Archiwa: LLM - Strona 4 z 9 - Security Bez Tabu

Tag: LLM

GitHub Issues jako wektor ataku na Copilot: „RoguePilot” i scenariusz przejęcia repozytorium w Codespaces

Wprowadzenie do problemu / definicja luki

W lutym 2026 r. opisano podatność, w której zwykły opis zgłoszenia (GitHub Issue) może stać się nośnikiem złośliwych instrukcji dla GitHub Copilot uruchomionego wewnątrz GitHub Codespaces. Kluczowy problem nie polega na „błędzie w LLM”, tylko na zbyt głębokiej automatyzacji: podczas tworzenia Codespace z kontekstu Issue treść zgłoszenia jest automatycznie wykorzystywana jako prompt dla asystenta, co otwiera drogę do passive prompt injection.

To typ zagrożenia klasyfikowany szerzej jako prompt injection (LLM01 w OWASP Top 10 dla aplikacji LLM), gdzie atakujący manipuluje zachowaniem modelu przez odpowiednio spreparowane dane wejściowe.

W skrócie

  • Atak nazwany RoguePilot pokazuje łańcuch, w którym Issue → automatyczny prompt w Codespaces → działania Copilota → eksfiltracja tokenu.
  • W wariancie opisanym przez badaczy możliwe było doprowadzenie do wycieku uprzywilejowanego GITHUB_TOKEN z Codespaces, co w konsekwencji umożliwiało przejęcie repozytorium (zależnie od uprawnień tokenu).
  • Wykorzystano m.in. ukryte instrukcje w HTML comments w treści Issue oraz mechanizm automatycznego pobierania JSON schema w VS Code jako kanał eksfiltracji.
  • GitHub wdrożył poprawki po zgłoszeniu (responsible disclosure).

Kontekst / historia / powiązania

RoguePilot wpisuje się w rosnącą klasę zagrożeń, gdzie LLM staje się „pośrednikiem wykonawczym”: nie tylko generuje tekst, ale też steruje narzędziami w środowisku deweloperskim. To zmienia model ryzyka z „halucynacji” na AI-mediated supply chain attack — złośliwe instrukcje mogą pochodzić z treści, które dotąd traktowano jako „bezpieczne metadane projektu” (Issues, komentarze, opisy PR).

OWASP podkreśla, że prompt injection jest ryzykiem numer 1 dla systemów LLM, bo modele nie mają naturalnej granicy między „danymi” a „instrukcją”.

Analiza techniczna / szczegóły luki

1) Punkt wejścia: Issue jako „prompt”

W opisywanym scenariuszu uruchomienie Codespace z poziomu Issue powodowało, że Copilot w środowisku miał zostać automatycznie zapromptowany treścią zgłoszenia. To wystarcza, aby atakujący (np. w repo publicznym lub w repo, gdzie może tworzyć Issues) umieścił w opisie instrukcje dla agenta.

2) Ukrycie instrukcji: HTML comments

Badacze wskazali, że złośliwe polecenia można ukryć w <!-- -->, dzięki czemu człowiek „na oko” widzi zwykłe zgłoszenie, a model nadal przetwarza pełną treść.

3) Pozyskanie sekretu: GITHUB_TOKEN z Codespaces

W Codespaces dostępny jest GITHUB_TOKEN jako domyślna zmienna środowiskowa; GitHub opisuje go jako podpisany token uwierzytelniający użytkownika w codespace, możliwy do użycia np. do wywołań GitHub API.
W łańcuchu RoguePilot token miał zostać odczytany z pliku wewnątrz środowiska Codespaces (wskazywanego w analizie badaczy) i następnie wyprowadzony na zewnątrz.

4) Ominięcie ograniczeń ścieżki: symlink + PR checkout

W opisie ataku pojawia się wykorzystanie symbolicznego linku w repozytorium oraz nakłonienie Copilota do przełączenia się na przygotowany PR, w którym symlink wskazuje na wrażliwy plik w obszarze współdzielonym Codespaces.

