Hades Malware

Sa pamamagitan ng Mezo sa Malware, Mga uod

Isalin To:

Patuloy na pinatitindi ng mga cybercriminal ang mga pag-atake laban sa mga supply chain ng software, kung saan ang bagong natuklasang operasyon ng malware na kilala bilang Hades ay lumilitaw bilang isa sa mga pinakasopistikadong banta na naobserbahan sa kasalukuyan.

Natuklasan ng mga mananaliksik ang Hades Campaign, isang lubos na advanced na supply-chain compromise na tumatarget sa mga Python development environment. Agad na nag-a-activate ang malware kapag na-import ang isang nakompromisong package, gamit ang sikat na Bun toolkit upang tahimik na isagawa ang mga multi-stage payload. Ang mga payload na ito ay may kakayahang magnakaw ng sensitibong impormasyon, gumalaw nang pahilig sa mga system, sinasamantala ang mga pinagkakatiwalaang security framework, at manipulahin ang mga AI-powered code analysis tool sa pamamagitan ng mga adversarial prompt injection techniques.

Kabilang sa mga apektadong proyekto ang malawakang ginagamit na C++ library na enmallen at ilang mga pakete sa loob ng computational biology, bioinformatics, at genotype-phenotype analysis ecosystems.

Talaan ng mga Nilalaman

Bakit Nakahiwalay ang Hades

Ang pinakanakakabahala na katangian ng kampanya ay ang kombinasyon ng maraming advanced na pamamaraan ng pag-atake sa loob ng isang mabilis na kumakalat na worm. Nauna nang natuklasan ng mga mananaliksik ng seguridad ang malware na nakatuon sa memory scraping, mga pag-atake na idinisenyo upang linlangin ang pagsusuri ng seguridad ng large language model (LLM), at mapanirang wiper malware. Gayunpaman, ang pagsasama ng lahat ng tatlong kakayahan sa isang banta sa supply-chain na kusang kumakalat ay kumakatawan sa isang makabuluhang pagtaas ng sopistikasyon.

Iniuugnay ng mga mananaliksik ang kampanya sa tila pinakabagong ebolusyon ng aktor ng banta ng Miasma. Ang mga naunang operasyon ng Miasma ay naglagay ng mga self-replicating worm na nagsagawa ng multi-cloud credential harvesting, nag-trigger ng malisyosong pagpapatupad ng code kapag ang mga repository ay na-access sa pamamagitan ng integrated development environments (IDEs) o AI agent, at nag-scan ng Linux process memory para sa mahalagang data.

Pinapanatili ng operasyon ng Hades ang marami sa mga pangunahing katangiang ito, kabilang ang pagnanakaw ng kredensyal, pagpapalaganap na parang bulate, at pag-exfilt ng datos batay sa GitHub. Kabilang sa mga karagdagang nakompromisong pakete na natukoy sa panahon ng imbestigasyon ang mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea, at pyphetools.

Mula sa Pag-import ng Pakete hanggang sa Ganap na Kompromiso sa Sistema

Ang pag-atake ay nagsisimula sa isang obfuscated script na naka-embed sa loob ng init.py file ng isang package, isang kritikal na component na nagbibigay-daan sa pag-import ng Python package. Kapag naisagawa na, ang malware ay magde-deploy ng isang precompiled na Bun runtime at maglulunsad ng isang malisyosong JavaScript payload.

Sa pamamagitan ng pag-asa sa Bun, maaaring magsagawa ang mga attacker ng mga kumplikadong operasyon ng JavaScript kahit sa mga system na walang naka-install na Node.js. Nakakatulong ang pamamaraang ito na malampasan ang mga tradisyonal na kontrol sa pamamahala ng pakete at binabawasan ang visibility sa mga proxy log.

Ang malware ay may mga kakayahan sa pag-scrape ng memorya para sa mga sistema ng Linux at may kasamang mga espesyal na module ng pagkuha ng memorya para sa macOS at Windows. Ang mga bahaging ito ay nagbibigay-daan sa mga umaatake na mabawi ang mga sensitibong impormasyon, kabilang ang naka-encrypt na data na nasa memorya.

