI మానిప్యులేషన్, క్రెడెన్షియల్ దొంగతనం, క్రిప్టోగ్రాఫిక్ ట్రస్ట్ దుర్వినియోగం, లాటరల్ మూవ్‌మెంట్ మరియు స్వీయ-వ్యాప్తి చెందే వార్మ్‌లోని విధ్వంసక సామర్థ్యాలను కలపడం ద్వారా, ఈ ఆపరేషన్ కొత్త తరం సైబర్ ముప్పులను వివరిస్తుంది.

బహుశా అత్యంత ఆందోళనకరమైన పరిణామం ఏమిటంటే, ఏఐ-ఆధారిత భద్రతా వ్యవస్థలను నేరుగా లక్ష్యంగా చేసుకోవడం. సంస్థలు తమ అభివృద్ధి మరియు భద్రతా కార్యప్రవాహాలలో ఎల్ఎల్ఎమ్-ఆధారిత సాధనాలను ఎక్కువగా అనుసంధానిస్తున్నందున, దాడి చేసేవారు ఆ వ్యవస్థలను తమంతట తామే ఒక దాడి వేదికగా పరిగణించడం ప్రారంభిస్తున్నారు. సైబర్‌సెక్యూరిటీ భవిష్యత్తులో కేవలం సాఫ్ట్‌వేర్ మరియు మౌలిక సదుపాయాలను మాత్రమే కాకుండా, కృత్రిమ మేధస్సు యొక్క నిర్ణయాధికార యంత్రాంగాలను కూడా రక్షించడం అవసరమనే విషయాన్ని హేడిస్ ఒక శక్తివంతమైన హెచ్చరికగా నిలుస్తుంది.