Исследователи Socket описали вредонос Hades, который атакует цепочку поставок ПО через поддельные пакеты в npm и PyPI и при этом умеет мешать ИИ-анализу. Для этого авторы малвари вставляют в JavaScript-файлы комментарии с провокационными запросами о создании ядерного и биологического оружия. Часть моделей после такого срабатывает на собственных ограничениях и прекращает разбор файла до полезной нагрузки.
По данным Socket, прием сработал на проверке через Claude: модель вернула сообщение о приостановке чата вместо анализа содержимого. Речь не идёт об универсальном обходе средств защиты. Сигнатурный анализ, разбор исходного кода, поиск подозрительных вставок и запуск в песочнице продолжают выявлять угрозу в штатном режиме.
Hades рассчитан на более широкую маскировку. В отдельных случаях вредонос поставляется раздельно: Python-скрипт и бинарный файл по отдельности выглядят безобидно, а полезная нагрузка активируется уже при фактическом запуске в проекте. Вредонос также проверяет, не находится ли он в изолированной среде, и при ряде условий удаляет себя, чтобы не оставить образец для анализа.
Цель атаки типична для supply chain-сценариев: не пользовательский компьютер, а инфраструктура сборки и публикации. Hades крадет учетные данные CI/CD, токены npm, PyPI, RubyGems, JFrog и Kubernetes, временные ключи AWS, SSH-ключи, конфигурации Docker, файлы .ENV, историю команд терминала и настройки ИИ-инструментов. Исследователи уже нашли 37 зараженных Python-пакетов и 106 JavaScript-пакетов. Часть из них маскировалась под легитимные библиотеки с опечатками в названии, например rsquests вместо requests.
Такие атаки давно перестали быть редкостью. По данным Sonatype, только в открытых репозиториях в 2024 году выявили свыше 500 тыс. вредоносных пакетов, а npm и PyPI остаются главными площадками для typosquatting-кампаний. На этом фоне попытка специально «ломать» ИИ-сканеры выглядит как следующий шаг: разработчики защиты все чаще добавляют LLM в пайплайн анализа, а атакующие начинают тестировать, где эти модели проще всего выбить из процесса.
Для поставщиков защитных платформ это означает сдвиг в архитектуре проверки. LLM, если их используют для первичного разбора кода, придется изолировать от произвольных инструкций внутри файла и жестко ограничивать их роль. Иначе рост числа подобных пакетов в npm и PyPI быстро превратит защитные фильтры в еще одну точку отказа, а не в дополнительный уровень контроля.