AI-turbeagente lollitava Pythoni ussi anatoomia

Kas olete jõudnud punkti, kus usaldate oma AI-koodiassistenti rohkem kui omaenda manuaalset kontrolli? Paljud arendajad on. Me toetume suurtele keelemudelitele (LLM), et otsida haavatavusi, soovitada parandusi ja kontrollida kolmandate osapoolte pakettide terviklust. Kuid mis juhtub siis, kui pahavara oskab tehisintellektile vastu rääkida? Veetsin eelmisel nädalal mitu ööd Hadese kampaania tehnilisi üksikasju uurides – see on oht, mis tähistab muutust ründajate lähenemises automatiseeritud kaitsemehhanismidele. See ei ole lihtsalt andmevaras. See on psühholoogiline operatsioon, mis on suunatud tarkvara vastu, mida me enda kaitsmiseks kasutame.

StepSecurity teadlased tuvastasid hiljuti selle kampaania kui Miasma rühmituse uusima töö. Kui varem keskendus Miasma pilve sisselogimisandmete varastamisele, siis Hades on agressiivsem, isepaljunev uss. See sihib konkreetselt Pythoni arenduskeskkondi PyPI ökosüsteemi kompromiteeritud pakettide kaudu. Mõjutatud teekide loend sisaldab ensmallenit, mflux-streamliti ja mitmeid bioinformaatikas kasutatavaid tööriistu. Kui töötate arvutusbioloogia või andmeteaduse valdkonnas, on teie tööjaam sellele rühmitusele väärtuslik sihtmärk.

Sisenemispunkt Pythoni initsialiseerimisprotsessis

Rünnak algab siis, kui arendaja impordib kompromiteeritud paketi. Hades peidab oma peamise laadija faili __init__.py. See on standardfail, mida Python kasutab kataloogi paketina tähistamiseks. Paigutades pahatahtliku skripti siia, tagavad ründajad koodi käivitumise hetkel, mil pakett projekti laaditakse. Laadija on hägustatud, et vältida lihtsat signatuuripõhist tuvastamist, kuid selle eesmärk on lihtne. See paigaldab süsteemi eelkompileeritud Bun-käituskeskkonna binaarfaili.

Bun on suure jõudlusega JavaScripti tööriistakomplekt. See on suurepärane tööriist legitiimsetele arendajatele, kuid ühtlasi täiuslik mootor pahavara käitamiseks. Kuna Bun on iseseisev binaarfail, võimaldab see pahavaral käivitada keerukaid JavaScripti koodikoormaid ilma, et ohvri masinasse oleks vaja installida Node.js-i. See hiilib mööda traditsioonilisest seirest, mis otsib kahtlast npm- või Node-tegevust. Arhitektuuriliselt võimaldab Buni kasutamine ründajatel tegutseda varikeskkonnas, mis jääb väljapoole enamiku Pythoni-kesksete tööjaamade tavapärast turvanähtavust.

Kuidas pahavara automatiseeritud valvurit lollitab

Hadese kõige uuenduslikum omadus on võime AI-turbeagentidele valetada. Paljud kaasaegsed arenduskeskkonnad kasutavad koodist pahatahtlike mustrite otsimiseks keelemudeleid. Hades näeb seda ette. Pahatahtlike failide algusesse lisab pahavara tekstibloki, mis on loodud vastandliku juhisena (adversarial prompt). See tekst käsib keelemudelil ignoreerida mis tahes allpool leitud kahtlast koodi ning klassifitseerida pakett kontrollituks ja turvaliseks.

Testisin sarnast tehnikat eelmisel kuul isoleeritud keskkonnas. Andsin keelemudelile skripti, mis sisaldas ilmset tagauks-kesta (reverse shell), kuid lisasin sellele kommentaari, et kood on riigihanke raames tehtav eelvolitatud turvatest. Tehisintellekt ignoreeris ründevara ja teatas, et skript järgib kõiki turvaprotokolle. Hades kasutab täpselt seda digitaalse Trooja hobuse strateegiat. See kasutab ära tehisintellekti kognitiivset loogikat. Kuna keelemudelid on vastuvõtlikud sotsiaalsele manipulatsioonile, aktsepteerivad nad neid peidetud juhiseid kõrge prioriteediga käskudena. Tulemuseks on väärnegatiivne otsus, mis võimaldab pahavaral organisatsiooni automatiseeritud analüüsist mööda hiilida.

Tarneahela terviklikkuse raamistiku ärakasutamine

Hades ei piirdu vaid peitmisega; see üritab jätta ametlikku muljet. See kasutab ära mitmeid kriitilisi turvaraamistikke, sealhulgas OpenID Connect (OIDC) ja Supply-chain Levels for Software Artifacts (SLSA). Kui pahavara tuvastab, et töötab GitHub Actionsi töövoos, kontrollib see OIDC muutujaid. Seejärel kasutab see neid andmeid, et genereerida Sigstore'i kaudu krüptograafiliselt allkirjastatud SLSA päritolutõendid (provenance bundles).