5) Kanał eksfiltracji: automatyczne pobieranie JSON schema

Kluczowa sztuczka: VS Code potrafi automatycznie pobierać schema dla JSON, gdy w pliku występuje pole $schema. Badacze opisują, że ustawienie json.schemaDownload.enable jest w Codespaces włączone domyślnie, więc można je nadużyć jako „legalny” outbound request i dopiąć wykradane dane do URL schemy (np. w query string).
Istnienie przełącznika json.schemaDownload.enable jako opcji, która ma umożliwić wyłączenie pobierania schem, jest udokumentowane w ekosystemie VS Code.

Praktyczne konsekwencje / ryzyko

  1. Przejęcie repozytorium i supply chain
    Jeśli GITHUB_TOKEN ma uprawnienia zapisu, atakujący może wypchnąć zmiany, otworzyć/zmodyfikować PR-y, wstrzyknąć backdoora, podmienić workflow itp. To klasyczny scenariusz supply chain, tylko uruchamiany przez „zainfekowany kontekst” dla agenta AI.
  2. Atak bez „klikania w link” i bez socjotechniki wprost
    W wielu organizacjach tworzenie Codespace do „szybkiego ogarnięcia issue” jest normalnym nawykiem. Wtedy atak jest bliski „zero-interaction”: nie trzeba, by ofiara wkleiła prompt — wystarczy, że otworzy Codespace z Issue.
  3. Trudniejsza detekcja
    Instrukcje ukryte w komentarzach HTML i eksfiltracja przez „normalny” request po schema wyglądają jak działania narzędzia, a nie malware.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów dev / AppSec

  • Traktuj Issue/PR/README jako dane nieufne dla agentów AI: jeśli narzędzie automatycznie wciąga kontekst, załóż, że będzie on adversarial.
  • Ogranicz tokeny w środowiskach developerskich: skróć TTL, minimalizuj scope, rozważ rozdzielenie tokenów „do odczytu” i „do zapisu” w zależności od tasku. (Ryzyko dotyczy tego, że Codespaces udostępnia GITHUB_TOKEN do działań w repo).
  • Wyłącz lub ogranicz automatyczne pobieranie schem JSON w środowiskach, gdzie ma to sens (np. polityka organizacyjna/konfiguracje VS Code/Dev Container) — to usuwa prosty kanał eksfiltracji oparty o $schema.
  • Wykrywanie ukrytych promptów: automatyczne skanowanie treści Issue/PR pod kątem podejrzanych wzorców (np. długie instrukcje, „system prompt”-like frazy, fragmenty nakazujące pobieranie z URL, polecenia dot. tokenów/sekretów).
  • Blokada/monitoring outbound z Codespaces (jeśli to możliwe w modelu sieciowym): allowlisty domen, detekcja anomalii w żądaniach HTTP GET z parametrami przypominającymi dane.

Dla maintainerów repozytoriów

  • Ogranicz możliwość tworzenia Issues (w publicznych repo rozważ moderację/triage, szablony, wymaganie konta o określonym zaufaniu).
  • Polityka „nie odpalamy Codespace bez weryfikacji treści Issue”: szczególnie dla zgłoszeń od nowych kont.

Dla vendorów / dostawców narzędzi AI

  • Fail-safe defaults: nie wolno pasywnie promptować agenta treścią z repo bez wyraźnego „consent” i warstwy sanitizacji; trzeba też blokować ścieżki eksfiltracji (np. automatyczne fetchowanie zasobów po URL).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Klasyczny prompt injection zwykle dotyczy czatu/aplikacji, gdzie użytkownik wkleja treść. W RoguePilot mamy passive prompt injection: model „sam” konsumuje treść z Issue przy starcie środowiska.
  • W odróżnieniu od ataków stricte na zależności (typosquatting, dependency confusion), tutaj „wejściem” jest artefakt procesowy SDLC (Issue), a „wykonawcą” — agent AI z uprawnieniami do narzędzi i tokenów.

Podsumowanie / kluczowe wnioski

RoguePilot to mocny przykład, że integracje agentów AI w narzędziach deweloperskich mogą tworzyć nowe łańcuchy ataku: dane, które do tej pory były „tylko tekstem w trackerze”, stają się instrukcją sterującą automatem z dostępem do sekretów i operacji na repo.

Najważniejsze działania obronne to:

  • odcięcie pasywnego zaufania do kontekstu (Issues/PR jako untrusted),
  • minimalizacja i kontrola GITHUB_TOKEN,
  • redukcja automatycznych mechanizmów pobierania zasobów (np. schema),
  • oraz polityki operacyjne „jak bezpiecznie używać agent mode”.

