Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware Hades

Malware Hades

Por Mezo en Software malicioso, Gusanos
Traducir a:

Los ciberdelincuentes siguen intensificando sus ataques contra las cadenas de suministro de software, y una operación de malware recientemente descubierta, conocida como Hades, se perfila como una de las amenazas más sofisticadas observadas hasta la fecha.

Investigadores descubrieron la campaña Hades, una sofisticada vulnerabilidad en la cadena de suministro que afecta a entornos de desarrollo de Python. El malware se activa inmediatamente al importar un paquete comprometido, utilizando el popular kit de herramientas Bun para ejecutar silenciosamente cargas útiles de varias etapas. Estas cargas útiles son capaces de robar información confidencial, propagarse lateralmente entre sistemas, explotar marcos de seguridad confiables y manipular herramientas de análisis de código basadas en IA mediante técnicas de inyección de comandos adversarios.

Entre los proyectos afectados se encuentran la biblioteca C++ ampliamente utilizada ensmallen y varios paquetes dentro de los ecosistemas de biología computacional, bioinformática y análisis genotipo-fenotipo.

Por qué Hades se distingue

La característica más alarmante de esta campaña es la combinación de múltiples técnicas de ataque avanzadas dentro de un gusano de rápida propagación. Los investigadores de seguridad ya se habían enfrentado a malware centrado en el rastreo de memoria, ataques diseñados para engañar los análisis de seguridad de modelos de lenguaje extensos (LLM) y malware destructivo de borrado de datos. Sin embargo, la integración de estas tres capacidades en una amenaza que se propaga por la cadena de suministro representa un aumento significativo en su sofisticación.

Los investigadores atribuyen la campaña a lo que parece ser la última evolución del grupo de ciberdelincuentes Miasma. Las operaciones anteriores de Miasma desplegaban gusanos autorreplicantes que realizaban la recolección de credenciales en múltiples nubes, activaban la ejecución de código malicioso cuando se accedía a los repositorios a través de entornos de desarrollo integrados (IDE) o agentes de IA, y escaneaban la memoria de los procesos de Linux en busca de datos valiosos.

La operación Hades conserva muchas de estas características principales, incluyendo el robo de credenciales, la propagación tipo gusano y la exfiltración de datos basada en GitHub. Otros paquetes comprometidos identificados durante la investigación incluyen mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea y pyphetools.

Desde la importación de paquetes hasta el compromiso total del sistema

El ataque comienza con un script ofuscado incrustado en el archivo init.py de un paquete, un componente crítico que permite la importación de paquetes de Python. Una vez ejecutado, el malware despliega un entorno de ejecución Bun precompilado y lanza una carga útil maliciosa de JavaScript.

Al utilizar Bun, los atacantes pueden ejecutar operaciones JavaScript complejas incluso en sistemas sin Node.js instalado. Este método permite eludir los controles tradicionales de gestión de paquetes y reduce la visibilidad en los registros del proxy.

El malware cuenta con capacidades de extracción de memoria para sistemas Linux e incluye módulos especializados para macOS y Windows. Estos componentes permiten a los atacantes recuperar información altamente sensible, incluidos datos cifrados almacenados en la memoria.

Cómo burlar las herramientas de seguridad de la IA

Una de las características más innovadoras de la campaña es su capacidad para manipular los escáneres de seguridad automatizados basados en LLM. Los atacantes insertan un bloque de texto cuidadosamente diseñado al principio de los archivos maliciosos que instruye a los sistemas de análisis de IA para que ignoren el código oculto, clasifiquen el paquete como confiable y generen informes que lo declaren seguro.

Los investigadores describen esto como un cambio conceptual importante en las ciberamenazas. En lugar de atacar únicamente las vulnerabilidades del software, los atacantes se dirigen directamente a los procesos de razonamiento de los sistemas de IA. Los escáneres de seguridad que envían código y texto sin procesar a los sistemas de lógica descriptiva sin mecanismos de separación estrictos pueden verse influenciados para producir falsos negativos, lo que permite que los paquetes maliciosos eludan la detección.

Esta técnica pone de relieve un riesgo creciente para las organizaciones que dependen cada vez más de herramientas de seguridad basadas en IA. Dado que los sistemas de gestión de clientes (LLM) siguen siendo altamente vulnerables a la manipulación mediante técnicas de ingeniería social, se prevé que los atacantes continúen atacando tanto a los agentes de seguridad basados en IA como a los usuarios humanos mediante engaños cada vez más sofisticados basados en mensajes.