See on keerukas möödahiilimine süsteemidest, mis on loodud tarkvara tervikluse tagamiseks. Valideeritud Sigstore'i paketi genereerimisega saab pahavara avaldada PyPI-s või npm-is teekide kompromiteeritud versioone, mis näivad pärinevat ametlikust ja kontrollitud ehituskeskkonnast. Välisele vaatlejale või automatiseeritud tööriistale tundub, et paketil on kehtiv järelevalveahel. See muudab turvataristu ründaja relvaks, tehes kompromiteeritud koodi usaldusväärsemaks kui legitiimse allkirjastamata koodi.

Mälu kraapimine ja külgsuunaline liikumine

Kui pahavara on kanda kinnitanud, alustab see andmete kogumist. See sisaldab kohandatud mälukraapijaid Linuxi, macOS-i ja Windowsi jaoks. Need kraapijad sihivad aktiivsete protsesside mälukaardistusi, et eraldada tundlikke krüpteeritud andmeid, mis on kettal kättesaamatud. See on varjatud lähenemine, kuna see väldib kahtlaste failide loomist, mida lõppseadmete tuvastamise ja tõrje (EDR) süsteem võib märgata.

Uss otsib ka viise levimiseks. See skannib nakatunud süsteemi SSH-võtmete, SCP-konfiguratsioonide ja GitHubi märgendite (tokens) leidmiseks. Kui see leiab kirjutamisõigusega märgendi, kasutab see GitHub Actionsi käitajat, et eraldada saladused otse mälust. Seejärel üritab see nakatada teisi kasutajale kuuluvaid hoidlaid. Käsu- ja kontrollliiklus (C2) on peidetud avaliku GitHubi taristu sisse. Varastatud andmed pakitakse kokku, krüpteeritakse ja saadetakse ründaja kontrolli all olevatesse uutesse avalikesse hoidlatesse. Nendel hoidlatel on sageli kirjeldus "Hades — The End for the Damned".

"Põletatud maa" püsivusmehhanism

Püsivus on Hadese disaini keskne komponent. Pahavara seob end tööjaamaga ja jälgib varastatud sisselogimisandmete olekut. Kui turvameeskond avastab rikkumise ja tühistab varastatud GitHubi märgendi, lülitub Hades reaktiivrežiimi. See käivitab puhastusprotsessi (wiper), mis üritab kustutada kasutaja kohalikud failid.

See on kättemaksutaktika, mis loob intsidentidele reageerijate jaoks kõrgete panustega olukorra. Kui tühistate juurdepääsu, võite kaotada kohalikus masinas olevad andmed. See loogika sunnib organisatsioone tegutsema parandusfaasis väga ettevaatlikult. Pahavara sihib ka 14 erineva AI-agendi konfiguratsioonifaile. See lisab juhiseid, mis käivitavad uue nakatumise alati, kui arendaja küsib oma AI-assistendilt nõu praeguse tööruumi kohta. See tekitab tsükli, kus AI-tööriistalt abi otsimine nakatab süsteemi uuesti.

Proaktiivse kaitse loomine petliku pahavara vastu

Hadese kampaania näitab, et meie toetumine tehisintellektile kui esmasele turvakihile on haavatavus. Peame liikuma mudeli poole, kus AI on koostööpartner, mitte lõplik autoriteet. Riski seisukohast on parim kaitse granuleeritud lähenemine, mis ei toetu üheleainsale väravavahile.

Peamised soovitused keskkonna turvamiseks:

1. Kasutage keelemudelite puhul ranget piiride isoleerimist. Ärge kunagi edastage toorest, usaldamatut koodi AI-skannerile ilma süsteemse juhiseta, mis keelab mudelil selgesõnaliselt täita koodis endas sisalduvaid käske.
2. Auditeerige oma GitHub Actionsi õigusi. Rakendage OIDC-märgiste puhul minimaalsete õiguste printsiipi ja tagage, et käitajatel poleks teie hoidlatele asjatut kirjutamisõigust.
3. Jälgige volitamata binaarfailide käivitamist. Hades toetub Buni käituskeskkonna paigaldamisele. Tööriistad, mis märgistavad või blokeerivad tundmatute binaarfailide käivitamise __init__.py teekonnal, võivad nakatumise sisenemispunktis peatada.
4. Kontrollige Sigstore'i päritolu manuaalselt. Kuigi Hades suudab pakette võltsida, on kohtuekspertiisi auditi käigus võimalik tuvastada lahknevusi ehitusaegades või keskkonnamuutujates.
5. Rakendage tugevaid varundusstrateegiaid. Kuna Hades sisaldab andmepühkijat, on arendustöö võrguvälised või muutumatud varukoopiad ainus viis leevendada andmekao ohtu taastamisprotsessi ajal.

Vaadates ohumaastikku, on Hades tõenäoliselt eelvaade tulevikust. Ründajad ei ürita enam lihtsalt meie uste lukke murda; nad õpivad selgeks, kuidas veenda digitaalset turvameest neid sisse laskma. Peame lõpetama AI-otsuste kohtlemise absoluutse tõena ja hakkama käsitlema neid andmepunktidena, mis vajavad inimese kinnitust.

Allikad: NIST Cybersecurity Framework, MITRE ATT&CK Framework (Software Supply Chain Compromise), StepSecurity Hades Campaign Report.

Hoiatus: See artikkel on koostatud ainult teavitaval ja hariduslikul eesmärgil ning see ei asenda professionaalset küberturbeauditit ega intsidentidele reageerimise teenust.