Źródła / bibliografia

  1. Orca Security Research Pod – „RoguePilot: Exploiting GitHub Copilot for a Repository Takeover” (16 lutego 2026). (Orca Security)
  2. SecurityWeek – „GitHub Issues Abused in Copilot Attack Leading to Repository Takeover” (24 lutego 2026). (SecurityWeek)
  3. GitHub Docs – „Default environment variables for your codespace” (opis GITHUB_TOKEN). (GitHub Docs)
  4. OWASP GenAI – LLM01: Prompt Injection (oraz OWASP Top 10 for LLM Applications). (OWASP Gen AI Security Project)
  5. Microsoft VS Code – issue dot. ustawienia json.schemaDownload.enable (wyłączenie pobierania schem). (GitHub)

USA nakłada sankcje na rosyjskiego „brokera exploitów” Operation Zero. W tle kradzież narzędzi cybernetycznych z L3Harris

Wprowadzenie do problemu / definicja luki

Rynek 0-day (zero-day) i „brokerów exploitów” to szara strefa pomiędzy legalnym bug bounty a handlem ofensywnymi narzędziami, które mogą trafić do służb i grup przestępczych. „Exploit broker” skupuje podatności lub gotowe łańcuchy exploitów, często oferując wysokie premie za ekskluzywność, a następnie odsprzedaje je wybranym klientom.

W tym modelu kluczowym ryzykiem jest brak „responsible disclosure”: dostawca oprogramowania nie dowiaduje się o luce, dopóki ktoś jej nie użyje. Według komunikatu Departamentu Skarbu USA, Operation Zero miało oferować wielomilionowe „bounty” za exploity na powszechnie używane produkty, w tym amerykańskie systemy operacyjne i aplikacje szyfrujące.

W skrócie

  • 24 lutego 2026 r. OFAC (Departament Skarbu USA) nałożył sankcje na rosyjskiego obywatela Sergeya Sergeyevicha Zelenyuka oraz jego firmę Matrix LLC (działającą jako Operation Zero), a także na sieć powiązanych osób i podmiotów.
  • W tle jest sprawa Petera Williamsa (byłego menedżera w spółce powiązanej z L3Harris), który przyznał się do kradzieży tajemnic handlowych i sprzedaży komponentów exploitów brokerowi z Rosji.
  • USA wskazują, że co najmniej osiem skradzionych narzędzi cybernetycznych (zbudowanych do użytku rządu USA i wybranych sojuszników) trafiło do Operation Zero, a następnie do „nieuprawnionych” użytkowników.

Kontekst / historia / powiązania

Z artykułu The Record wynika, że Operation Zero miało jawnie marketingować się do klientów spoza NATO oraz do „zagranicznych agencji wywiadowczych”. To istotne, bo sygnalizuje model biznesowy nastawiony na dostarczanie ofensywnych capability podmiotom, które mogą je wykorzystać w działaniach państwowych lub przestępczych.

Do tego dochodzi wątek „insider threat”: Williams miał wykorzystywać dostęp do sieci i zasobów pracodawcy, aby wynosić chronione komponenty i sprzedawać je w zamian za płatności w kryptowalutach oraz „follow-on support” (wsparcie po sprzedaży).

W komunikacie Skarbu USA pojawia się też drugi broker: Advance Security Solutions (operacje w UAE i Uzbekistanie), wskazany jako podmiot oferujący bounty za exploity na amerykańskie technologie.

Analiza techniczna / szczegóły luki

To nie jest pojedyncza podatność typu CVE, tylko łańcuch dostaw ofensywnych narzędzi:

  1. Pozyskanie exploitów/0-day
    Broker oferuje premie (często „za wyłączność”) za gotowe exploity na popularne platformy. Według OFAC, Operation Zero nie ujawniało luk producentom oprogramowania.
  2. Przerzut narzędzi przez kanały trudne do atrybucji
    W sprawie Williamsa pojawiają się: transfer „encrypted means”, kontrakty i płatności w kryptowalutach. To zestaw typowy dla ograniczania śladów finansowych i operacyjnych.
  3. Monetyzacja i „operacjonalizacja”
    Exploity mogą być użyte do: zdalnego wykonania kodu, eskalacji uprawnień, wykradania danych, instalacji spyware, budowy botnetów lub łańcuchów ransomware. OFAC wprost wskazuje ryzyko użycia takich narzędzi do ransomware i innych „malign activities”.
  4. Dodatkowy wektor: dane i AI
    W komunikacie Skarbu USA pada też wątek prób rozwijania metod pozyskiwania danych (PII/sensitive data) w kontekście informacji wgrywanych przez użytkowników do aplikacji AI (np. LLM). To ważny sygnał dla organizacji: „prompt/attachment hygiene” zaczyna być elementem bezpieczeństwa danych, nie tylko compliance.