La infraestructura de GitHub se convirtió en un centro de mando sigiloso.

La arquitectura de mando y control de Hades se basa en tres canales de comunicación separados alojados en la infraestructura pública de GitHub, lo que permite que el tráfico malicioso se mezcle a la perfección con la actividad legítima de los desarrolladores.

Las credenciales robadas se cifran localmente mediante un proceso de varias etapas que incluye serialización y compresión, antes de ser subidas a repositorios públicos de GitHub controlados por el atacante. Estos repositorios suelen estar etiquetados con la descripción: «Hades: El fin de los condenados».

La estrategia de exfiltración del malware reproduce técnicas previamente asociadas con Miasma, haciendo que GitHub parezca un destino normal mientras oculta la actividad maliciosa.

Aprovechar la confianza para propagarse a través de las redes

Una característica definitoria de la campaña es su capacidad para propagarse a través de entornos mediante el abuso de tecnologías que normalmente se utilizan para mejorar la seguridad y la integridad del software, entre las que se incluyen:

  • Secure Shell (SSH) y Secure Copy Protocol (SCP)
  • OpenID Connect (OIDC)
  • Niveles de la cadena de suministro para artefactos de software (SLSA)

Cuando se ejecuta dentro de un ejecutor de GitHub Actions, el malware busca variables OIDC disponibles, elude los mecanismos de aplicación de firmas del registro y genera registros de procedencia SLSA firmados criptográficamente mediante Sigstore. A continuación, descarga las bibliotecas objetivo, inyecta cargas útiles maliciosas y republica versiones comprometidas tanto en el Índice de Paquetes de Python (PyPI) como en npm utilizando credenciales robadas y datos de procedencia falsificados.

Como resultado, los paquetes maliciosos parecen provenir de entornos de compilación legítimos de las organizaciones y poseen una verificación criptográfica aparentemente válida.

Robo de secretos, manipulación de agentes de IA y persistencia destructiva.

Más allá del envenenamiento de paquetes y el robo de credenciales, Hades introduce varias capacidades adicionales diseñadas para maximizar el impacto a largo plazo:

  • Extracción de secretos directamente de la memoria del ejecutor de GitHub Actions sin escribir datos en el disco ni generar tráfico de red sospechoso.
  • Selección de archivos de configuración y conjuntos de reglas asociados a 14 agentes y plataformas de IA diferentes.
  • Implementación de mensajes personalizados y ganchos de ejecución que inician automáticamente comandos maliciosos de Bun cuando los asistentes de IA interactúan con espacios de trabajo infectados.
  • Establecimiento de acceso persistente en sistemas comprometidos.
  • Supervisión continua de los tokens de autenticación robados.
  • Activación automática de un componente de borrado destructivo si se revoca un token robado, lo que conlleva la eliminación de los archivos del usuario.

Un vistazo al futuro de las ciberamenazas

La campaña Hades demuestra cómo el malware moderno está evolucionando más allá de las técnicas de explotación tradicionales. Al combinar la vulneración de la cadena de suministro, el rastreo de memoria, la manipulación de la IA, el robo de credenciales, el abuso de la confianza criptográfica, el movimiento lateral y las capacidades destructivas dentro de un gusano autopropagante, la operación ilustra una nueva generación de ciberamenazas.

Quizás el desarrollo más preocupante sea el ataque directo a los sistemas de seguridad basados en IA. A medida que las organizaciones integran cada vez más herramientas basadas en LLM en sus flujos de trabajo de desarrollo y seguridad, los atacantes comienzan a considerar estos sistemas como superficies de ataque por derecho propio. El caso Hades nos recuerda que el futuro de la ciberseguridad implicará defender no solo el software y la infraestructura, sino también los mecanismos de toma de decisiones de la inteligencia artificial.

Artículos Relacionados

Tendencias

Error de validación de correo electrónico (estafa...

Suplantación de identidad (phishing), Correo basura
La estafa del correo electrónico "Error de validación de correo electrónico" es una campaña de phishing que se hace pasar por una notificación automática de un servicio de correo electrónico. El mensaje fraudulento afirma que varios correos entrantes han sido bloqueados debido a un problema de validación y se encuentran en cuarentena. Al presentar lo que parece ser un problema técnico que...

Mas Visto

Cargando...