Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Hades-Malware

Hades-Malware

Von Mezo in Malware, Würmer
Übersetzen Sie in:

Cyberkriminelle intensivieren weiterhin ihre Angriffe auf Software-Lieferketten, wobei eine neu entdeckte Malware-Operation namens Hades sich als eine der bisher raffiniertesten Bedrohungen herausstellt.

Forscher haben die Hades-Kampagne aufgedeckt, eine hochentwickelte Malware, die Lieferketten kompromittiert und Python-Entwicklungsumgebungen ins Visier nimmt. Die Schadsoftware aktiviert sich sofort nach dem Import eines kompromittierten Pakets und nutzt das weit verbreitete Bun-Toolkit, um unbemerkt mehrstufige Schadprogramme auszuführen. Diese Schadprogramme sind in der Lage, sensible Informationen zu stehlen, sich lateral in Systemen auszubreiten, vertrauenswürdige Sicherheitsframeworks auszunutzen und KI-gestützte Codeanalysetools durch gezielte Prompt-Injection-Techniken zu manipulieren.

Zu den betroffenen Projekten gehören die weit verbreitete C++-Bibliothek ensmallen und mehrere Pakete innerhalb der Ökosysteme der Computerbiologie, Bioinformatik und Genotyp-Phänotyp-Analyse.

Warum Hades so besonders ist

Das alarmierendste Merkmal dieser Kampagne ist die Kombination mehrerer hochentwickelter Angriffstechniken in einem sich rasant verbreitenden Wurm. Sicherheitsforscher sind bereits auf Malware gestoßen, die auf Memory Scraping, Angriffe zur Irreführung von Sicherheitsanalysen großer Sprachmodelle (LLM) und zerstörerische Wiper-Malware abzielt. Die Integration all dieser Fähigkeiten in eine sich selbst verbreitende Bedrohung der Lieferkette stellt jedoch eine deutliche Steigerung der Komplexität dar.

Forscher führen die Kampagne auf die neueste Entwicklungsstufe des Bedrohungsakteurs Miasma zurück. Frühere Miasma-Operationen setzten selbstreplizierende Würmer ein, die Anmeldeinformationen in mehreren Cloud-Umgebungen sammelten, die Ausführung von Schadcode auslösten, sobald über integrierte Entwicklungsumgebungen (IDEs) oder KI-Agenten auf Repositories zugegriffen wurde, und den Arbeitsspeicher von Linux-Prozessen nach wertvollen Daten durchsuchten.

Die Hades-Operation weist viele dieser Kernmerkmale auf, darunter den Diebstahl von Zugangsdaten, die wurmartige Verbreitung und die Datenexfiltration über GitHub. Zu den weiteren kompromittierten Paketen, die im Zuge der Untersuchung identifiziert wurden, gehören mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea und pyphetools.

Vom Paketimport bis zur vollständigen Systemkompromittierung

Der Angriff beginnt mit einem verschleierten Skript, das in die init.py-Datei eines Pakets eingebettet ist – einer kritischen Komponente, die den Import von Python-Paketen ermöglicht. Nach der Ausführung installiert die Schadsoftware eine vorkompilierte Bun-Laufzeitumgebung und startet eine schädliche JavaScript-Payload.

Durch die Nutzung von Bun können Angreifer komplexe JavaScript-Operationen selbst auf Systemen ohne installiertes Node.js ausführen. Dieser Ansatz hilft, herkömmliche Paketverwaltungsmechanismen zu umgehen und die Transparenz in Proxy-Logs zu verringern.

Die Schadsoftware verfügt über Funktionen zum Auslesen des Arbeitsspeichers von Linux-Systemen und enthält spezielle Speicherextraktionsmodule für macOS und Windows. Mithilfe dieser Komponenten können Angreifer hochsensible Informationen, einschließlich verschlüsselter Daten im Arbeitsspeicher, wiederherstellen.

KI-Sicherheitstools überlisten

Eine der innovativsten Funktionen der Kampagne ist ihre Fähigkeit, automatisierte, LLM-basierte Sicherheitsscanner zu manipulieren. Angreifer platzieren einen sorgfältig präparierten Textblock am Anfang schädlicher Dateien, der KI-Analysesysteme anweist, versteckten Code zu ignorieren, das Paket als vertrauenswürdig einzustufen und Berichte zu erstellen, die es als sicher deklarieren.

Forscher beschreiben dies als einen grundlegenden Paradigmenwechsel bei Cyberbedrohungen. Anstatt sich ausschließlich auf Software-Schwachstellen zu konzentrieren, zielen Angreifer direkt auf die Denkprozesse von KI-Systemen ab. Sicherheitsscanner, die ungefilterten Quellcode und Text ohne strenge Trennmechanismen an LLMs übermitteln, können zu falsch-negativen Ergebnissen verleitet werden, wodurch Schadsoftware unentdeckt bleibt.