Praktyczne konsekwencje / ryzyko

Dla zespołów bezpieczeństwa największe znaczenie ma to, że sankcje dotyczą ekosystemu dostawców ofensywnych capability, a nie tylko jednej kampanii malware.

Najbardziej realne ryzyka:

  • Wzrost prawdopodobieństwa ataków 0-day na popularne platformy (OS, komunikatory szyfrujące, oprogramowanie enterprise) bez uprzedzenia producenta.
  • Ryzyko insider threat w firmach technologicznych i obronnych: wynoszenie kodu, komponentów exploitów, dokumentacji lub narzędzi z repozytoriów i systemów build/release.
  • Ryzyko sankcyjne i reputacyjne: kontakt handlowy (bezpośredni lub pośredni) z podmiotami objętymi sankcjami może generować konsekwencje prawne i finansowe (w tym dla firm spoza USA, jeśli wchodzą w interakcje z systemem finansowym USA).

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/CSIRT, GRC i działów zakupów (vendor management) sensowne są działania „tu i teraz”:

  1. Screening sankcyjny i due diligence dostawców
    • Zaktualizuj listy screeningowe o nowe wpisy OFAC (SDN) i sprawdź: dostawców usług security, „research brokers”, pośredników bug bounty, a także kontrahentów płatności krypto/escrow.
  2. Wzmocnienie kontroli insider threat
    • DLP na repozytoriach kodu i systemach do zarządzania podatnościami / exploitami.
    • Monitoring nietypowych eksportów danych (duże archiwa, prywatne klucze, artefakty build).
    • Zasada najmniejszych uprawnień i rozdział ról dla dostępu do „high-risk” komponentów (exploit dev, implant frameworks, red-team tooling).
  3. Higiena 0-day readiness
    • Uporządkuj proces „rapid response patching” (SLA na krytyczne podatności) oraz plan awaryjny, gdy patcha nie ma: segmentacja, izolacja, wirtualne łatki (WAF/IPS), hardening.
    • Przećwicz playbook „exploitation suspected” (telemetria EDR, hunting, memory forensics).
  4. Polityka danych w kontekście AI/LLM
    • Zablokuj wrażliwe uploady do narzędzi AI (kod, logi, konfiguracje, dane klientów), jeśli nie masz jasnej kontroli nad retencją i dostępem; traktuj to jako element ochrony tajemnic przedsiębiorstwa. (To szczególnie istotne w świetle wątków o „data extraction” wspomnianych przez OFAC).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W odróżnieniu od sankcji nakładanych na konkretne gangi ransomware czy grupy APT, ten przypadek celuje w rynek pośredników: podmioty, które nie muszą same prowadzić kampanii, ale dostarczają „amunicję” (0-day i spyware) innym.

To podobna logika do działań wymierzonych w „dostawców” ekosystemu (np. infrastruktura, bulletproof hosting, brokerzy dostępu), tyle że tu chodzi o łańcuch dostaw exploitów i potencjalne „przecieki” narzędzi przeznaczonych dla rządowych zastosowań.

Podsumowanie / kluczowe wnioski

  • Sankcje z 24 lutego 2026 r. pokazują, że USA coraz mocniej traktują handel 0-day jako element bezpieczeństwa narodowego, zwłaszcza gdy w grę wchodzi kradzież narzędzi z sektora obronnego.
  • Dla firm najważniejsze jest podejście „systemowe”: kontrola insider threat, gotowość na 0-day oraz rygorystyczny compliance screening (w tym łańcucha dostaw usług cyber).
  • Wątek AI/LLM w komunikacie OFAC to kolejny sygnał, że ochrona danych i tajemnic handlowych musi obejmować również procesy związane z korzystaniem z narzędzi generatywnych.

