Hades Malware
กลุ่มอาชญากรไซเบอร์ยังคงเพิ่มความรุนแรงในการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ โดยปฏิบัติการมัลแวร์ที่เพิ่งค้นพบใหม่ชื่อ Hades ถือเป็นหนึ่งในภัยคุกคามที่ซับซ้อนที่สุดเท่าที่เคยพบมา
นักวิจัยค้นพบ Hades Campaign ซึ่งเป็นการโจมตีห่วงโซ่อุปทานขั้นสูงที่มุ่งเป้าไปที่สภาพแวดล้อมการพัฒนา Python มัลแวร์จะทำงานทันทีเมื่อมีการนำเข้าแพ็กเกจที่ถูกบุกรุก โดยใช้ชุดเครื่องมือ Bun ที่ได้รับความนิยมในการเรียกใช้เพย์โหลดหลายขั้นตอนอย่างเงียบๆ เพย์โหลดเหล่านี้สามารถขโมยข้อมูลที่ละเอียดอ่อน เคลื่อนย้ายข้ามระบบ ใช้ประโยชน์จากเฟรมเวิร์กความปลอดภัยที่เชื่อถือได้ และจัดการเครื่องมือวิเคราะห์โค้ดที่ขับเคลื่อนด้วย AI ผ่านเทคนิคการแทรกข้อความแจ้งเตือนที่เป็นอันตราย
โครงการที่ได้รับผลกระทบ ได้แก่ ไลบรารี C++ ที่ใช้กันอย่างแพร่หลายอย่าง ensmallen และแพ็กเกจหลายรายการในระบบนิเวศของชีววิทยาเชิงคำนวณ ชีวสารสนเทศ และการวิเคราะห์จีโนไทป์-ฟีโนไทป์
สารบัญ
เหตุใดเฮดีสจึงโดดเด่น
ลักษณะที่น่าตกใจที่สุดของแคมเปญนี้คือการผสมผสานเทคนิคการโจมตีขั้นสูงหลายอย่างเข้าไว้ในเวิร์มที่แพร่กระจายอย่างรวดเร็ว นักวิจัยด้านความปลอดภัยเคยพบมัลแวร์ที่มุ่งเน้นการดึงข้อมูลจากหน่วยความจำ การโจมตีที่ออกแบบมาเพื่อหลอกการวิเคราะห์ความปลอดภัยของแบบจำลองภาษาขนาดใหญ่ (LLM) และมัลแวร์ทำลายล้างมาก่อนแล้ว อย่างไรก็ตาม การผสานรวมความสามารถทั้งสามอย่างเข้าไว้ในภัยคุกคามแบบห่วงโซ่อุปทานที่แพร่กระจายเองได้นั้น แสดงให้เห็นถึงการยกระดับความซับซ้อนอย่างมีนัยสำคัญ
นักวิจัยระบุว่าแคมเปญดังกล่าวเป็นผลมาจากการพัฒนาล่าสุดของกลุ่มผู้คุกคาม Miasma ก่อนหน้านี้ Miasma ใช้เวิร์มที่สามารถแพร่กระจายตัวเองได้ ซึ่งทำการเก็บรวบรวมข้อมูลประจำตัวจากหลายคลาวด์ เรียกใช้โค้ดที่เป็นอันตรายเมื่อมีการเข้าถึงแหล่งเก็บข้อมูลผ่านสภาพแวดล้อมการพัฒนาแบบบูรณาการ (IDE) หรือเอเจนต์ AI และสแกนหน่วยความจำของกระบวนการ Linux เพื่อหาข้อมูลที่มีค่า
ปฏิบัติการ Hades ยังคงรักษาคุณลักษณะหลักหลายประการเหล่านี้ไว้ รวมถึงการขโมยข้อมูลประจำตัว การแพร่กระจายแบบเวิร์ม และการขโมยข้อมูลผ่าน GitHub นอกจากนี้ ยังพบแพ็กเกจที่ถูกบุกรุกเพิ่มเติมในระหว่างการตรวจสอบ ได้แก่ mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea และ pyphetools
ตั้งแต่การนำเข้าแพ็กเกจไปจนถึงการเจาะระบบอย่างสมบูรณ์
การโจมตีเริ่มต้นด้วยสคริปต์ที่เข้ารหัสซ่อนอยู่ภายในไฟล์ init.py ของแพ็กเกจ ซึ่งเป็นส่วนประกอบสำคัญที่ช่วยให้สามารถนำเข้าแพ็กเกจ Python ได้ เมื่อสคริปต์นี้ทำงาน มัลแวร์จะติดตั้งรันไทม์ Bun ที่คอมไพล์ไว้ล่วงหน้าและเรียกใช้โค้ด JavaScript ที่เป็นอันตราย
ด้วยการใช้ Bun ผู้โจมตีสามารถดำเนินการคำสั่ง JavaScript ที่ซับซ้อนได้แม้ในระบบที่ไม่ได้ติดตั้ง Node.js วิธีการนี้ช่วยหลีกเลี่ยงการควบคุมการจัดการแพ็กเกจแบบดั้งเดิมและลดความชัดเจนในบันทึกพร็อกซี
