Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Hades Kötü Amaçlı Yazılımı

Hades Kötü Amaçlı Yazılımı

Mezo'de Kötü amaçlı yazılım, Solucanlar'de
Çevir:

Siber suçlular yazılım tedarik zincirlerine yönelik saldırılarını yoğunlaştırmaya devam ediyor ve Hades olarak bilinen yeni keşfedilen bir kötü amaçlı yazılım operasyonu, bugüne kadar gözlemlenen en gelişmiş tehditlerden biri olarak ortaya çıkıyor.

Araştırmacılar, Python geliştirme ortamlarını hedef alan son derece gelişmiş bir tedarik zinciri ihlali olan Hades Kampanyası'nı ortaya çıkardı. Bu kötü amaçlı yazılım, ele geçirilmiş bir paket içe aktarıldığında anında etkinleşiyor ve popüler Bun araç setini kullanarak çok aşamalı yükleri sessizce çalıştırıyor. Bu yükler, hassas bilgileri çalma, sistemler arasında yatay olarak hareket etme, güvenilir güvenlik çerçevelerini istismar etme ve düşmanca komut istemi enjeksiyon teknikleri aracılığıyla yapay zeka destekli kod analiz araçlarını manipüle etme yeteneğine sahip.

Etkilenen projeler arasında yaygın olarak kullanılan C++ kütüphanesi ensmallen ve hesaplamalı biyoloji, biyoinformatik ve genotip-fenotip analizi ekosistemlerindeki çeşitli paketler yer almaktadır.

Hades’in Diğerlerinden Farkı Nedir?

Kampanyanın en endişe verici özelliği, hızla yayılan bir solucan içinde birden fazla gelişmiş saldırı tekniğinin bir araya getirilmesidir. Güvenlik araştırmacıları daha önce bellek kazıma odaklı kötü amaçlı yazılımlarla, büyük dil modeli (LLM) güvenlik analizini yanıltmak için tasarlanmış saldırılarla ve yıkıcı silme yazılımlarıyla karşılaşmışlardır. Bununla birlikte, bu üç yeteneğin de kendi kendine yayılan bir tedarik zinciri tehdidine entegre edilmesi, karmaşıklık düzeyinde önemli bir artışı temsil etmektedir.

Araştırmacılar, bu saldırıyı Miasma tehdit aktörünün son evrimi olarak değerlendiriyor. Daha önceki Miasma operasyonları, çoklu bulut kimlik bilgilerini toplayan, entegre geliştirme ortamları (IDE'ler) veya yapay zeka aracıları aracılığıyla depolara erişildiğinde kötü amaçlı kod yürütülmesini tetikleyen ve değerli veriler için Linux işlem belleğini tarayan kendi kendini kopyalayan solucanlar kullanmıştı.

Hades operasyonu, kimlik bilgilerinin çalınması, solucan benzeri yayılma ve GitHub tabanlı veri sızdırma gibi temel özelliklerinin çoğunu koruyor. Soruşturma sırasında tespit edilen diğer tehlikeye atılmış paketler arasında mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea ve pyphetools yer alıyor.

Paket İçe Aktarımından Tam Sistem Güvenlik Açığına Kadar

Saldırı, Python paketlerinin içe aktarılmasını sağlayan kritik bir bileşen olan init.py dosyasına yerleştirilmiş gizlenmiş bir komut dosyasıyla başlar. Çalıştırıldıktan sonra, kötü amaçlı yazılım önceden derlenmiş bir Bun çalışma ortamını devreye sokar ve zararlı bir JavaScript yükünü başlatır.

Saldırganlar, Bun'a güvenerek, Node.js kurulu olmayan sistemlerde bile karmaşık JavaScript işlemlerini gerçekleştirebilirler. Bu yaklaşım, geleneksel paket yönetimi kontrollerini atlatmaya yardımcı olur ve proxy günlüklerindeki görünürlüğü azaltır.