Diese Technik verdeutlicht ein wachsendes Risiko für Organisationen, die zunehmend auf KI-gestützte Sicherheitstools angewiesen sind. Da LLMs weiterhin sehr anfällig für Manipulationen im Stil von Social Engineering sind, ist zu erwarten, dass Angreifer künftig sowohl KI-gesteuerte Sicherheitsagenten als auch menschliche Nutzer mit immer ausgefeilteren, auf Aufforderungen basierenden Täuschungsmanövern ins Visier nehmen werden.

Die GitHub-Infrastruktur wurde in ein unauffälliges Kommandozentrum verwandelt

Die Hades-Befehls- und Kontrollarchitektur basiert auf drei separaten Kommunikationskanälen, die auf der öffentlichen GitHub-Infrastruktur gehostet werden, wodurch sich bösartiger Datenverkehr nahtlos in die Aktivitäten legitimer Entwickler einfügen kann.

Gestohlene Zugangsdaten werden lokal in einem mehrstufigen Prozess verschlüsselt, der Serialisierung und Komprimierung umfasst, bevor sie in von Angreifern kontrollierte öffentliche GitHub-Repositories hochgeladen werden. Diese Repositories tragen üblicherweise die Beschreibung: „Hades – Das Ende der Verdammten“.

Die Exfiltrationsstrategie der Malware ähnelt Techniken, die zuvor mit Miasma in Verbindung gebracht wurden. Dadurch erscheint GitHub als normales Ziel, während bösartige Aktivitäten verschleiert werden.

Vertrauen ausnutzen, um sich in Netzwerken zu verbreiten

Ein charakteristisches Merkmal der Kampagne ist ihre Fähigkeit, sich in verschiedenen Umgebungen zu verbreiten, indem sie Technologien missbraucht, die typischerweise zur Verbesserung der Sicherheit und Softwareintegrität eingesetzt werden, darunter:

  • Secure Shell (SSH) und Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Lieferkettenebenen für Softwareartefakte (SLSA)

Wird die Malware innerhalb eines GitHub Actions Runners ausgeführt, sucht sie nach verfügbaren OIDC-Variablen, umgeht Mechanismen zur Durchsetzung von Registry-Signaturen und generiert mithilfe von Sigstore kryptografisch signierte SLSA-Herkunftsdatensätze. Anschließend lädt sie Zielbibliotheken herunter, injiziert schädliche Nutzdaten und veröffentlicht kompromittierte Versionen sowohl im Python Package Index (PyPI) als auch auf npm unter Verwendung gestohlener Zugangsdaten und gefälschter Herkunftsdaten.

Als Ergebnis scheinen bösartige Pakete aus legitimen Build-Umgebungen von Organisationen zu stammen und verfügen über eine scheinbar gültige kryptografische Verifizierung.

Geheimer Diebstahl, Manipulation durch KI-Agenten und destruktive Beharrlichkeit

Neben Paketvergiftung und Zugangsdatendiebstahl bietet Hades mehrere zusätzliche Funktionen, die darauf ausgelegt sind, die langfristige Wirkung zu maximieren:

  • Extraktion von Geheimnissen direkt aus dem Speicher des GitHub Actions Runners, ohne Daten auf die Festplatte zu schreiben oder verdächtigen Netzwerkverkehr zu erzeugen.
  • Targeting von Konfigurationsdateien und Regelsätzen, die mit 14 verschiedenen KI-Agenten und -Plattformen verknüpft sind.
  • Bereitstellung von benutzerdefinierten Eingabeaufforderungen und Ausführungs-Hooks, die automatisch bösartige Bun-Befehle starten, wenn KI-Assistenten mit infizierten Arbeitsbereichen interagieren.
  • Einrichtung eines dauerhaften Zugriffs auf kompromittierte Systeme.
  • Kontinuierliche Überwachung gestohlener Authentifizierungstoken.
  • Automatische Aktivierung einer destruktiven Löschkomponente bei Widerruf eines gestohlenen Tokens, was zur Löschung der Benutzerdateien führt.

Ein Blick in die Zukunft der Cyberbedrohungen

Die Hades-Kampagne verdeutlicht, wie sich moderne Malware über traditionelle Angriffsmethoden hinaus weiterentwickelt. Durch die Kombination von Lieferkettenkompromittierung, Speicherauslesen, KI-Manipulation, Zugangsdatendiebstahl, kryptografischem Vertrauensmissbrauch, lateraler Bewegung und zerstörerischen Fähigkeiten innerhalb eines sich selbst verbreitenden Wurms illustriert die Operation eine neue Generation von Cyberbedrohungen.

Die wohl besorgniserregendste Entwicklung ist die direkte Angriffsfläche für KI-gestützte Sicherheitssysteme. Da Unternehmen zunehmend LLM-basierte Tools in ihre Entwicklungs- und Sicherheitsprozesse integrieren, betrachten Angreifer diese Systeme als eigenständige Angriffsflächen. Hades verdeutlicht eindrücklich, dass die Cybersicherheit der Zukunft nicht nur den Schutz von Software und Infrastruktur, sondern auch die Entscheidungsmechanismen künstlicher Intelligenz umfassen wird.

Im Trend

Am häufigsten gesehen

Wird geladen...