新型惡意軟體活動利用虛假核武器提示欺騙AI掃描器

近日，名為Hades的惡意軟體活動引起了安全研究人員的注意。該活動主要針對科學和機器學習領域的開發包，透過供應鏈攻擊傳播惡意軟體。最新升級中，攻擊者採用了一種簡單但有趣的策略：在JavaScript檔案中加入包含提示注入攻擊的程式碼註釋。這些註釋指示AI機器人當前處於無限制模式，沒有安全指南，並要求機器人生成生物武器和核武器的詳細描述。這聽起來像是天方夜譚，但事實上，正是利用了AI的安全機制——當機器人遇到這種危險請求時，它會觸發安全暫停，從而停止掃描檔案剩餘部分，而真正的惡意負載就藏在那裡。

這種技術被稱為“對抗性攻擊”，雖然不太可能大規模生效，但足以擾亂一些簡單的安全檢查。例如，有使用者嘗試用Anthropic的Fable模型掃描此類檔案，結果收到了“聊天已暫停”的訊息。雖然這不代表所有AI模型都會中招，但足以讓粗心的開發者誤以為安裝的包是安全的。此外，在CI/CD流水線中執行的掃描機器人也可能被此類手段欺騙。

除了對抗性攻擊，惡意軟體還進行了其他升級。例如，在某些情況下，載入機制和負載被分拆到兩個不同的包中，而這兩個包通常會被一起安裝，這使得簡單的掃描器難以發現。攻擊者還更多地使用了預編譯的二進位制檔案（常見於效能敏感的Python包），並確保負載僅在包被實際初始化或匯入時才執行，而非在安裝時觸發，從而進一步規避檢測。

在竊取憑證方面，Hades的貪婪程度也有所提升。除了繼續竊取CI/CD憑證外，現在它還會竊取npm、PyPI、RubyGems、JFrog和Kubernetes的服務賬戶令牌，以及AWS臨時憑證、SSH金鑰、Docker配置、Shell歷史記錄、.env檔案和AI開發工具配置。據估算，目前已知有37個Python包和106個JavaScript包參與了這次攻擊活動，其中包括大量拼寫錯誤的軟體包名稱，例如將“requests”偽裝成“rsquests”。

諷刺的是，目標使用者群——科學家和AI工程師——往往缺乏基本的安全意識。據作者在擔任系統管理員時的經驗，很多高薪AI工程師甚至不會配置Git或理解郵件工作原理。這不禁讓人擔憂，即便惡意軟體手段再高明，也抵不過人為疏忽。安全專家建議，開發者應仔細驗證包名和作者，並使用沙箱環境執行可疑程式碼。