Un gruppo di ricercatori di sicurezza informatica ha identificato una campagna malevola denominata Hades Campaign, capace di infiltrarsi nelle catene di fornitura del software attraverso pacchetti Python compromessi, propagarsi autonomamente come un worm e ingannare i sistemi di analisi basati su modelli linguistici di grandi dimensioni (LLM). La scoperta, effettuata dal team di StepSecurity, segnala un'escalation qualitativa nelle tecniche di attacco alle infrastrutture di sviluppo software.
Le implicazioni economiche di questa scoperta vanno ben oltre il perimetro tecnico. Le supply chain del software rappresentano oggi uno dei vettori di rischio sistemico più critici per aziende di ogni dimensione: un singolo pacchetto compromesso può propagarsi a migliaia di ambienti produttivi, con costi di remediation, interruzione operativa e potenziale perdita di dati che, storicamente, si misurano in decine di milioni di dollari per singolo incidente. Il settore della sicurezza informatica vale globalmente oltre 200 miliardi di dollari, e attacchi di questa sofisticazione alimentano direttamente la domanda di soluzioni avanzate.
Secondo i ricercatori di StepSecurity, Hades Campaign rappresenta l'ultima evoluzione dell'attore di minaccia Miasma, già noto per worm auto-replicanti capaci di effettuare scansioni di credenziali multi-cloud e per tecniche di lettura della memoria di processo Linux. La nuova campagna eredita questi metodi, aggiungendo però una combinazione di capacità che la distingue nettamente dalle minacce precedenti.
Sul piano tecnico, il malware sfrutta il toolkit Bun per eseguire payload JavaScript multi-livello in ambienti privi di Node.js, eludendo i tradizionali controlli dei package manager. Il punto di ingresso è uno script offuscato inserito nel file __init__.py dei pacchetti Python — il file che consente al linguaggio di riconoscere e importare moduli. Tra i pacchetti compromessi figurano mflux-streamlit, nhmpy, ppkt2synergy, embiggen, gpsea e pyphetools, oltre alla diffusa libreria C++ ensmallen, utilizzata in ambienti di biologia computazionale e bioinformatica.
L'elemento più rilevante dal punto di vista strategico è la capacità del malware di manipolare i sistemi di analisi basati su LLM. Un blocco di testo posizionato in cima al file istruisce il modello a ignorare il codice sottostante, classificando il pacchetto come sicuro e generando report puliti. I ricercatori di StepSecurity descrivono questa tecnica come un "significativo cambiamento concettuale": gli attaccanti non cercano più di nascondersi dai rilevatori tradizionali, ma riscrivono la logica cognitiva dei sistemi di analisi automatizzata.
David Shipley di Beauceron Security ha commentato che questa tecnica è, nella sostanza, phishing applicato ai bot: "LLMs are incredibly susceptible to social engineering," ha dichiarato. La redenominazione in "prompt engineering" non cambia la natura del vettore di attacco, che sfrutta la mancanza di isolamento tra il testo analizzato e le istruzioni operative del modello.
Sul fronte della propagazione, la campagna utilizza tre canali indipendenti su infrastruttura GitHub pubblica per mimetizzare le comunicazioni di comando e controllo nel traffico legittimo. Le credenziali esfiltrate vengono cifrate localmente e caricate su repository GitHub appositamente creati, con la descrizione "Hades — The End for the Damned". Il malware è inoltre in grado di sfruttare OpenID Connect, Secure Shell e i framework SLSA (Supply-chain Levels for Software Artifacts) — strumenti nati proprio per certificare l'integrità del software — per pubblicare versioni compromesse su PyPI e npm con bundle Sigstore crittograficamente firmati.
Il malware prende di mira anche i file di configurazione di 14 diversi agenti e sistemi di intelligenza artificiale, impiantando istruzioni personalizzate che si attivano quando la vittima consulta il proprio assistente AI. Se il token GitHub compromesso viene revocato, il sistema esegue un processo di cancellazione dei file dell'utente.
La domanda che emerge con forza riguarda la sostenibilità degli attuali modelli di sicurezza nelle organizzazioni che integrano LLM nei propri flussi di analisi del codice: se i sistemi di guardia possono essere ingannati con un blocco di testo, quanto vale effettivamente l'investimento in automazione della sicurezza, e quali responsabilità ricadono sui vendor che commercializzano questi strumenti come sostituti dell'analisi umana?