Paghigit sa mga Kagamitan sa Seguridad ng AI

Isa sa mga pinaka-makabagong tampok ng kampanya ay ang kakayahang manipulahin ang mga awtomatikong LLM-based security scanner. Naglalagay ang mga umaatake ng maingat na ginawang bloke ng teksto sa simula ng mga malisyosong file na nagtuturo sa mga AI analysis system na balewalain ang nakatagong code, uriin ang package bilang mapagkakatiwalaan, at bumuo ng mga ulat na nagdedeklarang ligtas ito.

Inilalarawan ito ng mga mananaliksik bilang isang malaking pagbabago sa konsepto sa mga banta sa cyber. Sa halip na i-target lamang ang mga kahinaan ng software, direktang tinatarget ng mga umaatake ang mga proseso ng pangangatwiran ng mga sistema ng AI. Ang mga security scanner na nagsusumite ng raw code at teksto sa mga LLM nang walang mahigpit na mekanismo ng paghihiwalay ay maaaring maimpluwensyahan sa paggawa ng mga maling negatibong pagtatasa, na nagpapahintulot sa mga malisyosong pakete na maiwasan ang pagtuklas.

Itinatampok ng pamamaraang ito ang lumalaking panganib na kinakaharap ng mga organisasyon na lalong umaasa sa mga tool sa seguridad na pinapagana ng AI. Dahil nananatiling madaling kapitan ng manipulasyon na parang social-engineering ang mga LLM, inaasahang patuloy na tatargetin ng mga umaatake ang parehong mga ahente ng seguridad na pinapagana ng AI at mga gumagamit ng tao sa pamamagitan ng lalong sopistikadong panlilinlang na nakabatay sa agarang pagkilos.

Ang GitHub Infrastructure ay Ginawang Isang Lihim na Command Center

Ang arkitektura ng command-and-control ng Hades ay nakasalalay sa tatlong magkakahiwalay na channel ng komunikasyon na naka-host sa pampublikong imprastraktura ng GitHub, na nagbibigay-daan sa malisyosong trapiko na sumama nang walang putol sa lehitimong aktibidad ng developer.

Ang mga ninakaw na kredensyal ay lokal na ini-encrypt sa pamamagitan ng isang prosesong may maraming yugto na kinasasangkutan ng serialization at compression bago i-upload sa mga pampublikong repositoryo ng GitHub na kontrolado ng mga attacker. Ang mga repositoryong ito ay karaniwang may label na: 'Hades — Ang Katapusan ng mga Isinumpa.'

Ang estratehiya ng exfiltration ng malware ay sumasalamin sa mga pamamaraang dating nauugnay sa Miasma, na ginagawang lumalabas ang GitHub bilang isang normal na destinasyon habang itinatago ang malisyosong aktibidad.

Paggamit ng Tiwala upang Kumalat sa mga Network

Ang isang natatanging katangian ng kampanya ay ang kakayahang kumalat sa mga kapaligiran sa pamamagitan ng pag-abuso sa mga teknolohiyang karaniwang ginagamit upang mapahusay ang seguridad at integridad ng software, kabilang ang:

Secure Shell (SSH) at Secure Copy Protocol (SCP)
OpenID Connect (OIDC)
Mga Antas ng Supply-chain para sa mga Artifact ng Software (SLSA)

Kapag isinagawa sa loob ng isang GitHub Actions runner, hinahanap ng malware ang mga available na OIDC variable, nilalaktawan ang mga mekanismo ng pagpapatupad ng registry-signature, at bumubuo ng mga cryptographically signed na SLSA provenance record gamit ang Sigstore. Pagkatapos ay dina-download nito ang mga target na library, nag-i-inject ng mga malisyosong payload, at muling inilalathala ang mga nakompromisong bersyon sa parehong Python Package Index (PyPI) at npm gamit ang mga ninakaw na credential at pekeng provenance data.

