Auf den Punkt: Hades ist eine Supply-Chain-Malware, die Python-Pakete mit spezieller Prompt-Injection-Logik infiziert, um sowohl automatisierte LLM-Scanner als auch Systeme mit Memory-Zugriff zu kompromittieren.
Ein neuer Schädling namens Hades infiltriert Python-Entwicklungsumgebungen und nutzt Prompt-Injection-Angriffe, um KI-gestützte Code-Analysen auszutricksen. Die Kampagne kombiniert Memory-Scraping, selbstreplizierende Wurm-Mechaniken und gezielte Täuschung von LLM-Sicherheitsscannern.
Die von StepSecurity entdeckte Hades-Kampagne ist eine hochgradig zielgerichtete Lieferketten-Kompromittierung, die Python-Entwicklungsumgebungen befällt und beim Importieren der infizierten Pakete sofort ausgeführt wird. Sie nutzt das populäre Bun-Toolkit, um mehrstufige Payloads stillschweigend auszuführen, die sensible Daten extrahieren, lateral über kompromittierte Systeme migrieren, häufig verwendete Sicherheitsframeworks ausbeuten und KI-gestützte Analysesysteme durch adversarielle Prompt-Injection angreifen können.
StepSecurity ordnet Hades als jüngste Evolutionsstufe des Miasma-Threat-Actors ein. Die Kampagne hat mehrere beliebte Open-Source-Pakete infiltriert, darunter die C++-Bibliothek ensmallen sowie Pakete im Bereich Computational Biology, Bioinformatik und Genotyp-Phänotyp-Analyse (mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea, pyphetools). Der Einstiegspunkt ist ein einfaches, verschleiertes Skript in der __init__.py-Datei des Python-Pakets. Nach erfolgreichem Zugriff werfen die Angreifer eine vorkompilierte Bun-Laufzeit-Binärdatei ab und führen ihre JavaScript-Payload aus. Bun ermöglicht es der Malware, komplexe JavaScript-Aufgaben in Umgebungen ohne Node.js-Installation auszuführen und umgeht dabei traditionelle Paketmanager-Kontrollen und Proxy-Protokolle.
Die Malware kann Linux-Memory-Mappings auslesen und führt zudem maßgeschneiderte Memory-Scraper für macOS und Windows ein, die es Angreifern ermöglichen, sensible, verschlüsselte Daten zu extrahieren. Besonders bemerkenswert ist die Fähigkeit, automatisierte LLM-Scanner zu hintergehen: Mittels eines Textblocks am Dateianfang wird das Modell angewiesen, den versteckten Code ignorieren, das Paket als verifiziert einzustufen und Berichte zu erstellen, die es als sicher deklarieren.
Dieses Element stellt nach Ansicht der StepSecurity-Forscher einen „signifikanten konzeptionellen Wandel“ dar: Angreifer schreiben nun Payloads, die auf die kognitiven Logiken von KI-Systemen abzielen. Scanner, die Rohtext an LLMs ohne strikte Boundary-Isolation weitergeben, können dazu gebracht werden, falsche negative Verdichte zu erzeugen und die Malware-Pakete als sauber zu einstufen. David Shipley von Beauceron Security ordnet diese Entwicklung als Vorboten künftiger Angriffsmuster ein: Die Kombination aus Memory-fokussierten Techniken, versteckter LLM-Täuschung und Wiper-Kapazitäten in einer schnell ausbreitenden Wurm-Variante entspricht einem qualitativ neuen Angriffsszenario, gegen das es derzeit keine zuverlässigen Abwehrmechanismen gibt.
Quelle: www.csoonline.com · Erschienen 9. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.