Hades恶意软件

网络犯罪分子持续加大对软件供应链的攻击力度，其中新发现的恶意软件“哈迪斯”已成为迄今为止发现的最复杂的威胁之一。

研究人员发现了名为“冥王哈迪斯行动”（Hades Campaign）的恶意软件，该软件针对Python开发环境，是一种高度复杂的供应链入侵攻击。一旦导入被入侵的软件包，该恶意软件就会立即激活，并利用流行的Bun工具包静默执行多阶段有效载荷。这些有效载荷能够窃取敏感信息、在系统间横向移动、利用可信的安全框架，并通过对抗性提示注入技术操纵人工智能驱动的代码分析工具。

受影响的项目包括广泛使用的 C++ 库 ensmallen 以及计算生物学、生物信息学和基因型-表型分析生态系统中的几个软件包。

哈迪斯为何如此与众不同

此次攻击活动最令人担忧的特点是，它将多种高级攻击技术融合在一个快速传播的蠕虫病毒中。安全研究人员此前曾遇到过专注于内存抓取的恶意软件、旨在误导大型语言模型（LLM）安全分析的攻击以及破坏性擦除恶意软件。然而，将这三种功能整合到一个能够自我传播的供应链威胁中，意味着攻击的复杂性显著提升。

研究人员认为，此次攻击活动似乎是Miasma威胁组织最新演变的结果。Miasma早期的行动部署了可自我复制的蠕虫病毒，这些病毒会窃取多云凭证，在通过集成开发环境（IDE）或人工智能代理访问代码库时触发恶意代码执行，并扫描Linux进程内存以获取有价值的数据。

Hades 行动保留了许多这些核心特征，包括凭证窃取、蠕虫式传播和基于 GitHub 的数据外泄。调查中发现的其他被入侵软件包包括 mflux-streamlit、nhmpy、ppkt2synergy、embiggen、gpsea 和 pyphetools。

从软件包导入到系统完全入侵

攻击始于嵌入在软件包的 init.py 文件中的混淆脚本，该文件是启用 Python 包导入的关键组件。一旦执行，恶意软件会部署预编译的 Bun 运行时环境并启动恶意 JavaScript 有效载荷。

攻击者利用 Bun 工具，即使在未安装 Node.js 的系统上也能执行复杂的 JavaScript 操作。这种方法有助于绕过传统的包管理控制，并降低代理日志的可见性。

该恶意软件具备针对 Linux 系统的内存抓取功能，并包含针对 macOS 和 Windows 的专用内存提取模块。这些组件使攻击者能够恢复高度敏感的信息，包括驻留在内存中的加密数据。

智胜人工智能安全工具

该攻击活动最具创新性的特点之一是能够操纵基于LLM的自动化安全扫描器。攻击者会在恶意文件的开头放置一段精心编写的文本块，指示人工智能分析系统忽略隐藏代码，将软件包归类为可信文件，并生成声明其安全的报告。

研究人员将此描述为网络威胁领域的一次重大概念转变。攻击者不再仅仅针对软件漏洞，而是直接攻击人工智能系统的推理过程。如果安全扫描器在缺乏严格分离机制的情况下，将原始代码和文本提交给逻辑逻辑模型（LLM），则可能被诱导产生漏报，从而使恶意软件得以逃避检测。

这种技术凸显了日益依赖人工智能安全工具的组织所面临的日益增长的风险。由于低层级安全策略（LLM）仍然极易受到社会工程学式的操纵，预计攻击者将继续通过日益复杂的基于提示的欺骗手段，攻击人工智能驱动的安全代理和人类用户。

GitHub 基础设施变成了一个隐蔽的指挥中心

Hades 命令与控制架构依赖于托管在公共 GitHub 基础设施上的三个独立通信通道，使得恶意流量能够与合法的开发者活动无缝融合。

被盗凭证在上传到攻击者控制的公共 GitHub 仓库之前，会经过包括序列化和压缩在内的多阶段加密过程进行本地加密。这些仓库通常被标记为：“Hades — The End for the Damned”。

该恶意软件的窃取策略与之前与 Miasma 相关的技术类似，使 GitHub 看起来像一个正常的目的地，同时隐藏恶意活动。

利用信任在网络中传播

该攻击活动的一个显著特点是能够通过滥用通常用于增强安全性和软件完整性的技术（包括）在各种环境中传播：

• 安全外壳协议 (SSH) 和安全复制协议 (SCP)
• OpenID Connect (OIDC)
• 软件制品供应链层级（SLSA）

当在 GitHub Actions 运行器中执行时，该恶意软件会搜索可用的 OIDC 变量，绕过注册表签名强制机制，并使用 Sigstore 生成加密签名的 SLSA 出处记录。然后，它会下载目标库，注入恶意载荷，并使用窃取的凭据和伪造的出处数据将受感染的版本重新发布到 Python 包索引 (PyPI) 和 npm。

因此，恶意软件包看起来像是来自合法的组织构建环境，并且具有看似有效的加密验证。

秘密盗窃、人工智能代理操纵和破坏性持久性

除了包裹投毒和凭证窃取之外，Hades 还引入了其他几项旨在最大限度发挥长期影响的功能：

• 直接从 GitHub Actions 运行器内存中提取密钥，无需将数据写入磁盘或产生可疑的网络流量。
• 针对与 14 个不同的 AI 代理和平台相关的配置文件和规则集进行定位。
• 部署自定义提示和执行钩子，以便在 AI 助手与受感染的工作区交互时自动启动恶意 Bun 命令。
• 在被入侵的系统上建立持久访问权限。
• 持续监控被盗的身份验证令牌。
• 如果被盗令牌被撤销，则自动激活破坏性擦除组件，导致用户文件被删除。

网络威胁的未来展望

“冥王星”攻击行动展示了现代恶意软件如何超越传统的攻击手段。该行动将供应链入侵、内存抓取、人工智能操控、凭证窃取、加密信任滥用、横向移动以及破坏性能力整合到一个能够自我传播的蠕虫程序中，展现了新一代网络威胁的面貌。

或许最令人担忧的发展趋势是，人工智能驱动的安全系统正遭受直接攻击。随着越来越多的组织将基于生命周期管理（LLM）的工具集成到开发和安全工作流程中，攻击者开始将这些系统本身视为攻击面。Hades 事件有力地提醒我们，网络安全的未来不仅在于保护软件和基础设施，还在于保护人工智能的决策机制。