Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Шкідливе програмне забезпечення Hades

Шкідливе програмне забезпечення Hades

До Mezo року в Шкідливе програмне забезпечення, Черви році
Перекласти на:

Кіберзлочинці продовжують посилювати атаки на ланцюги поставок програмного забезпечення, а нещодавно виявлена операція зі шкідливим програмним забезпеченням, відома як Hades, стала однією з найскладніших загроз, що спостерігалися на сьогоднішній день.

Дослідники виявили кампанію Hades – високотехнологічну компрометацію ланцюга поставок, спрямовану на середовища розробки Python. Шкідливе програмне забезпечення активується миттєво після імпорту скомпрометованого пакета, використовуючи популярний інструментарій Bun для непомітного виконання багатоетапних корисних навантажень. Ці корисні навантаження здатні красти конфіденційну інформацію, переміщатися між системами, використовувати надійні системи безпеки та маніпулювати інструментами аналізу коду на базі штучного інтелекту за допомогою методів зловмисного впровадження запитів.

Серед постраждалих проектів — широко використовувана бібліотека C++ ensmallen та кілька пакетів в екосистемах обчислювальної біології, біоінформатики та аналізу генотипу-фенотипів.

Чому Аїд виділяється

Найбільш тривожною характеристикою кампанії є поєднання кількох передових методів атаки всередині швидко поширюючогося черв'яка. Дослідники безпеки раніше стикалися зі шкідливим програмним забезпеченням, орієнтованим на скрапінг пам'яті, атаками, спрямованими на введення в оману аналізу безпеки моделей великих мов (LLM), та руйнівним шкідливим програмним забезпеченням для стирання даних. Однак інтеграція всіх трьох можливостей у самопоширювану загрозу для ланцюга поставок являє собою значне підвищення складності.

Дослідники пов'язують цю кампанію з тим, що, очевидно, є останньою еволюцією кібератаки Miasma. Раніше в рамках операцій Miasma використовувалися самовідтворювані черв'яки, які здійснювали багатохмарний збір облікових даних, запускали виконання шкідливого коду під час доступу до репозиторіїв через інтегровані середовища розробки (IDE) або агенти штучного інтелекту, а також сканували пам'ять процесів Linux на наявність цінних даних.

Операція Hades зберігає багато з цих основних характеристик, включаючи крадіжку облікових даних, поширення вірусів за принципом черв'яка та витік даних на основі GitHub. Додаткові скомпрометовані пакети, виявлені під час розслідування, включають mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea та pyphetools.

Від імпорту пакетів до повного компрометування системи

Атака починається з обфускованого скрипта, вбудованого у файл init.py пакета, критично важливий компонент, який дозволяє імпортувати пакети Python. Після виконання шкідливе програмне забезпечення розгортає попередньо скомпільоване середовище виконання Bun та запускає шкідливе корисне навантаження JavaScript.

Покладаючись на Bun, зловмисники можуть виконувати складні операції JavaScript навіть на системах без встановленого Node.js. Такий підхід допомагає обійти традиційні засоби керування пакетами та зменшує видимість у журналах проксі-сервера.

Шкідливе програмне забезпечення оснащене можливостями скрапінгу пам'яті для систем Linux та включає спеціалізовані модулі вилучення пам'яті для macOS та Windows. Ці компоненти дозволяють зловмисникам відновлювати конфіденційну інформацію, включаючи зашифровані дані, що зберігаються в пам'яті.

Перехитріть інструменти безпеки зі штучним інтелектом

Одна з найінноваційніших функцій кампанії — це її здатність маніпулювати автоматизованими сканерами безпеки на основі LLM. Зловмисники розміщують ретельно створений блок тексту на початку шкідливих файлів, який інструктує системи аналізу на основі штучного інтелекту ігнорувати прихований код, класифікувати пакет як надійний та генерувати звіти, що оголошують його безпечним.

Дослідники описують це як суттєвий концептуальний зсув у кіберзагрозах. Замість того, щоб атакувати лише вразливості програмного забезпечення, зловмисники безпосередньо націлюються на процеси мислення систем штучного інтелекту. Сканери безпеки, які надсилають необроблений код і текст до LLM без суворих механізмів розділення, можуть бути під впливом таких факторів, що призводять до створення хибнонегативних оцінок, що дозволяє шкідливим пакетам уникати виявлення.

Цей метод підкреслює зростаючий ризик, з яким стикаються організації, що дедалі більше залежать від інструментів безпеки на базі штучного інтелекту. Оскільки LLM залишаються дуже вразливими до маніпуляцій у стилі соціальної інженерії, очікується, що зловмисники продовжуватимуть атакувати як агентів безпеки на базі штучного інтелекту, так і користувачів-людей за допомогою дедалі складнішого обману на основі підказок.

Інфраструктура GitHub перетворена на прихований командний центр

Архітектура командно-контрольного управління Hades спирається на три окремі канали зв'язку, розміщені в публічній інфраструктурі GitHub, що дозволяє шкідливому трафіку безперешкодно поєднуватися з легітимною діяльністю розробників.

