Вредоносное ПО для macOS, связанное с Северной Кореей и обнаруженное на этой неделе компанией SentinelOne, делает то, чего не делало ни одно предыдущее вредоносное ПО этой линии: оно пытается заставить ИИ-помощника, проводящего анализ, поверить, что сеанс анализа нарушен.
Исследователь SentinelLABS Фил Стоукс 23 июня 2026 года опубликовал технический разбор имплантата для macOS на языке Rust, который фирма назвала macOS.Gaslight, по его определяющему поведению. В бинарный файл встроен блок данных размером 3,5 КБ, состоящий из 38 сфабрикованных «системных» сообщений, оформленных так, чтобы выглядеть как внутренняя структура для обработки данных крупной языковой моделью (LLM), и предназначенных для того, чтобы любой инструмент анализа с помощью ИИ прервал, усекал или отклонил сеанс до завершения работы с образцом.
«Он атакует восприятие агента, а не песочницу, в которой он работает», — написал Стоукс в отчете.
Как работает полезная нагрузка внедрения промптов
Внедрение промптов — это класс атак, который использует неспособность ИИ-модели надежно отделять доверенные инструкции от недоверенных данных. В Gaslight полезная нагрузка внедрения занимает блок, ограниченный разметкой Markdown, внутри бинарного файла, разделенный теми же токенами {{DATA}}, которые типичная система обработки LLM использует для разметки границ между собственным каркасом промпта и анализируемым содержимым образца. 38 сообщений имитируют истечение срока действия токенов, завершение работы из-за нехватки памяти, исчерпание дискового пространства и повторяющиеся сбои операций. Они также заполняют контекстное окно модели ложными предупреждениями об уязвимостях внедрения и флагах статического анализа — цель состоит в том, чтобы заставить ИИ-рецензента прийти к выводу, что с его собственным состоянием сеанса что-то не так, а не с вредоносным ПО.
Эта цель — стадия вывода анализа, а не сама песочница — делает Gaslight структурно отличным от десятилетий традиционных методов противодействия анализу. Вредоносное ПО долгое время пыталось обнаруживать виртуальные машины, отладчики и процессы песочницы и либо переходить в спящий режим, либо вести себя по-разному в их присутствии. Gaslight полностью обошел эту проблему; ему было все равно, работает ли он внутри среды анализа. Ему было важно, к какому выводу придет LLM, читающая его строки.
SentinelLABS с высокой степенью уверенности оценила, что эта техника не обошла ни одну из существующих платформ анализа вредоносного ПО с помощью ИИ в ходе текущего тестирования. Однако, как отмечалось в отчете, ранние образцы macOS из Северной Кореи использовали один внедренный блок для той же цели. Gaslight использует 38 блоков. Разрыв в итерациях между одним блоком и 38 предполагает систематическое тестирование условий сбоя на реальных инструментах и целенаправленное усовершенствование каскада.
Почему техника масштабируется иначе, чем уклонение от песочницы
Структурная асимметрия между полезными нагрузками внедрения промптов и традиционным уклонением имеет значение для защитников. Полиморфный упаковщик все еще должен создавать допустимый исполняемый код, который корректно работает в целевой среде; пространство вариаций ограничено тем, что будет выполнять ЦП. Полезной нагрузке внедрения промптов нужно лишь создать текст, который выглядит правдоподобно для получающей его модели. Любая строка, которая выглядит как допустимое сообщение об ошибке, является кандидатом на элемент полезной нагрузки. Это пространство вариаций фактически не ограничено.
Также не существует эквивалента проверки целостности памяти на стороне защиты. Центр безопасности может проверить, соответствует ли код бинарного файла известному хорошему хешу; он не может проверить, что LLM интерпретирует из переданного ей текста. OWASP классифицировал внедрение промптов как основной риск в безопасности приложений LLM — LLM01 в своем рейтинге 2025 года, — а его отчет о состоянии безопасности агентного ИИ за 2026 год пришел к выводу, что уязвимость может быть структурной, а не поддающейся исправлению. Gaslight демонстрирует, что происходит, когда это структурное свойство целенаправленно используется в бинарном файле.