Bu kötü amaçlı yazılım, Linux sistemleri için bellekten veri çekme yeteneklerine sahip olup, macOS ve Windows için özel bellek çıkarma modülleri içermektedir. Bu bileşenler, saldırganların bellekte bulunan şifrelenmiş veriler de dahil olmak üzere son derece hassas bilgileri kurtarmasına olanak tanır.

Yapay Zeka Güvenlik Araçlarını Alt Etmek

Kampanyanın en yenilikçi özelliklerinden biri, otomatik LLM tabanlı güvenlik tarayıcılarını manipüle edebilme yeteneğidir. Saldırganlar, kötü amaçlı dosyaların başına özenle hazırlanmış bir metin bloğu yerleştirerek yapay zeka analiz sistemlerine gizli kodu görmezden gelmeleri, paketi güvenilir olarak sınıflandırmaları ve güvenli olduğunu belirten raporlar oluşturmaları talimatını veriyorlar.

Araştırmacılar bunu siber tehditlerde büyük bir kavramsal değişim olarak tanımlıyor. Saldırganlar, yalnızca yazılım güvenlik açıklarını hedeflemek yerine, doğrudan yapay zeka sistemlerinin akıl yürütme süreçlerini hedef alıyor. Sıkı bir ayrım mekanizması olmadan ham kod ve metni LLM'lere gönderen güvenlik tarayıcıları, yanlış negatif değerlendirmeler üretmeye yönlendirilebilir ve bu da kötü amaçlı yazılımların tespit edilmekten kaçınmasına olanak tanır.

Bu teknik, yapay zekâ destekli güvenlik araçlarına giderek daha fazla bağımlı hale gelen kuruluşların karşı karşıya kaldığı artan bir riski vurgulamaktadır. Yaşam döngüsü yönetim sistemleri (LLM'ler) sosyal mühendislik tarzı manipülasyona karşı oldukça savunmasız kaldığından, saldırganların giderek daha karmaşık, istem tabanlı aldatma yöntemleriyle hem yapay zekâ destekli güvenlik ajanlarını hem de insan kullanıcıları hedef almaya devam etmesi beklenmektedir.

GitHub Altyapısı Gizli Bir Komuta Merkezine Dönüştürüldü

Hades komuta ve kontrol mimarisi, halka açık GitHub altyapısında barındırılan üç ayrı iletişim kanalına dayanmaktadır ve bu sayede kötü amaçlı trafik, meşru geliştirici faaliyetleriyle sorunsuz bir şekilde karışabilmektedir.

Çalınan kimlik bilgileri, serileştirme ve sıkıştırmayı içeren çok aşamalı bir işlemle yerel olarak şifrelendikten sonra, saldırganın kontrolündeki herkese açık GitHub depolarına yüklenir. Bu depolar genellikle şu açıklamayla etiketlenir: 'Hades - Lanetliler İçin Son.'

Kötü amaçlı yazılımın veri sızdırma stratejisi, daha önce Miasma ile ilişkilendirilen teknikleri yansıtarak GitHub'ı normal bir hedef gibi gösterirken kötü amaçlı faaliyetleri gizliyor.

Ağlarda Yayılmak İçin Güveni İstismar Etmek

Kampanyanın belirleyici özelliklerinden biri, genellikle güvenlik ve yazılım bütünlüğünü artırmak için kullanılan teknolojileri kötüye kullanarak ortamlar arasında yayılabilme yeteneğidir; bunlar arasında şunlar yer almaktadır:

  • Güvenli Kabuk (SSH) ve Güvenli Kopyalama Protokolü (SCP)
  • OpenID Connect (OIDC)
  • Yazılım Ürünleri için Tedarik Zinciri Seviyeleri (SLSA)

GitHub Actions çalıştırıcısı içinde yürütüldüğünde, kötü amaçlı yazılım kullanılabilir OIDC değişkenlerini arar, kayıt defteri imza uygulama mekanizmalarını atlar ve Sigstore kullanarak kriptografik olarak imzalanmış SLSA kaynak kayıtları oluşturur. Ardından hedef kütüphaneleri indirir, kötü amaçlı yükler enjekte eder ve çalınmış kimlik bilgileri ve sahte kaynak verileri kullanarak tehlikeye atılmış sürümleri hem Python Paket Dizini (PyPI) hem de npm'ye yeniden yayınlar.