มัลแวร์นี้มีฟังก์ชันการดึงข้อมูลจากหน่วยความจำสำหรับระบบ Linux และมีโมดูลการดึงข้อมูลจากหน่วยความจำเฉพาะสำหรับ macOS และ Windows ส่วนประกอบเหล่านี้ช่วยให้ผู้โจมตีสามารถกู้คืนข้อมูลที่มีความละเอียดอ่อนสูง รวมถึงข้อมูลที่เข้ารหัสซึ่งอยู่ในหน่วยความจำได้
การเอาชนะเครื่องมือรักษาความปลอดภัย AI
หนึ่งในคุณสมบัติที่ล้ำสมัยที่สุดของแคมเปญนี้คือความสามารถในการควบคุมเครื่องสแกนความปลอดภัยอัตโนมัติที่ใช้ LLM ผู้โจมตีจะวางบล็อกข้อความที่สร้างขึ้นอย่างพิถีพิถันไว้ที่จุดเริ่มต้นของไฟล์ที่เป็นอันตราย ซึ่งจะสั่งให้ระบบวิเคราะห์ AI เพิกเฉยต่อโค้ดที่ซ่อนอยู่ จัดประเภทแพ็กเกจนั้นว่าน่าเชื่อถือ และสร้างรายงานว่าไฟล์นั้นปลอดภัย
นักวิจัยอธิบายว่านี่เป็นการเปลี่ยนแปลงเชิงแนวคิดครั้งสำคัญในภัยคุกคามทางไซเบอร์ แทนที่จะมุ่งเป้าไปที่ช่องโหว่ของซอฟต์แวร์เพียงอย่างเดียว ผู้โจมตีจะมุ่งเป้าไปที่กระบวนการคิดของระบบ AI โดยตรง เครื่องมือสแกนความปลอดภัยที่ส่งโค้ดและข้อความดิบไปยัง LLM โดยไม่มีกลไกการแยกที่เข้มงวด อาจได้รับอิทธิพลให้ประเมินผลผิดพลาดเป็นลบ ทำให้แพ็กเกจที่เป็นอันตรายสามารถหลบเลี่ยงการตรวจจับได้
เทคนิคนี้เน้นให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นซึ่งองค์กรต่างๆ ต้องเผชิญเมื่อพึ่งพาเครื่องมือรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI มากขึ้นเรื่อยๆ เนื่องจาก LLM ยังคงมีความอ่อนไหวต่อการถูกหลอกลวงในรูปแบบวิศวกรรมสังคมอย่างมาก ผู้โจมตีจึงคาดว่าจะยังคงมุ่งเป้าไปที่ทั้งตัวแทนรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI และผู้ใช้ที่เป็นมนุษย์ผ่านการหลอกลวงที่ซับซ้อนมากขึ้นเรื่อยๆ โดยใช้คำถามนำ
โครงสร้างพื้นฐานของ GitHub ถูกเปลี่ยนให้กลายเป็นศูนย์บัญชาการลับ
สถาปัตยกรรมควบคุมและสั่งการของ Hades อาศัยช่องทางการสื่อสารสามช่องทางที่แยกจากกัน ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานสาธารณะของ GitHub ทำให้การรับส่งข้อมูลที่เป็นอันตรายสามารถผสมผสานเข้ากับกิจกรรมของนักพัฒนาที่ถูกต้องตามกฎหมายได้อย่างราบรื่น
ข้อมูลประจำตัวที่ถูกขโมยจะถูกเข้ารหัสในเครื่องโดยกระบวนการหลายขั้นตอน ซึ่งรวมถึงการแปลงเป็นรูปแบบอนุกรมและการบีบอัด ก่อนที่จะถูกอัปโหลดไปยังที่เก็บข้อมูล GitHub สาธารณะที่ผู้โจมตีควบคุมอยู่ ที่เก็บข้อมูลเหล่านี้มักจะมีป้ายกำกับคำอธิบายว่า: 'Hades — The End for the Damned'
กลยุทธ์การขโมยข้อมูลของมัลแวร์นี้คล้ายคลึงกับเทคนิคที่เคยพบในมัลแวร์ Miasma โดยทำให้ GitHub ดูเหมือนเป็นปลายทางปกติในขณะที่ซ่อนกิจกรรมที่เป็นอันตรายไว้ภายใน
การใช้ประโยชน์จากความไว้วางใจเพื่อแพร่กระจายไปทั่วเครือข่าย
ลักษณะเด่นของแคมเปญนี้คือความสามารถในการแพร่กระจายไปทั่วสภาพแวดล้อมโดยการใช้เทคโนโลยีที่ปกติใช้เพื่อเพิ่มความปลอดภัยและความสมบูรณ์ของซอฟต์แวร์ในทางที่ผิด ซึ่งรวมถึง:
