English
中文
Deutsch
首页文章详情

Vorsicht! Die von Ihnen eingesetzte KI könnte ein Verräter werden und Angreifern helfen, Ihren Computer zu übernehmen.

机器之心2025-08-28 15:46
Man kann sich vor allen Dingen schützen, aber vor einem Heimlichen Dieb im eigenen Haus ist es schwer sich zu schützen.

Mit der Entwicklung von Large Language Models (LLMs) dürften mittlerweile die meisten Menschen über ein AI-LLM-Tool auf ihren Geräten verfügen.

Mit der Weiterentwicklung von Fähigkeiten wie Multimodalität, Interaktion und Codierung wird die Anwendung von AI-Agenten immer breiter gefächert. Dies führt dazu, dass AI-Agenten in entsprechenden Anwendungsfällen immer mehr Zugangsberechtigungen erhalten.

Selbst beim Schauen von Videos auf der Internetplattform kann man immer wieder in den Kommentaren lesen, wie weitreichend die Zugangsberechtigungen von KI-Assistenten sind.

Insbesondere in der Programmierwelt, einem Bereich, in dem KI bereits erfolgreich eingesetzt wird, haben die Agenten fast uneingeschränkten Lese- und Schreibzugang zu den Dateien auf den Geräten der Nutzer. Die damit verbundenen Risiken sind offensichtlich. Ein Beispiel dafür ist der berüchtigte "Datenbanklöschungs"-Vorfall bei Replit, über den wir bereits berichtet haben.

Während die Öffentlichkeit oft auf die Fehler in der KI-Modelltechnologie aufmerksam wird, scheint man die größeren externen Risiken zu übersehen. Der "Datenbanklöschungs"-Vorfall war ein Versagen des AI-Agenten selbst.

Der AI-Agent auf Ihrem Gerät könnte gegen Sie eingesetzt werden.

Dies ist keine leeren Drohungen. Am Abend des 26. August 2025, um etwa 22:32 Uhr UTC, ist eine solche Schadsoftware aufgetaucht und hat Tausende von Entwicklern betroffen.

Erstes Mal: Schadsoftware nutzt AI-Tool für Angriffe

Am Abend des 26. August 2025, um etwa 22:32 Uhr UTC, wurde das beliebte Nx Build System-Paket infiziert und mit einer Datenstehlerschadsoftware versehen. Die infizierten Versionen waren nur etwas mehr als fünf Stunden lang im Netz verfügbar, bevor sie entfernt wurden. In dieser kurzen Zeit konnten jedoch Tausende von Entwicklern betroffen worden sein.

Dies ist der erste bekannte Fall, in dem Schadsoftware ein AI CLI-Tool für die Erkundung und Datenstehlen nutzt.

Das Schadcodeziel war nicht nur darauf beschränkt, SSH-Schlüssel, npm-Token und .gitconfig-Dateien zu stehlen.

Die Angreifer haben es noch einen Schritt weiter getrieben und die von Entwicklern häufig verwendeten AI-Befehlszeilentools (CLI) wie Claude, Gemini und q in Waffen umgewandelt. Diese AI-Tools wurden entführt und für die Informationsgewinnung und das Weiterleiten von Daten eingesetzt. Dies ist der erste bekannte Fall, in dem Hacker die AI-Agenten der Entwickler in Angriffshilfen umgewandelt haben.

Aufgrund der Popularität des Nx-Ekosystems und des Missbrauchs von AI-Tools hat dieser Vorfall die Schwere von Hackerangriffen deutlich gemacht. Alle Nutzer, die die infizierte Version installiert hatten, müssen umgehend Abhilfemaßnahmen ergreifen. Das Nx-Team hat bereits eine offizielle Sicherheitsmitteilung (Nr. GHSA-cxm3-wv7p-598c) veröffentlicht, in der der Angriff bestätigt und weitere Details offen gelegt werden. Die Mitteilung bestätigt, dass der Angriff auf einem gestohlenen npm-Kontotoken eines Betreuers beruhte, mit dem die Hacker die Veröffentlichungsberechtigungen übernommen haben.

Zeitstrahl des Vorfalls (UTC)

Der Angriff hat sich innerhalb weniger Stunden schnell entwickelt:

  • 22:32 Uhr – Die Schadsoftware-Version 21.5.0 wurde in das npm-Repository veröffentlicht.
  • 22:39 Uhr – Die Schadsoftware-Version 20.9.0 wurde veröffentlicht.
  • 23:54 Uhr – Die Hacker haben gleichzeitig die beiden infizierten Versionen 20.10.0 und 21.6.0 veröffentlicht.
  • 00:16 Uhr, 27. August – Die Schadsoftware-Version 20.11.0 wurde veröffentlicht.
  • 00:17 Uhr – Nur eine Minute später wurde die Schadsoftware-Version 21.7.0 veröffentlicht.
  • 00:30 Uhr – Ein Community-Mitglied hat ein Issue auf GitHub eingereicht und das Nx-Team auf verdächtige Aktivitäten hingewiesen.
  • 00:37 Uhr – Die letzten beiden Schadsoftware-Versionen 21.8.0 und 20.12.0 wurden veröffentlicht.
  • 02:44 Uhr – Das npm-Team hat Maßnahmen ergriffen und alle betroffenen Versionen entfernt.
  • 03:52 Uhr – Der Besitzer der Nx-Organisation hat das gestohlene npm-Konto des Betreuers gesperrt, um weitere Schadsoftware-Veröffentlichungen zu verhindern.
  • 09:05 Uhr – GitHub hat die Repositories mit den gestohlenen Geheiminformationen eingeschränkt, sie privat gesetzt und aus den Suchergebnissen entfernt.
  • 10:20 Uhr – npm hat weitere Bereinigungen vorgenommen und weitere betroffene Paketversionen entfernt.
  • 15:57 Uhr – npm hat neue Sicherheitsmaßnahmen eingeführt, die alle Nx-Pakete abdecken.

Der gesamte Angriff hat etwa 5 Stunden und 20 Minuten gedauert, und die Hacker haben insgesamt acht Schadsoftware-Versionen in zwei Hauptversionszweigen veröffentlicht.

Dieser Vorfall ist nicht nur eine ernsthafte Warnung für die Sicherheit der Lieferkette, sondern auch der erste Fall, in dem gezeigt wird, dass AI-Entwicklungsassistenten von Hackern "umgedreht" werden können und zu einem Teil der Angriffskette werden.

Technische Analyse des Schadsoftwareangriffs

Das infizierte Nx-Paket wird wöchentlich von über vier Millionen Nutzern heruntergeladen. Die Hacker haben einen Schadcode in einen post-install-Hook eingebettet.

Wenn ein Entwickler das Paket installiert, wird automatisch ein Skript namens telemetry.js ausgeführt. Dieses Skript wird nahezu sofort ausgelöst und öffnet den Hackern den Zugang zu den Rechnern der Entwickler – und das gleichzeitig auf einer großen Skala.

Sobald das Skript ausgeführt wird, sammelt es systematisch sensible Informationen von den betroffenen Rechnern:

  • Systeminformationen: Umgebungsvariablen (process.env), Hostname, Betriebssystemdetails und Plattforminformationen.
  • Kryptowährungsbörsen: MetaMask-Schlüsselbund, Electrum-Wallet, Ledger- und Trezor-Hardwarewallet-Daten, Exodus-, Phantom- und Solflare-Wallets sowie allgemeine Schlüsseldateien (z. B. UTC–*, keystore.json, *.key).

Nachdem die Informationen gesammelt wurden, führt die Schadsoftware eine Reihe von diskreten und effizienten Schritten zum Weiterleiten der Daten aus:

  • Unter Verwendung eines gestohlenen GitHub-Tokens wird automatisch ein öffentliches GitHub-Repository namens s1ngularity-repository erstellt. Einige Varianten fügen der Bezeichnung auch numerische Suffixe wie "-0" oder "-1" hinzu.
  • Alle gesammelten Daten werden dreimal Base64-codiert (triple-base64 encode).
  • Das Ergebnis wird in eine Datei namens results.b64 geschrieben und in das neu erstellte Repository hochgeladen.
  • Das Repository wird öffentlich gemacht, was indirekt die sensiblen Daten im Internet preisgibt.

Die Hacker wollten nicht nur Daten stehlen, sondern auch Chaos stiften:

  • Am Ende der Dateien ~/.bashrc und ~/.zshrc fügt die Schadsoftware den Befehl "sudo shutdown -h 0" hinzu.
  • Jedes Mal, wenn ein Nutzer ein neues Terminal öffnet, versucht das System, sofort herunterzufahren.
  • Das führt zu einem Denial-of-Service (DoS)-Effekt: Die Arbeitsumgebung der Entwickler wird vollständig zerstört.

Für weitere Informationen zu diesem Vorfall können Sie den ursprünglichen technischen Blogbeitrag lesen:

https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware#conclusion

Neuer Trend: Hacker missbrauchen KI

Das Missbrauchen von AI-Tools für die Infiltration von Nutzersystemen ist nicht das Einzige. Das Missbrauchen von KI für bösartige Zwecke hat sich zu einem neuen Trend entwickelt. Laut dem Bericht von Anthropic über den Missbrauch von KI im August ist Claude ebenfalls ein Schwerpunkt der Hackeraktivitäten.