Źródła / bibliografia

  1. The Record (Recorded Future News) – opis sankcji i kontekstu sprawy Williamsa/Operation Zero. (The Record from Recorded Future)
  2. U.S. Department of the Treasury (OFAC) – komunikat „Treasury Sanctions Exploit Broker Network…”, szczegóły dot. Operation Zero, powiązanych podmiotów i podstawy prawnej. (U.S. Department of the Treasury)
  3. U.S. Department of Justice – komunikat o przyznaniu się Petera Williamsa do winy (kradzież tajemnic i sprzedaż brokerowi z Rosji). (Department of Justice)
  4. TechCrunch – dodatkowe tło dziennikarskie dot. sankcji i brokerów 0-day. (TechCrunch)
  5. Reuters – szerszy kontekst pakietu sankcji cyber i powiązania ze śledztwem. (Reuters)

Autonomiczne agenty AI tworzą nową klasę ataków supply chain: gdy „socjotechnika” celuje w algorytmy, nie w ludzi

Wprowadzenie do problemu / definicja luki

Rozszerzalne ekosystemy agentów AI (pluginy, „skills”, narzędzia i marketplace’y) zaczynają przypominać klasyczne repozytoria zależności typu npm/PyPI — ale z jedną kluczową różnicą: agent nie tylko „instaluje” komponent, lecz potrafi samodzielnie działać, podejmować decyzje i wykonywać operacje na uprawnieniach użytkownika. To zmienia supply chain w coś więcej niż podmianę biblioteki: staje się to łańcuchem wpływu między agentami, gdzie dystrybucja złośliwego komponentu odbywa się przez rekomendacje, rankingi i „zaufanie” w społecznościach agentów.

Najnowszy incydent opisany jako agent-to-agent attack chain pokazuje, że atakujący mogą prowadzić kampanie, które przypominają klasyczną socjotechnikę — tylko że ich celem są autonomiczne systemy rekomendacji i automatyczne workflow, a nie człowiek.

W skrócie

  • Badacze opisali aktywną kampanię, w której złośliwe „skills” (pluginy) były dystrybuowane poprzez marketplace (Clawhub), a następnie promowane w „social media dla agentów” (Moltbook).
  • Wektor obejmuje podszywanie się człowieka pod agenta, budowanie wiarygodności, a potem „sprzedaż” złośliwego rozszerzenia innym agentom.
  • Skutek w opisywanym przypadku: kradzież wartości w świecie krypto (m.in. niebezpieczne obchodzenie się z kluczami prywatnymi i przekierowanie płatności), ale schemat jest przenośny na inne domeny (SaaS, chmura, DevOps, finanse).

Kontekst / historia / powiązania

Supply chain w świecie AI/LLM ma dziś co najmniej trzy warstwy:

  1. Kod i zależności (biblioteki, obrazy, integracje) — klasyczny problem.
  2. Orkiestracja i frameworki agentowe (np. podatności w warstwie serializacji/metadata) — realne CVE pokazują, że komponenty agentowe mogą stać się „kanałem” eksploatacji.
  3. Marketplaces i ekosystem „umiejętności” — nowy odpowiednik „sklepu z aplikacjami”, często bez dojrzałych mechanizmów weryfikacji.

Microsoft wprost podkreśla, że dyskusje o prompt injection to tylko jedna warstwa, a równie ważne jest zabezpieczanie łańcucha dostaw aplikacji AI: frameworków, SDK i warstw orkiestracji.
Z kolei OWASP w swoich ryzykach dla aplikacji LLM wskazuje supply chain jako osobną, powtarzalną klasę zagrożeń.

Analiza techniczna / szczegóły luki

1. Jak działa „agent-to-agent supply chain” w praktyce

W opisywanym incydencie kluczowe są trzy elementy:

(A) Marketplace rozszerzeń (Clawhub / „Claude Skills”)
Straiker przeanalizował tysiące dostępnych „Skills” i wskazał, że część z nich była wprost złośliwa lub wysokiego ryzyka. W tym środowisku „skill” to nie tylko statyczny pakiet — to definicje narzędzi i instrukcje, które agent może automatycznie uruchomić w trakcie pracy.

