Hadesマルウェア

サイバー犯罪者はソフトウェアサプライチェーンに対する攻撃を激化させ続けており、新たに発見されたマルウェア「Hades」は、これまでに確認された中で最も高度な脅威の一つとして浮上している。

研究者らは、Python開発環境を標的とした高度なサプライチェーン侵害である「Hades Campaign」を発見した。このマルウェアは、侵害されたパッケージがインポートされると即座に起動し、広く普及しているBunツールキットを利用して、複数の段階からなるペイロードを密かに実行する。これらのペイロードは、機密情報の窃盗、システム間を横断的な移動、信頼できるセキュリティフレームワークの悪用、そして敵対的なプロンプト注入技術によるAI搭載コード解析ツールの操作などが可能だ。

影響を受けるプロジェクトの中には、広く利用されているC++ライブラリensmallenや、計算生物学、バイオインフォマティクス、遺伝子型・表現型解析のエコシステムにおけるいくつかのパッケージが含まれる。

ハデスが際立つ理由

このキャンペーンで最も憂慮すべき点は、急速に拡散するワームの中に複数の高度な攻撃手法が組み込まれていることである。セキュリティ研究者はこれまで、メモリスクレイピングを目的としたマルウェア、大規模言語モデル（LLM）のセキュリティ分析を誤誘導する攻撃、破壊的なワイパーマルウェアなどに遭遇してきた。しかし、これら3つの機能をすべて自己拡散型のサプライチェーン脅威に統合したことは、その高度化を著しく示している。

研究者らは、今回の攻撃キャンペーンは、Miasmaという脅威アクターの最新の進化形によるものだと考えている。以前のMiasmaの攻撃では、自己複製型のワームが展開され、マルチクラウドの認証情報収集、統合開発環境（IDE）やAIエージェントを介してリポジトリにアクセスされた際の悪意のあるコード実行、Linuxプロセスのメモリをスキャンして貴重なデータの収集などが行われていた。

Hades作戦は、認証情報の窃盗、ワームのような拡散、GitHubを介したデータ漏洩など、これらの主要な特徴の多くを保持しています。調査中に特定されたその他の侵害されたパッケージには、mflux-streamlit、nhmpy、ppkt2synergy、embiggen、gpsea、およびpyphetoolsが含まれます。

パッケージのインポートからシステム全体の侵害まで

攻撃は、パッケージのinit.pyファイル（Pythonパッケージのインポートを可能にする重要なコンポーネント）に埋め込まれた難読化されたスクリプトから始まります。このスクリプトが実行されると、マルウェアは事前にコンパイルされたBunランタイムを展開し、悪意のあるJavaScriptペイロードを起動します。

Bunを利用することで、攻撃者はNode.jsがインストールされていないシステムでも複雑なJavaScript操作を実行できます。この手法は、従来のパッケージ管理制御を回避し、プロキシログにおける可視性を低減するのに役立ちます。

このマルウェアは、Linuxシステム向けのメモリスクレイピング機能を備えており、macOSおよびWindows向けの専用メモリ抽出モジュールも含まれています。これらのコンポーネントにより、攻撃者はメモリ内に存在する暗号化データを含む、非常に機密性の高い情報を復元することが可能になります。

AIセキュリティツールを出し抜く

このキャンペーンの最も革新的な特徴の一つは、自動化されたLLMベースのセキュリティスキャナーを操作できる点です。攻撃者は、巧妙に作成されたテキストブロックを悪意のあるファイルの先頭に配置し、AI分析システムに対し、隠されたコードを無視し、パッケージを信頼できるものとして分類し、安全であると宣言するレポートを生成するように指示します。

研究者らはこれをサイバー脅威における大きな概念的転換点と捉えている。攻撃者はソフトウェアの脆弱性だけを狙うのではなく、AIシステムの推論プロセスを直接標的にするようになった。厳密な分離メカニズムなしに生のコードやテキストをLLMに送信するセキュリティスキャナーは、誤検出（偽陰性）を生成するように誘導され、悪意のあるパッケージが検出を回避してしまう可能性がある。

