Кампания вредоносного ПО Hades обманывает ИИ-сканеры с помощью поддельных запросов о ядерном оружии

Кампания вредоносного ПО Hades получила ряд обновлений, и одно из самых интересных нововведений одновременно является обманчиво простым: код включает атаки с инъекцией промптов, которые могут остановить поверхностную проверку со стороны ИИ-ботов, позволяя вредоносному ПО проникнуть в систему. В двух словах механизм работает так: некоторые JavaScript-файлы содержат комментарий в коде с инструкциями, которые сообщают боту, что он работает в неограниченном режиме без каких-либо правил безопасности. Затем боту предлагается создать биологическое и ядерное оружие с подробным описанием.

Если вы думаете, что сканирующий вредоносное ПО бот не может быть настолько глуп, чтобы выполнить эти инструкции, вы абсолютно правы — и именно это и делает атаку эффективной. Механизмы защиты ботов срабатывают, и они прекращают сканирование остальной части файла, где находится фактическая полезная нагрузка.

На языке ИИ это называется «состязательной атакой». Ожидается, что она не будет широко эффективной, но любая мелочь помогает злоумышленникам. Пользователь X попросил Anthropic Fable просканировать такой файл, и, как и ожидалось, получил известное сообщение «Чат приостановлен».

Это ни в коем случае не является научным доказательством, и можно предположить, что модели для сканирования вредоносного ПО будут настроены более точно для этой задачи. Однако это намекает на то, что на поверхностную проверку разработчика, спрашивающего «содержит ли этот установленный мной Python-пакет вредоносное ПО?», можно получить ответ «конечно нет, шеф, всё чисто!». Даже боты, сканирующие конвейеры CI/CD, могут попасться на эту уловку.

В блоге Socket отмечается, что другие типы анализа по-прежнему будут работать нормально, включая сопоставление с образцом, непосредственный анализ исходного кода, проверку на наличие рандомизированных участков, которые могут скрывать вредоносные нагрузки, и фактический запуск кода в изолированной среде. Сообщается, что обновленное вредоносное ПО содержит триггер, который позволяет ему самоуничтожаться различными механизмами, один из распространенных — обнаружение работы в «песочнице».

Это не единственное улучшение. В некоторых случаях механизм загрузки и сама полезная нагрузка находятся в отдельных пакетах, которые обычно устанавливаются вместе; такое разделение в основном неожиданно для обычных сканеров. На этот раз разработчики вредоносного ПО также сделали больший упор на предварительно скомпилированные двоичные файлы, которые часто встречаются в чувствительных к производительности Python-пакетах. Они также позаботились о том, чтобы больше нагрузок срабатывали только при фактической инициализации/запуске пакетов в коде цели (через оператор Python «import»), а не при их установке, что позволяет еще больше избежать поверхностного обнаружения.

Кампания в целом стала более «цепкой»: вместо кражи в основном учетных данных CI/CD, она теперь получает токены сервисных учетных записей npm, PyPI, RubyGems, JFrog и Kubernetes, временные учетные данные AWS, ключи SSH, конфигурации Docker, историю команд оболочки, файлы .env и конфигурации инструментов разработчика ИИ. По оценкам, на данный момент в расширенную бомбардировку входят 37 пакетов Python и 106 пакетов JavaScript, включая множество случаев тайпсквоттинга, например, «rsquests» вместо «requests».

Можно было бы подумать, что целевая аудитория, состоящая из научных сотрудников и ИИ-инженеров, будет помнить об основах безопасности, таких как проверка имен и авторства пакетов... и вы бы разочаровались. Судя по моему собственному опыту системного администратора для очень высокооплачиваемых ИИ-инженеров, значительное их число даже не знает, как настроить Git или основы работы электронной почты. Задумайтесь об этом на секунду.

Источник: Tomshardware.com