(B) Warstwa „społeczna” dla agentów (Moltbook)
Atakujący (człowiek podszywający się pod agenta) wykorzystywał środowisko, gdzie agenty czytają treści innych agentów i na ich podstawie podejmują decyzje. To wprowadza „rekomendacje” jako mechanizm dystrybucji złośliwego komponentu.

(C) Automatyczne rozprzestrzenianie przez współpracę agentów
Gdy agent zainstaluje/aktywuje skill, kompromitacja może rozlać się dalej przez zautomatyzowane workflow, współdzielone integracje i łańcuch zależności — już bez dalszej interakcji człowieka.

2. Dlaczego to jest „nowa klasa” ataku

SecurityWeek cytuje wprost tezę: to połączenie tradycyjnego zatruwania supply chain z kampanią socjotechniczną, która celuje w algorytmy (systemy rekomendacji, autonomiczne wybory agentów), a nie w użytkowników.
Straiker opisuje ten schemat jako „playbook”: wiarygodna persona → zaufanie w społeczności agentów → najpierw „benign”, potem ładunek złośliwy → skala i powtarzalność.

3. Co tu „pęka” w modelu zaufania

Najbardziej niebezpieczne jest zestawienie:

  • agentów, które muszą konsumować nieufne treści (posty, opisy narzędzi, README, rankingi),
  • z agentami mającymi realne uprawnienia (sekrety, API, portfele, repozytoria, CI/CD),
  • oraz brakiem twardych granic wykonania (sandbox/allowlist/approval).

Vectra opisuje to jako zjawisko „reverse prompt injection” (bot-to-bot), gdzie samo „czytanie” staje się wektorem wpływu, a szkodliwa logika może utrwalić się w pamięci agenta i zadziałać z opóźnieniem.

Praktyczne konsekwencje / ryzyko

Choć case dotyczy krypto (ryzyko utraty środków, przejęcia kluczy, przekierowania płatności), wzorzec jest groźniejszy w środowiskach firmowych:

  • Kompromitacja sekretów: tokeny chmurowe, klucze API, dane uwierzytelniające narzędzi DevOps.
  • Nadużycie narzędzi: agent z wtyczką może wykonywać akcje „legalnie” (ważnymi tokenami), więc telemetryka bywa myląca.
  • Ataki łańcuchowe: jeden „skill” trafia do wielu agentów przez rekomendacje i automatyczną współpracę.
  • Ryzyko regulacyjne: trudniej wykazać kontrolę nad uprawnieniami i pochodzeniem komponentów, gdy „aplikacja” jest dynamicznym grafem narzędzi.

W tle mamy też „klasyczne” podatności supply chain w warstwie frameworków agentowych — jak CVE w LangChain (NVD opisuje błąd serializacji jako podatność pozwalającą na niepożądane skutki przy przetwarzaniu danych).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które realnie redukują ryzyko „agent-to-agent supply chain” — nawet jeśli nie masz pełnej kontroli nad zewnętrznym marketplace’em:

  1. Zasada najmniejszych uprawnień dla narzędzi (Tool Least Privilege)
    • rozdziel tokeny per narzędzie/per agent, ogranicz zakres (scopes), wprowadź krótkie TTL.
  2. Allowlist + podpisy + provenance dla skill/pluginów
    • traktuj skill jak zależność produkcyjną: tylko zaufane źródła, kontrola wersji, weryfikowalny autor.
  3. Sandbox wykonania i twarde granice
    • oddziel środowisko uruchomieniowe skill od systemu/sekretów; blokuj shell, sieć, filesystem domyślnie.
  4. Wymóg potwierdzenia dla akcji wysokiego ryzyka
    • transfery pieniędzy, zmiany IAM, deploy do produkcji, eksport danych: zawsze human-in-the-loop.
  5. Polityki „content is hostile”
    • treści z forów/agent-social/wyników wyszukiwania traktuj jako nieufne wejście; filtruj i izoluj kontekst. (To spójne z podejściem OWASP do kategorii prompt injection i supply chain w aplikacjach LLM).
  6. Monitoring zachowań agentów, nie tylko IOC
    • wykrywaj anomalie w wywołaniach narzędzi (nietypowe domeny, nagłe skoki uprawnień, transfery).
  7. Higiena sekretów
    • zakaz przechowywania kluczy/sekretów w plaintext; używaj menedżerów sekretów + rotacja + detekcja wycieków.

