Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant Hades

Logiciel malveillant Hades

Par Mezo en Logiciels malveillants, Vers
Se traduisent par :

Les cybercriminels continuent d'intensifier leurs attaques contre les chaînes d'approvisionnement de logiciels, avec une opération de logiciel malveillant récemment découverte et connue sous le nom d'Hades, qui apparaît comme l'une des menaces les plus sophistiquées observées à ce jour.

Des chercheurs ont découvert la campagne Hades, une faille de sécurité très sophistiquée ciblant les environnements de développement Python. Le logiciel malveillant s'active dès l'importation d'un paquet compromis, exploitant la boîte à outils Bun pour exécuter silencieusement des charges utiles en plusieurs étapes. Ces charges utiles sont capables de dérober des informations sensibles, de se propager latéralement entre les systèmes, d'exploiter les frameworks de sécurité de confiance et de manipuler les outils d'analyse de code basés sur l'IA grâce à des techniques d'injection de requêtes malveillantes.

Parmi les projets touchés figurent la bibliothèque C++ largement utilisée ensmallen et plusieurs packages au sein des écosystèmes de biologie computationnelle, de bioinformatique et d'analyse génotype-phénotype.

Pourquoi Hadès se distingue

La caractéristique la plus alarmante de cette campagne réside dans la combinaison de plusieurs techniques d'attaque avancées au sein d'un ver à propagation rapide. Les chercheurs en sécurité ont déjà rencontré des logiciels malveillants axés sur l'extraction de données en mémoire, des attaques conçues pour tromper l'analyse de sécurité des modèles de langage étendus (LLM) et des logiciels malveillants destructeurs de type « wiper ». Toutefois, l'intégration de ces trois fonctionnalités dans une menace auto-réplicative ciblant la chaîne d'approvisionnement représente une escalade significative en termes de sophistication.

Les chercheurs attribuent cette campagne à ce qui semble être la dernière évolution du groupe de cybercriminels Miasma. Les opérations précédentes de Miasma déployaient des vers autoréplicatifs qui procédaient à la collecte d'identifiants multicloud, déclenchaient l'exécution de code malveillant lors de l'accès aux dépôts via des environnements de développement intégrés (IDE) ou des agents d'IA, et analysaient la mémoire des processus Linux à la recherche de données sensibles.

L'opération Hades conserve plusieurs de ces caractéristiques fondamentales, notamment le vol d'identifiants, la propagation de type ver et l'exfiltration de données via GitHub. Parmi les autres logiciels compromis identifiés lors de l'enquête figurent mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea et pyphetools.

De l’importation de paquets à la compromission totale du système

L'attaque débute par un script obfusqué intégré au fichier init.py d'un paquet, un composant essentiel permettant l'importation de paquets Python. Une fois exécuté, le logiciel malveillant déploie un environnement d'exécution Bun précompilé et lance une charge utile JavaScript malveillante.

En s'appuyant sur Bun, les attaquants peuvent exécuter des opérations JavaScript complexes même sur des systèmes où Node.js n'est pas installé. Cette approche permet de contourner les contrôles traditionnels de gestion des paquets et réduit la visibilité dans les journaux de proxy.

Ce logiciel malveillant est doté de capacités d'exploration de la mémoire pour les systèmes Linux et comprend des modules d'extraction de mémoire spécialisés pour macOS et Windows. Ces composants permettent aux attaquants de récupérer des informations hautement sensibles, notamment des données chiffrées stockées en mémoire.

Déjouer les outils de sécurité de l’IA

L'une des caractéristiques les plus novatrices de cette campagne réside dans sa capacité à manipuler les scanners de sécurité automatisés basés sur LLM. Les attaquants placent un bloc de texte soigneusement conçu au début des fichiers malveillants, ordonnant aux systèmes d'analyse par IA d'ignorer le code caché, de classer le paquet comme fiable et de générer des rapports le déclarant sûr.

Les chercheurs décrivent cela comme un changement conceptuel majeur dans le domaine des cybermenaces. Au lieu de se concentrer uniquement sur les vulnérabilités logicielles, les attaquants ciblent directement les processus de raisonnement des systèmes d'IA. Les scanners de sécurité qui soumettent du code et du texte bruts à des modèles de langage sans mécanismes de séparation stricts peuvent être manipulés et produire des faux négatifs, permettant ainsi à des logiciels malveillants d'échapper à la détection.