Что делает имплантат помимо полезной нагрузки внедрения
Gaslight — это функциональный стилер данных и бэкдор с удаленным доступом для macOS, при этом внедрение промптов является надстройкой над в остальном традиционным имплантатом macOS из Северной Кореи. Канал команд и управления работает через Telegram Bot API в цикле опроса. Весь трафик шифруется с помощью AES-GCM со свежим nonce для каждого сообщения, а имплантат ограничивает доверие TLS пользовательским якорем сертификата, обходя инспекцию корпоративными прокси-инструментами. Он также считывает конфигурацию прокси хоста и маршрутизируется через нее, поддерживая канал активным в строго управляемых корпоративных сетях.
Интерактивная оболочка предоставляет операторам шесть команд — help, id, shell, kill, upload и stop — обеспечивая постоянную точку опоры на любом зараженном хосте. Седьмая команда, «focus», присутствует в строках внутри бинарного файла, но ее функция не была восстановлена в ходе статического анализа, проведенного SentinelOne.
Постоянство поддерживается через LaunchAgent с меткой com.apple.system.services.activity — соглашение об именовании, предназначенное для маскировки под легитимные системные службы Apple в том же пространстве имен. Имплантат также создает утверждение управления питанием для блокировки сна системы, поддерживая свой цикл опроса в течение длительных периодов неактивности пользователя.
Рабочая нагрузка по сбору данных выполняется через отдельный Python-скрипт размером 6,6 КБ, закодированный в Base64 и встроенный в бинарный файл. После декодирования он собирал данные браузера из Chrome, Brave, Firefox и Safari; истории команд терминала; списки установленных приложений; снимок запущенных процессов; данные профиля оборудования и программного обеспечения системы; и файл базы данных macOS Keychain в исходном виде. Собранный материал сжимался в ZIP-архив и эксфильтрировался через механизм загрузки файлов Telegram. Поскольку стилер на Python поставляется со своим собственным автономным интерпретатором CPython 3.10.18, взятым из проекта с открытым исходным кодом astral-sh/python-build-standalone, он выполняется независимо от того, установлен ли Python в целевой системе.
SentinelLABS отметила, что скрипт стилера содержит эмодзи и структурированные заголовки комментариев, соответствующие коду, сгенерированному ИИ-помощником, — наблюдение, которое фирма отметила как слой иронии во вредоносном ПО, предназначенном для ослепления инструментов ИИ.
Операционная безопасность, встроенная в бинарный файл
Разработчики Gaslight встроили в имплантат несколько уровней защиты от криминалистического анализа. Токен бота Telegram, идентификатор чата и конфигурация оператора не прописаны жестко в бинарном файле; они предоставляются во время выполнения, поэтому статический анализ одного только образца не может восстановить активные учетные данные.
Имплантат идет дальше: при создании URL-адресов Telegram API он заменяет активный токен бота на жестко закодированный заполнитель всякий раз, когда сегмент пути URL-адреса является строковым литералом “file”. В результате активный учетный данные никогда не появлялись в логах, артефактах сбоев или выходных данных во время выполнения — лишая защитников ключевого индикатора, который они могли бы использовать для прямого запроса к Telegram Bot API и восстановления инфраструктуры оператора.
Собственное поведение API бота по обнаружению конфликтов обеспечивает дополнительный уровень деконфликтизации. Если две инстанции одного и того же токена бота пытаются опрашивать одновременно, Telegram возвращает ответ Conflict, и вторая инстанция завершает работу. Это предотвращает случайное дублирование в развертываниях, когда оператор может запустить имплантат более одного раза на одном и том же объекте.
Схема конфигурации оператора содержит 15 полей, включая записи для путей Linux и GitHub, которые не используются в проанализированном образце. SentinelLABS пришла к выводу, что это предполагает, что Gaslight является компонентом более широкого, кроссплатформенного набора инструментов, а не автономным имплантатом только для macOS.
Атрибуция: Какое место Gaslight занимает в линии кампаний macOS КНДР
Система XProtect от Apple пометила основной образец Gaslight правилом MACOS_BONZAI_COBUCH; SentinelLABS связывает семейство BONZAI с активностью угроз из Северной Кореи. Образец-побратим был дополнительно обнаружен правилом AIRPIPE от Apple, которое фирма также связывает с той же группой. Идентификационная строка бинарного файла — endpoint-macos-aarch64-5555494492fc075f441637fb9d894913dde3a2ea — и его ad hoc подписание согласуются с предыдущими инструментами macOS из Северной Кореи, задокументированными SentinelLABS.