Różnice / porównania z innymi przypadkami

Klasyczny supply chain (npm/PyPI) vs agent-to-agent supply chain:

  • npm/PyPI: ryzyko w momencie instalacji/uruchomienia pakietu przez człowieka lub pipeline.
  • agent-to-agent: dystrybucja „zaufania” dzieje się w sposób półautonomiczny; dodatkowo pojawia się warstwa społeczna (rankingi, rekomendacje, persony), a agent wykonuje działania sam.

Prompt injection vs reverse prompt injection (bot-to-bot):

  • prompt injection zwykle kojarzy się z atakiem przez użytkownika lub dane wejściowe.
  • w środowiskach agentowych treść może „wędrować” między agentami i utrwalać się w pamięci/konfiguracji, co utrudnia analizę źródła i czasem przypomina propagację.

Supply chain w frameworkach (CVE) vs supply chain w marketplace’ach narzędzi:

  • CVE (np. w LangChain) dotyka mechanizmów przetwarzania danych i orkiestracji.
  • marketplace’y dotykają dystrybucji „rozszerzeń” i reputacji — to bardziej „App Store security” niż klasyczne CVE.

Podsumowanie / kluczowe wnioski

  • Ekosystemy agentów AI tworzą nowy, skalowalny wektor supply chain, bo łączą: marketplace rozszerzeń + autonomiczne wykonanie + społeczności agentów.
  • Najgroźniejszy element to przeniesienie socjotechniki na poziom algorytmów i automatycznych decyzji (rekomendacje, adoption, workflow).
  • Obrona wymaga myślenia jak o infrastrukturze uprzywilejowanej: podpisy/provenance, sandbox, allowlist, polityki uprawnień i potwierdzenia działań wysokiego ryzyka — plus monitoring zachowań agentów.

Źródła / bibliografia

  1. SecurityWeek — opis kampanii „Autonomous AI Agents Provide New Class of Supply Chain Attack” (23 lutego 2026). (SecurityWeek)
  2. Straiker — „Built on ClawHub, Spread on Moltbook: The New Agent-to-Agent Attack Chain” (17 lutego 2026). (straiker.ai)
  3. Microsoft Security Blog — „Case study: Securing AI application supply chains” (30 stycznia 2026). (Microsoft)
  4. OWASP — Top 10 for Large Language Model Applications (kategorie ryzyk, w tym supply chain). (owasp.org)
  5. NVD (NIST) — CVE-2025-68664 (przykład podatności w ekosystemie agentowym/frameworkowym). (nvd.nist.gov)

Arkanix Stealer: krótkożyjący infostealer jako „eksperyment AI” – co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

Arkanix Stealer to rodzina malware typu infostealer (kradzież informacji), sprzedawana jako usługa (MaaS – malware-as-a-service) i promowana na forach cyberprzestępczych pod koniec 2025 r. Wyróżnia ją to, że badacze znaleźli przesłanki sugerujące AI/LLM-asystowany rozwój – co może obniżać próg wejścia dla autorów malware i skracać cykl „pomysł → działający stealer”.

W skrócie

  • Arkanix był reklamowany co najmniej od października 2025, a projekt miał mieć charakter krótkożyjący i nastawiony na szybki zysk.
  • Oferowano dwie linie ładunku: wersję Python (basic) oraz natywną C++ (premium), z ochroną/obfuskacją (m.in. VMProtect) i dodatkowymi funkcjami.
  • Istniał panel zarządzania oraz komunikacja przez Discord – element typowy dla MaaS.
  • Kaspersky wskazuje na ślady, które mogą sugerować udział LLM w kodowaniu, a projekt mógł być „bardziej publicznym produktem software’owym” niż klasycznie skrytym stealerem.

Kontekst / historia / powiązania

Z perspektywy rynku cyberprzestępczego Arkanix wpisuje się w trend „commodity stealers”: szybko rozwijanych narzędzi kradnących dane z przeglądarek, portfeli krypto i komunikatorów, dystrybuowanych przez kanały społecznościowe i „społeczności narzędziowe”.