この手法は、AIを活用したセキュリティツールへの依存度が高まる組織が直面するリスクの増大を浮き彫りにしています。LLM（ローカルリンク管理）はソーシャルエンジニアリング型の操作に対して依然として脆弱であるため、攻撃者は、ますます巧妙化するプロンプトベースの欺瞞によって、AI駆動型セキュリティエージェントと人間のユーザーの両方を標的にし続けると予想されます。

GitHubのインフラストラクチャが秘密裏のコマンドセンターに変貌

Hadesのコマンド＆コントロールアーキテクチャは、パブリックなGitHubインフラストラクチャ上でホストされる3つの独立した通信チャネルに依存しており、悪意のあるトラフィックが正当な開発者の活動にシームレスに溶け込むことを可能にしている。

盗まれた認証情報は、シリアル化と圧縮を含む多段階プロセスを経てローカルで暗号化された後、攻撃者が管理する公開GitHubリポジトリにアップロードされます。これらのリポジトリには、一般的に「Hades — The End for the Damned（ハデス ― 呪われた者の終焉）」という説明が付けられています。

このマルウェアのデータ流出戦略は、以前Miasmaに関連付けられていた手法を模倣しており、GitHubを通常の宛先に見せかけながら、悪意のある活動を隠蔽する。

信頼を利用してネットワーク全体に拡散する

このキャンペーンの特徴は、セキュリティとソフトウェアの完全性を強化するために通常使用される技術を悪用することで、様々な環境を通じて拡散できる能力にある。

• セキュアシェル（SSH）とセキュアコピープロトコル（SCP）
• OpenID Connect (OIDC)
• ソフトウェア成果物のサプライチェーンレベル（SLSA）

GitHub Actionsランナー内で実行されると、このマルウェアは利用可能なOIDC変数を検索し、レジストリ署名強制メカニズムを回避し、Sigstoreを使用して暗号署名されたSLSAプロベナンスレコードを生成します。その後、ターゲットライブラリをダウンロードし、悪意のあるペイロードを注入し、盗まれた認証情報と偽造されたプロベナンスデータを使用して、侵害されたバージョンをPython Package Index（PyPI）とnpmの両方に再公開します。

その結果、悪意のあるパッケージは、正規の組織の構築環境から発生したように見え、一見有効な暗号化検証を備えているように見える。

秘密窃盗、AIエージェント操作、破壊的持続性

Hadesは、パッケージへの毒物混入や認証情報の盗難といった機能に加え、長期的な影響を最大化するために設計されたいくつかの追加機能も導入しています。

• データをディスクに書き込んだり、不審なネットワークトラフィックを発生させたりすることなく、GitHub Actionsランナーのメモリから直接シークレットを抽出する。
• 14種類の異なるAIエージェントおよびプラットフォームに関連付けられた設定ファイルとルールセットを対象とする。
• AIアシスタントが感染したワークスペースとやり取りする際に、悪意のあるBunコマンドを自動的に起動するカスタムプロンプトと実行フックを展開する。
• 侵害されたシステム上で永続的なアクセスを確立する。
• 盗難された認証トークンの継続的な監視。
• 盗まれたトークンが失効した場合、破壊的なワイパーコンポーネントが自動的に起動し、ユーザーファイルが削除されます。

サイバー脅威の未来を垣間見る

Hadesキャンペーンは、現代のマルウェアが従来の攻撃手法を超えて進化していることを示しています。サプライチェーンの侵害、メモリのスクレイピング、AI操作、認証情報の窃盗、暗号化技術の悪用、横方向の移動、そして自己増殖型ワームによる破壊能力を組み合わせることで、この作戦は新世代のサイバー脅威を浮き彫りにしています。

おそらく最も懸念されるのは、AIを活用したセキュリティシステムが直接標的とされるようになったことです。組織がLLM（論理レベル管理）ツールを開発およびセキュリティワークフローに統合するにつれ、攻撃者はこれらのシステム自体を攻撃対象として扱うようになっています。Hadesの事例は、サイバーセキュリティの未来はソフトウェアやインフラストラクチャだけでなく、人工知能の意思決定メカニズムも防御する必要があることを強く示唆しています。