Bloglink: https://www.anthropic.com/news/detecting-countering-misuse-aug-2025

Hacker nutzen Claude für Erpressung

Kriminelle haben Claude Code für einen massiven Daten Diebstahl und Erpressung eingesetzt. Mindestens 17 verschiedene Organisationen aus der Gesundheitsbranche, der Notfallversorgung, der Regierung und sogar aus der Religionsgemeinschaft sind betroffen.

Im Gegensatz zu herkömmlichen Erpressungsschadsoftware haben diese Hacker die Daten nicht verschlüsselt, sondern stattdessen direkt gedroht, die sensiblen Informationen preiszugeben, wenn kein Lösegeld gezahlt wird. In einigen Fällen belief sich das Lösegeld auf bis zu 500.000 US-Dollar.

Claude wurde in diesem Erpressungsangriff in einem bisher nicht gekannten Ausmaß eingesetzt:

Claude Code automatisierte eine Vielzahl von Erkundungsaufgaben und half den Hackern, die Zugangsdaten der Opfer zu stehlen und in das Netzwerk einzudringen.

Claude führte nicht nur Befehle aus, sondern traf auch Taktische und strategische Entscheidungen, wie z. B. welche Daten gestohlen werden sollten und wie die Erpressungsnachrichten geschrieben werden sollten.

Es analysierte die gestohlenen Finanzdaten und berechnete automatisch ein angemessenes Lösegeld.

Es konnte sogar visuell beeindruckende Erpressungsbenachrichtigungen generieren, die direkt auf den Bildschirmen der Opfer angezeigt wurden, um psychischen Druck auszuüben.

Anthropic bezeichnet dieses Verhalten als "Vibe Hacking".

Kriminelle verkaufen KI-generierte Erpressungsschadsoftware

Ein anderer Netzwerkkrimineller hat Claude als "Erpressungsschadsoftwarefabrik" eingesetzt. Sie haben Claude genutzt, um mehrere Versionen von Erpressungsschadsoftware zu entwickeln, zu verpacken und auf den Markt zu bringen.

Nachdem die Entwicklung abgeschlossen war, haben die Hacker diese "Erpressungsschadsoftware als Service (RaaS)" in Netzwerkforen zum Verkauf angeboten, wobei die Preise zwischen 400 und 1.200 US-Dollar lagen. Mit anderen Worten, auch Personen mit wenig technischem Know-how können sich eine fertige KI-generierte Erpressungstool kaufen.

Anzeige des ersten Verkaufs von Netzwerkkriminellen auf dem Darknet im Januar 2025

Erste bekannte KI-gesteuerte Erpressungsschadsoftware weltweit

ESET Research hat kürzlich die weltweit erste bekannte KI-gesteuerte Erpressungsschadsoftware entdeckt und sie PromptLock benannt.

Was diese Schadsoftware einzigartig macht, ist, dass sie nicht auf traditioneller Hardcodierung basiert, sondern auf einem KI-Modell, das Angriffsskripte dynamisch generiert.

PromptLock basiert nicht auf traditionellem festem Schadcode, sondern ruft über die Ollama API lokal das gpt-oss-20b-Modell auf, um in Echtzeit Schad-Lua-Skripte zu generieren und sofort auszuführen, die von den Angreifern vorher eingegebenen Anweisungen.

Diese Skripte sind plattformübergreifend und können nahtlos auf Windows, Linux und macOS ausgeführt werden.

Die Forscher haben darauf hingewiesen, dass mehrere Hinweise darauf hindeuten, dass PromptLock eher ein Proof-of-Concept (PoC) oder ein noch in der Entwicklung befindliches Experiment ist, als eine weit verbreitete und ausgereifte Erpressungsschadsoftware.

Was besonders bemerkenswert ist, ist, dass PromptLock das riesige Modell nicht direkt auf das Opfergerät herunterlädt, sondern stattdessen einen Proxy im betroffenen Netzwerk einrichtet, um die Anfragen an einen Remote-Server weiterzuleiten, auf dem die Ollama API + gpt-oss-20b-Modell ausgeführt wird. Dieser Ansatz gehört zur internen Proxietechnologie im MITRE ATT&CK-Framework und ist eine immer häufiger verwendete Methode in modernen Netzwerkangriffen.

Zusammenfassung

Mit der stetigen Verbesserung der KI-Fähigkeiten entwickeln auch Hacker und Betrüger immer neue Methoden. KI in Form von Agenten wird bereits als Waffe eingesetzt und nimmt an komplexen Netzwerkangriffen direkt teil und führt sie aus.

Außerdem senkt KI die Schwelle für kriminelle Aktivitäten erheblich.

该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。

寻求报道、内容合作、商务合作或是招揽全球生态伙伴等需求,请发送邮件至 mohaiying@36kr.com,我们将竭诚为您服务。
合作伙伴:startuprad.io

36氪欧洲总站(eu.36kr.com)是关注海外的行业媒体,为企业跨境提供海外资讯及商业服务。

© 2024 36kr.com. All rights reserved.