Sonuç olarak, kötü amaçlı paketler meşru kurumsal derleme ortamlarından kaynaklanıyormuş gibi görünmekte ve görünüşte geçerli kriptografik doğrulamaya sahip olmaktadır.

Gizli Hırsızlık, Yapay Zeka Ajan Manipülasyonu ve Yıkıcı Israr

Hades, paket zehirlenmesi ve kimlik bilgilerinin çalınmasının ötesinde, uzun vadeli etkiyi en üst düzeye çıkarmak için tasarlanmış çeşitli ek yetenekler sunuyor:

  • Verileri diske yazmadan veya şüpheli ağ trafiği oluşturmadan, gizli bilgileri doğrudan GitHub Actions çalıştırıcısının belleğinden çıkarma.
  • 14 farklı yapay zeka ajanı ve platformuyla ilişkili yapılandırma dosyaları ve kural kümelerinin hedeflenmesi.
  • Yapay zekâ asistanları virüs bulaşmış çalışma alanlarıyla etkileşime girdiğinde kötü amaçlı Bun komutlarını otomatik olarak başlatan özel uyarılar ve yürütme kancalarının dağıtımı.
  • Ele geçirilmiş sistemlerde kalıcı erişimin sağlanması.
  • Çalınan kimlik doğrulama belirteçlerinin sürekli olarak izlenmesi.
  • Çalınan bir token iptal edilirse, kullanıcı dosyalarının silinmesine yol açacak şekilde, otomatik olarak yıkıcı bir silme bileşeni etkinleştirilir.

Siber Tehditlerin Geleceğine Bir Bakış

Hades Kampanyası, modern kötü amaçlı yazılımların geleneksel istismar tekniklerinin ötesine nasıl evrildiğini göstermektedir. Tedarik zinciri ihlali, bellek kazıma, yapay zeka manipülasyonu, kimlik bilgisi hırsızlığı, kriptografik güvenin kötüye kullanımı, yatay hareket ve kendi kendini yayan bir solucan içindeki yıkıcı yetenekleri bir araya getiren bu operasyon, yeni nesil siber tehditleri ortaya koymaktadır.

Belki de en endişe verici gelişme, yapay zekâ destekli güvenlik sistemlerinin doğrudan hedef alınmasıdır. Kuruluşlar, LLM destekli araçları geliştirme ve güvenlik iş akışlarına giderek daha fazla entegre ettikçe, saldırganlar bu sistemleri kendi başlarına birer saldırı yüzeyi olarak görmeye başlıyorlar. Hades, siber güvenliğin geleceğinin yalnızca yazılım ve altyapıyı değil, aynı zamanda yapay zekânın karar alma mekanizmalarını da savunmayı içereceğinin güçlü bir hatırlatıcısıdır.

trend

E-posta Doğrulama Hatası E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
'E-posta Doğrulama Hatası' e-posta dolandırıcılığı, bir e-posta barındırma hizmetinden gelen otomatik bir bildirim gibi görünen bir kimlik avı kampanyasıdır. Sahte mesaj, gelen birkaç e-postanın bir e-posta doğrulama sorunu nedeniyle engellendiğini ve karantinaya alındığını iddia eder. E-posta teslimatını etkileyen teknik bir sorun gibi görünen bir durum sunarak, dolandırıcılar alıcıları acil...

En çok görüntülenen

Yükleniyor...