Викрадені облікові дані шифруються локально за допомогою багатоетапного процесу, що включає серіалізацію та стиснення, перш ніж їх завантажують до публічних репозиторіїв GitHub, контрольованих зловмисником. Ці репозиторії зазвичай позначаються описом: «Аїд — кінець проклятих».

Стратегія вилучення шкідливого програмного забезпечення відображає методи, які раніше були пов'язані з Miasma, змушуючи GitHub виглядати як звичайне місце призначення, водночас приховуючи шкідливу активність.

Використання довіри для поширення по мережах

Визначальною рисою кампанії є її здатність поширюватися через середовища шляхом зловживання технологіями, які зазвичай використовуються для підвищення безпеки та цілісності програмного забезпечення, зокрема:

  • Безпечна оболонка (SSH) та протокол безпечного копіювання (SCP)
  • OpenID Connect (OIDC)
  • Рівні ланцюга поставок для програмних артефактів (SLSA)

Під час виконання всередині GitHub Actions runner шкідливе програмне забезпечення шукає доступні змінні OIDC, обходить механізми забезпечення підписів реєстру та генерує криптографічно підписані записи походження SLSA за допомогою Sigstore. Потім воно завантажує цільові бібліотеки, впроваджує шкідливе корисне навантаження та повторно публікує скомпрометовані версії як в індексі пакетів Python (PyPI), так і в npm, використовуючи викрадені облікові дані та підроблені дані про походження.

В результаті, шкідливі пакети, схоже, походять із легітимних середовищ збірки організацій та мають, здавалося б, дійсну криптографічну перевірку.

Таємна крадіжка, маніпуляції агентами штучного інтелекту та деструктивна наполегливість

Окрім отруєння пакетів та крадіжки облікових даних, Hades пропонує кілька додаткових можливостей, розроблених для максимізації довгострокового впливу:

  • Вилучення секретів безпосередньо з пам'яті бігуна GitHub Actions без запису даних на диск або створення підозрілого мережевого трафіку.
  • Таргетування конфігураційних файлів та наборів правил, пов'язаних з 14 різними агентами та платформами штучного інтелекту.
  • Розгортання користувацьких підказок та перехоплювачів виконання, які автоматично запускають шкідливі команди Bun, коли помічники штучного інтелекту взаємодіють із зараженими робочими просторами.
  • Встановлення постійного доступу до скомпрометованих систем.
  • Постійний моніторинг викрадених токенів автентифікації.
  • Автоматична активація деструктивного компонента склоочищувача у разі відкликання вкраденого токена, що призводить до видалення файлів користувача.

Погляд у майбутнє кіберзагроз

Кампанія «Аїд» демонструє, як сучасне шкідливе програмне забезпечення розвивається за межі традиційних методів експлуатації. Поєднуючи компрометацію ланцюга поставок, вилучення пам'яті, маніпуляції зі штучним інтелектом, крадіжку облікових даних, зловживання криптографічною довірою, латеральне переміщення та руйнівні можливості в рамках саморозповсюджувального черв'яка, ця операція ілюструє нове покоління кіберзагроз.

Мабуть, найбільше занепокоєння у розробці викликає пряма атака на системи безпеки на базі штучного інтелекту. Оскільки організації все частіше інтегрують інструменти на базі LLM у робочі процеси розробки та безпеки, зловмисники починають розглядати ці системи як самостійні поверхні для атаки. Hades служить потужним нагадуванням про те, що майбутнє кібербезпеки включатиме захист не лише програмного забезпечення та інфраструктури, але й механізмів прийняття рішень на основі штучного інтелекту.

В тренді

Lantixprostream.co.in

Шахрайські веб-сайти, рекламне ПЗ, Викрадачі браузера
Пильність під час перегляду веб-сторінок є надзвичайно важливою, оскільки кіберзлочинці постійно розробляють нові методи обману нічого не підозрюючих користувачів. Шахрайські веб-сайти часто...

Помилка перевірки електронної пошти Шахрайство з...

Фішинг, Спам
Шахрайство електронною поштою «Помилка перевірки електронної пошти» – це фішингова кампанія, яка маскується під автоматичне сповіщення від служби хостингу пошти. У шахрайському повідомленні стверджується, що кілька вхідних електронних листів було заблоковано через проблему з перевіркою електронної пошти та зберігаються в карантині. Представляючи те, що нібито є технічною проблемою, що впливає...

Lerantixflowcore.co.in

Шахрайські веб-сайти, рекламне ПЗ, Викрадачі браузера
Обережність під час перегляду веб-сторінок зараз важливіша, ніж будь-коли. Кіберзлочинці та оператори шахрайських веб-сайтів постійно розробляють оманливі методи, спрямовані на маніпулювання...

Найбільше переглянуті

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
19,917
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...