Cette technique met en lumière un risque croissant pour les organisations qui dépendent de plus en plus des outils de sécurité basés sur l'IA. Les systèmes de gestion de l'apprentissage (LLM) restant très vulnérables aux manipulations de type ingénierie sociale, les attaquants devraient continuer à cibler à la fois les agents de sécurité pilotés par l'IA et les utilisateurs humains au moyen de techniques de tromperie de plus en plus sophistiquées, basées sur des invites.

L’infrastructure de GitHub transformée en centre de commandement furtif

L'architecture de commande et de contrôle d'Hades repose sur trois canaux de communication distincts hébergés sur l'infrastructure publique de GitHub, permettant au trafic malveillant de se fondre parfaitement avec l'activité légitime des développeurs.

Les identifiants volés sont chiffrés localement via un processus en plusieurs étapes comprenant la sérialisation et la compression avant d'être téléchargés sur des dépôts GitHub publics contrôlés par l'attaquant. Ces dépôts sont généralement étiquetés avec la description : « Hadès — La fin des damnés ».

La stratégie d'exfiltration du logiciel malveillant imite des techniques précédemment associées à Miasma, faisant apparaître GitHub comme une destination normale tout en dissimulant une activité malveillante.

Exploiter la confiance pour se propager à travers les réseaux

L'une des caractéristiques déterminantes de cette campagne est sa capacité à se propager dans différents environnements en détournant des technologies généralement utilisées pour renforcer la sécurité et l'intégrité des logiciels, notamment :

  • Secure Shell (SSH) et Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA)

Lorsqu'il est exécuté dans un runner GitHub Actions, le malware recherche les variables OIDC disponibles, contourne les mécanismes de vérification de signature du registre et génère des enregistrements de provenance SLSA signés cryptographiquement à l'aide de Sigstore. Il télécharge ensuite les bibliothèques cibles, injecte des charges utiles malveillantes et republie les versions compromises sur PyPI et npm en utilisant des identifiants volés et des données de provenance falsifiées.

Par conséquent, les paquets malveillants semblent provenir d'environnements de construction organisationnels légitimes et possèdent une vérification cryptographique apparemment valide.

Vol secret, manipulation d’agents IA et persistance destructive

Au-delà de l'empoisonnement de colis et du vol de mots de passe, Hadès introduit plusieurs fonctionnalités supplémentaires conçues pour maximiser l'impact à long terme :

  • Extraction de secrets directement depuis la mémoire du runner GitHub Actions sans écrire de données sur disque ni générer de trafic réseau suspect.
  • Ciblage des fichiers de configuration et des ensembles de règles associés à 14 agents et plateformes d'IA différents.
  • Déploiement d'invites personnalisées et de points d'exécution qui lancent automatiquement des commandes Bun malveillantes lorsque les assistants IA interagissent avec des espaces de travail infectés.
  • Établissement d'un accès persistant sur des systèmes compromis.
  • Surveillance continue des jetons d'authentification volés.
  • Activation automatique d'un composant d'effacement destructeur en cas de révocation d'un jeton volé, entraînant la suppression des fichiers utilisateur.

Un aperçu de l’avenir des cybermenaces

La campagne Hades démontre comment les logiciels malveillants modernes évoluent au-delà des techniques d'exploitation traditionnelles. En combinant la compromission de la chaîne d'approvisionnement, l'extraction de données en mémoire, la manipulation par intelligence artificielle, le vol d'identifiants, l'abus de confiance cryptographique, la propagation latérale et des capacités destructrices au sein d'un ver auto-réplicatif, cette opération illustre une nouvelle génération de cybermenaces.

L'évolution la plus préoccupante est sans doute le ciblage direct des systèmes de sécurité basés sur l'IA. À mesure que les organisations intègrent de plus en plus d'outils basés sur l'apprentissage automatique dans leurs processus de développement et de sécurité, les attaquants commencent à considérer ces systèmes comme des surfaces d'attaque à part entière. Hades nous rappelle avec force que l'avenir de la cybersécurité passera par la défense non seulement des logiciels et des infrastructures, mais aussi des mécanismes de prise de décision de l'intelligence artificielle.

Tendance

Erreur de validation d'e-mail - Arnaque par e-mail

Hameçonnage, Courrier indésirable
L'arnaque par courriel « Erreur de validation d'e-mail » est une campagne d'hameçonnage qui se fait passer pour une notification automatique provenant d'un service de messagerie. Le message frauduleux prétend que plusieurs courriels entrants ont été bloqués en raison d'un problème de validation et sont mis en quarantaine. En simulant un problème technique affectant la distribution des...

Le plus regardé

Chargement...