Hades恶意软件：专门欺骗AI安全智能体的新型攻击活动

威胁行为者正持续对软件供应链发动攻击，一种以冥王之名命名的恶意软件悄然登场。

这场被命名为"Hades行动"的新型攻击活动近日被安全研究人员发现，被描述为一种"高度复杂"的供应链攻击。该活动专门针对Python开发者环境，并在受感染的软件包被导入时立即执行恶意代码。攻击者利用流行的Bun工具包静默执行多层载荷，可窃取敏感数据、在受攻击系统间横向移动、利用常见安全框架的漏洞，甚至通过对抗性提示注入技术劫持AI安全分析系统。

值得关注的是，此次行动还利用了广受欢迎的C++库ensmallen，以及计算生物学、生物信息学和基因型-表现型分析等生态系统中的相关软件包。

Beauceron Security的David Shipley指出，这款恶意软件最具创新性之处在于其多种高级战术的组合运用。他表示，此前业界已见过专注于内存的恶意软件、试图通过隐藏提示词干扰大语言模型分析的攻击手段，以及具备数据擦除能力的恶意软件。

"但将这三者融合于一个快速传播的蠕虫程序之中，那就是另一个级别的噩梦了，"他说，"我认为这就是未来攻击的发展方向。"

Hades行动的发现者

Hades行动由StepSecurity的研究人员发现，他们将其定性为"Miasma"威胁行为者的最新演进形态。此前，研究人员记录了Miasma发动的多种攻击手段，包括：释放自我复制蠕虫进行多云凭证扫描、在集成开发环境（IDE）或AI智能体访问文件夹时触发受感染仓库中的代码执行，以及扫描和读取Linux进程内存等技术手段。

研究人员指出，Hades采用了与Miasma相同的凭证收集方法、自我复制蠕虫逻辑和基于GitHub的数据窃取模式。除ensmallen之外，受感染的软件包还包括mflux-streamlit、nhmpy、ppkt2synergy、embiggen、gpsea和pyphetools。

攻击入口与执行机制

此次行动的入口点是一段嵌入Python包`__init__.py`文件中的简单混淆脚本。`__init__.py`是Python识别包并导入模块的核心组件。一旦获得访问权限，攻击者便会植入预编译的Bun运行时二进制文件并执行其JavaScript载荷。Bun使恶意软件得以在没有安装Node.js的环境中运行复杂的JavaScript任务，同时绕过传统包管理器的控制机制和代理日志记录。

该恶意软件能够抓取Linux内存映射，还引入了专为macOS和Windows定制的内存抓取器，使攻击者得以提取敏感的加密数据。

欺骗AI安全扫描器

更值得警惕的是，攻击者还能够规避大语言模型自动扫描系统的检测。实现方式相当直接——在文件顶部添加一段文本，指令模型忽略下方的隐藏代码，将该软件包分类为"已验证、无威胁"，并生成标注其为安全的报告。

StepSecurity研究人员将这一手法描述为"重要的概念性转变"，即攻击者开始编写专门针对AI系统认知逻辑的载荷。研究人员写道："将原始文本直接传入大语言模型而不设置严格边界隔离的扫描器，可能被诱导生成误判结论，从而使恶意软件包绕过组织的分析检测。"

Beauceron Security的Shipley认同这一判断，并指出攻击者将越来越多地将目标转向终端大语言模型驱动的智能体。原因在于："目前没有可靠的防御手段。大语言模型极易受到社会工程学攻击。"他指出，这本质上就是对机器人实施的"网络钓鱼"，只是被重新包装成了"提示词工程"。

"当所有人都在担忧大语言模型驱动的漏洞发现和自动化漏洞利用时，真正让我夜不能寐的，是像这样由大语言模型辅助创建的智能恶意软件，以及针对人类和机器人的AI驱动钓鱼攻击，"Shipley说。

命令控制架构与横向移动

Hades行动的命令与控制（C2）基础设施利用GitHub公共平台的三条独立信道进行通信，使恶意流量混入正常流量之中。被窃取的凭证在本地经过混合加密处理（序列化、压缩后推送至攻击者控制的新建公共GitHub仓库）。被窃取数据的仓库描述均为"Hades — The End for the Damned（冥界——罪人的终结）"。

研究人员指出，该行动的核心能力之一是在网络中传播并实现横向移动，且恰恰是利用了原本用于保护系统的安全机制，包括安全外壳协议（SSH）、安全复制协议（SCP）、OpenID Connect（OIDC）以及软件制品供应链安全级别框架（SLSA）。

以GitHub Actions工作流运行器为例，恶意软件会检测OIDC变量，随后绕过注册表签名策略，通过Sigstore生成经加密签名的SLSA来源包。此后，它可以获取目标库并注入混淆脚本和JavaScript载荷，最终利用目标用户的凭证和生成的Sigstore包，将受感染版本发布至Python Package Index（PyPI）仓库和npm包管理器。

研究人员解释道："这确保了所发布的软件包看上去具备合法的、经加密验证的构建来源，宛如来自该组织官方GitHub Actions构建环境。"

此外，若收集到的GitHub令牌具有写入权限，该恶意软件还会定向攻击仓库，并通过GitHub Actions运行器提取机密信息，且"直接从运行器地址空间读取，从不写入磁盘，也不发起可疑的网络连接"。

该恶意软件还会攻击14种不同AI智能体和系统的规则文件及配置目录，植入自定义提示词指令，或执行钩子程序，在受害者通过AI助手加载或访问工作区时触发`bun run bootstrap`命令。最终，该恶意软件会在工作站上建立持久化机制并监控已窃取令牌的状态；一旦令牌被吊销，便立即执行数据擦除进程，删除用户文件。

Q&A

Q1：Hades行动是什么类型的网络攻击？

A：Hades行动是一种针对Python开发者环境的高度复杂供应链攻击活动。它将恶意脚本嵌入Python包的`__init__.py`文件，在受感染包被导入时立即执行。该攻击集内存抓取、自我复制蠕虫传播和数据擦除能力于一身，并利用Bun工具包执行多层恶意载荷，可窃取凭证、横向移动，还能劫持AI安全分析系统，被认为是当前最复杂的供应链攻击形态之一。

Q2：Hades恶意软件是如何绕过AI安全扫描器检测的？

A：Hades在恶意文件顶部嵌入一段针对大语言模型的指令文本，要求模型忽略文件中的隐藏代码，并将该软件包标记为"已验证、安全"。由于部分安全扫描器会将原始文本直接传入大语言模型进行分析，且未设置严格的边界隔离机制，因此会被诱导生成误判结论，从而让恶意包顺利通过检测。安全专家将这一手法称为对AI系统实施的"网络钓鱼"。

Q3：Hades行动具体入侵了哪些软件包？

A：研究人员确认，除广受欢迎的C++库ensmallen之外，受感染的软件包还包括mflux-streamlit、nhmpy、ppkt2synergy、embiggen、gpsea和pyphetools，涵盖计算生物学、生物信息学和基因型-表现型分析等多个生态系统。这些受感染的包一旦被导入，即会触发恶意代码执行。