Bilang resulta, ang mga malisyosong pakete ay tila nagmumula sa mga lehitimong kapaligiran ng pagbuo ng organisasyon at nagtataglay ng tila wastong pag-verify ng kriptograpiko.

Pagnanakaw ng Lihim, Manipulasyon ng Ahente ng AI, at Mapanirang Pagtitiyaga

Bukod sa pagkalason sa pakete at pagnanakaw ng kredensyal, ipinakikilala ng Hades ang ilang karagdagang kakayahan na idinisenyo upang mapakinabangan ang pangmatagalang epekto:

Direktang pagkuha ng mga sikreto mula sa GitHub Actions runner memory nang hindi nagsusulat ng data sa disk o bumubuo ng kahina-hinalang trapiko sa network.
Pag-target ng mga configuration file at rule set na nauugnay sa 14 na iba't ibang AI agent at platform.
Pag-deploy ng mga custom na prompt at execution hook na awtomatikong naglulunsad ng mga malisyosong Bun command kapag nakikipag-ugnayan ang mga AI assistant sa mga nahawaang workspace.
Pagtatatag ng patuloy na pag-access sa mga nakompromisong sistema.
Patuloy na pagsubaybay sa mga ninakaw na token ng pagpapatotoo.
Awtomatikong pag-activate ng isang mapanirang bahagi ng wiper kung ang isang ninakaw na token ay binawi, na nagreresulta sa pagbura ng mga file ng user.

Isang Sulyap sa Kinabukasan ng mga Banta sa Cyber

Ipinapakita ng Kampanya ng Hades kung paano umuunlad ang modernong malware nang higit pa sa mga tradisyonal na pamamaraan ng pagsasamantala. Sa pamamagitan ng pagsasama-sama ng supply-chain compromise, memory scraping, AI manipulation, credential theft, cryptographic trust abuse, lateral movement, at mga mapanirang kakayahan sa loob ng isang self-propagating worm, inilalarawan ng operasyon ang isang bagong henerasyon ng mga banta sa cyber.

Marahil ang pinakanakababahalang pag-unlad ay ang direktang pag-target sa mga sistema ng seguridad na pinapagana ng AI. Habang lalong isinasama ng mga organisasyon ang mga tool na pinapagana ng LLM sa mga daloy ng trabaho sa pag-unlad at seguridad, nagsisimula nang ituring ng mga umaatake ang mga sistemang iyon bilang mga ibabaw ng pag-atake sa kanilang sariling karapatan. Ang Hades ay nagsisilbing isang malakas na paalala na ang kinabukasan ng cybersecurity ay mangangailangan ng pagtatanggol hindi lamang sa software at imprastraktura kundi pati na rin sa mga mekanismo ng paggawa ng desisyon ng artificial intelligence.

Ang Payment Processor ng EnigmaSoft na Digital River GmbH na Pag-file para sa Pagkalugi ay Hindi Nakakaapekto sa Proteksyon ng Anti-Malware ng Mga Customer ng SpyHunter

Paghahanap

Baguhin ang Rehiyon

Hades Malware

Bakit Nakahiwalay ang Hades

Mula sa Pag-import ng Pakete hanggang sa Ganap na Kompromiso sa Sistema

Paghigit sa mga Kagamitan sa Seguridad ng AI

Ang GitHub Infrastructure ay Ginawang Isang Lihim na Command Center

Paggamit ng Tiwala upang Kumalat sa mga Network

Pagnanakaw ng Lihim, Manipulasyon ng Ahente ng AI, at Mapanirang Pagtitiyaga

Isang Sulyap sa Kinabukasan ng mga Banta sa Cyber

Magsumite ng Komento

Mga Kaugnay na Mga Post

Magnanakaw ng ShadeStager

Trending

Lantixprostream.co.in

Error sa Pagpapatunay ng Email Scam sa Email

Lerantixflowcore.co.in

Pinaka Nanood

Eporner.com

Fuq.com

XHAMSTER Ransomware