Более широкая картина прослеживается как минимум до 2023 года, когда та же группа развернула RustBucket в качестве дроппера и KandyKorn в качестве трояна удаленного доступа, нацеленного на инженеров, работающих с блокчейном. ObjCShellz последовал позже в качестве полезной нагрузки второго этапа; Gaslight представляет собой текущее поколение. Кампании последовательно нацелены на криптовалютные фирмы, блокчейн-проекты, финансовые и технологические компании, обычно используя фальшивые собеседования или ложные обновления программного обеспечения, чтобы заставить пользователей вручную запускать вредоносные файлы.
Основной бинарный файл Gaslight имеет хеш SHA-256 6328567511d88fdc2ae0939c5ef17b7a63d2a833881900de018a4f12f4982525. Образец-побратим, связанный через правила XProtect от Apple, имеет хеш 77b4fd46994992f0e57302cfe76ed23c0d90101381d2b89fc2ddf5c4536e77ca.
Что защитникам следует предпринять сейчас
Рекомендации SentinelLABS прямые: любой конвейер, который подает содержимое вредоносного ПО в контекстное окно языковой модели, должен рассматривать это содержимое как враждебный ввод с момента его поступления. Стандарт для конвейеров триажа с помощью ИИ такой же, как и для SQL-запросов, принимающих недоверенный пользовательский ввод — содержимое должно быть очищено и отделено от канала инструкций, прежде чем оно достигнет модели.
Индикаторы компрометации для Gaslight включают LaunchAgent с меткой com.apple.system.services.activity, исходящий трафик Telegram API с конечных точек macOS и загрузки во время выполнения cpython-3.10.18 из репозитория astral-sh/python-build-standalone. Группы безопасности, использующие обнаружение конечных точек на macOS, должны убедиться, что их текущие средства обнаружения охватывают семейства XProtect BONZAI и AIRPIPE.
Часто задаваемые вопросы
Что такое вредоносное ПО Gaslight для macOS?
Gaslight — это бэкдор и стилер данных для macOS, написанный на Rust, раскрытый SentinelLABS 23 июня 2026 года. Он собирает учетные данные браузера, данные Keychain и системную информацию, отправляет команды через Telegram Bot API и содержит полезную нагрузку внедрения промптов размером 3,5 КБ, созданную для вывода из строя инструментов анализа вредоносного ПО с помощью ИИ. SentinelLABS с высокой степенью уверенности приписывает его угрозам из Северной Кореи.
Может ли Gaslight на самом деле обойти инструменты безопасности на базе ИИ?
Нет — SentinelLABS обнаружила, что техника внедрения промптов не обошла ни одну из существующих платформ анализа вредоносного ПО с помощью ИИ в ходе текущего тестирования. Значимость заключается в итерации: ранние образцы macOS из Северной Кореи использовали один внедренный блок сообщений для той же цели; Gaslight использует 38. Эскалация указывает на то, что операторы тестируют эту технику на реальных инструментах и совершенствуют ее.
Чем внедрение промптов во вредоносном ПО отличается от уклонения от песочницы?
Традиционное уклонение от песочницы нацелено на среду выполнения — виртуальную машину, отладчик, процесс анализа. Внедрение промптов во вредоносном ПО нацелено на инструменты аналитика на стадии вывода: оно пытается заставить ИИ-рецензента прийти к выводу, что сеанс анализа нарушен, прежде чем ИИ сообщит что-либо полезное. Критически важно, что полезные нагрузки внедрения промптов ограничены только тем, какой текст выглядит правдоподобно для модели, тогда как уклонение на основе кода ограничено тем, что будет выполнять ЦП. Это делает поверхность атаки для внедрения промптов значительно больше и труднее для мониторинга.
Как команды безопасности должны защищать свои конвейеры анализа с помощью LLM?
SentinelLABS рекомендует рассматривать весь контент внутри образца вредоносного ПО как враждебный ввод — никогда как инструкции — и гарантировать, что враждебный контент вообще не может попасть в контекстное окно модели. На практике это означает внедрение очистки ввода и разделения между содержимым вредоносного ПО и каналом инструкций до того, как образец достигнет любого инструмента на основе LLM, аналогично тому, как SQL-запросы очищают недоверенный пользовательский ввод. Команды безопасности также должны проверять любые плагины для обратной разработки с помощью ИИ — в том числе для Ghidra и Binary Ninja — чтобы убедиться, что они обеспечивают это разделение.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Adrian Parham