- โปรโตคอล Secure Shell (SSH) และ Secure Copy Protocol (SCP)
- OpenID Connect (OIDC)
- ระดับห่วงโซ่อุปทานสำหรับส่วนประกอบซอฟต์แวร์ (SLSA)
เมื่อถูกเรียกใช้งานภายใน GitHub Actions runner มัลแวร์จะค้นหาตัวแปร OIDC ที่ใช้งานได้ ข้ามกลไกการบังคับใช้ลายเซ็นรีจิสทรี และสร้างระเบียนแหล่งที่มา SLSA ที่ลงนามด้วยการเข้ารหัสโดยใช้ Sigstore จากนั้นจะดาวน์โหลดไลบรารีเป้าหมาย แทรกเพย์โหลดที่เป็นอันตราย และเผยแพร่เวอร์ชันที่ถูกบุกรุกไปยังทั้ง Python Package Index (PyPI) และ npm โดยใช้ข้อมูลประจำตัวที่ถูกขโมยและข้อมูลแหล่งที่มาที่ปลอมแปลง
ด้วยเหตุนี้ แพ็กเกจที่เป็นอันตรายจึงดูเหมือนมาจากสภาพแวดล้อมการสร้างขององค์กรที่ถูกต้องตามกฎหมาย และมีการตรวจสอบการเข้ารหัสที่ดูเหมือนถูกต้อง
การขโมยความลับ การควบคุมตัวแทน AI และการคงอยู่ทำลายล้าง
นอกเหนือจากการโจมตีด้วยการวางยาพิษในแพ็กเกจและการขโมยข้อมูลประจำตัวแล้ว Hades ยังมีคุณสมบัติเพิ่มเติมอีกหลายประการที่ออกแบบมาเพื่อเพิ่มผลกระทบในระยะยาวให้สูงสุด:
- การดึงข้อมูลลับโดยตรงจากหน่วยความจำของ GitHub Actions runner โดยไม่ต้องเขียนข้อมูลลงดิสก์หรือสร้างปริมาณการรับส่งข้อมูลเครือข่ายที่น่าสงสัย
- การกำหนดเป้าหมายไฟล์การกำหนดค่าและชุดกฎที่เกี่ยวข้องกับเอเจนต์และแพลตฟอร์ม AI ที่แตกต่างกัน 14 รายการ
- การติดตั้งข้อความแจ้งเตือนแบบกำหนดเองและตัวกระตุ้นการทำงานที่จะเรียกใช้คำสั่ง Bun ที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ช่วย AI โต้ตอบกับพื้นที่ทำงานที่ติดไวรัส
- การสร้างการเข้าถึงอย่างถาวรบนระบบที่ถูกบุกรุก
- การตรวจสอบอย่างต่อเนื่องเพื่อตรวจจับโทเค็นยืนยันตัวตนที่ถูกขโมย
- ระบบจะเปิดใช้งานส่วนประกอบลบข้อมูลอัตโนมัติหากโทเค็นที่ถูกขโมยถูกเพิกถอน ส่งผลให้ไฟล์ของผู้ใช้ถูกลบ
ภาพรวมอนาคตของภัยคุกคามทางไซเบอร์
แคมเปญ Hades แสดงให้เห็นว่ามัลแวร์สมัยใหม่กำลังพัฒนาไปไกลกว่าเทคนิคการโจมตีแบบดั้งเดิม ด้วยการผสมผสานการโจมตีตั้งแต่ต้นทางจนถึงปลายทาง การขโมยข้อมูลจากหน่วยความจำ การดัดแปลง AI การขโมยข้อมูลประจำตัว การใช้ช่องโหว่ด้านความน่าเชื่อถือของการเข้ารหัส การเคลื่อนย้ายข้ามเครือข่าย และความสามารถในการทำลายล้างภายในเวิร์มที่แพร่กระจายตัวเองได้ การปฏิบัติการนี้แสดงให้เห็นถึงภัยคุกคามทางไซเบอร์ยุคใหม่
สิ่งที่น่ากังวลที่สุดอาจเป็นการโจมตีระบบรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI โดยตรง เนื่องจากองค์กรต่างๆ ผสานรวมเครื่องมือที่ใช้ LLM เข้ากับกระบวนการพัฒนาและรักษาความปลอดภัยมากขึ้นเรื่อยๆ ผู้โจมตีจึงเริ่มมองระบบเหล่านั้นเป็นช่องทางโจมตีโดยตรง Hades เป็นเครื่องเตือนใจที่ทรงพลังว่าอนาคตของความปลอดภัยทางไซเบอร์จะเกี่ยวข้องกับการปกป้องไม่เพียงแต่ซอฟต์แวร์และโครงสร้างพื้นฐานเท่านั้น แต่ยังรวมถึงกลไกการตัดสินใจของปัญญาประดิษฐ์ด้วย