Badacze opisują promocję Arkanixa w podziemiu oraz komponenty „biznesowe” (panel, tiering, społeczność na Discordzie). Właśnie taka produktowa otoczka MaaS sprawia, że nawet krótkożyjące kampanie potrafią zostawić duży „dług” incydentowy (sprzedane loginy, tokeny, dane przeglądarkowe).

Analiza techniczna / szczegóły luki

Architektura i modele dostarczania (Python vs C++)

Kaspersky opisuje zestaw implantów obejmujący Python loader/stealer oraz natywny wariant C++, przy czym model sprzedaży zakładał rozdział funkcji na „basic” i „premium”.

Zakres kradzionych danych

W dostępnych analizach przewija się typowy profil infostealera:

  • dane z Chromium-based przeglądarek (np. loginy, cookies, profile),
  • artefakty/sekrety związane z krypto-walletami,
  • informacje systemowe, a w „premium” – dodatkowe moduły typu screenshoty, Wi-Fi credentials, dane z aplikacji (np. platformy gamingowe/VPN).

ChromElevator i „post-exploitation”

Ciekawy element z raportu Kaspersky: Arkanix wykorzystywał publicznie dostępne narzędzie post-exploitation dla przeglądarek o nazwie ChromElevator, dostarczane przez natywną wersję stealera. To sugeruje pragmatyczne składanie „klocków” (gotowe komponenty + własny loader/panel), co dobrze pasuje do hipotezy o przyspieszonym wytwarzaniu.

Ślady AI/LLM w kodzie

BleepingComputer relacjonuje wnioski Kaspersky o przesłankach LLM-asystowanego developmentu (ślady w kodzie, które mogą wskazywać na udział modelu językowego i redukcję kosztu/czasu wytwarzania). Ważne praktycznie: nawet jeśli Arkanix „zniknął”, sam wzorzec (AI-wspomagane, szybko iterowane stealer-MaaS) jest ryzykiem systemowym.

IoC i infrastruktura

Kaspersky udostępnia listę IoC (hashy, domen, IP) oraz opis infrastruktury/promocji; to kluczowe do detekcji i threat huntingu.

Praktyczne konsekwencje / ryzyko

  1. Przejęcia kont: cookies/tokeny sesyjne mogą omijać samo hasło, a zebrane dane logowania trafiają do sprzedaży lub do dalszych ataków (BEC, przejęcia SaaS, lateral movement).
  2. Kradzież środków: kompromitacja portfeli krypto, rozszerzeń walletów lub seedów (bezpośrednia strata finansowa).
  3. Ryzyko łańcuchowe: infostealery są często „pierwszym etapem” – po nich pojawia się loader, ransomware lub włam do repozytoriów/CI.
  4. Trudniejszy tracking: krótkie życie projektu + modularność + szybkie iteracje utrudniają korelację kampanii i budowanie stabilnych sygnatur.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/Blue Team

  • Włącz hunt pod kątem artefaktów infostealerów: nietypowe dostępy do profili przeglądarek, masowe odczyty baz Login Data/Cookies (Chromium), podejrzane procesy potomne przeglądarek, anomalie w katalogach profilu użytkownika.
  • Zaciągnij IoC z raportu Kaspersky do SIEM/EDR i ustaw alertowanie (hash/domena/IP), a następnie koreluj z ruchem DNS/HTTP(S). (Securelist)
  • Blokuj dystrybucję przez Discord (tam gdzie to realne): polityki proxy/DNS, kontrola aplikacji, allowlisting binarek, ograniczenia dla plików pobieranych z komunikatorów i „community file sharing”.
  • Kontrola uruchamiania: AppLocker/WDAC (Windows), blokady dla uruchamiania z katalogów użytkownika (Downloads/Temp), szczególnie dla skryptów i dropperów.

Dla IT/SecOps

  • Wymuś MFA (najlepiej phishing-resistant, np. FIDO2) dla kluczowych usług; traktuj infostealery jako scenariusz „hasło już wyciekło”.
  • Zredukuj wartość danych w przeglądarce: polityki blokujące zapisywanie haseł, przejście na menedżer z ochroną, segmentacja profili, ograniczenia dla rozszerzeń.
  • Ochrona krypto (jeśli dotyczy organizacji): cold storage, separacja środowisk, zakaz seedów w plikach/komunikatorach, monitoring zmian w rozszerzeniach walletów.
  • IR playbook: jeżeli podejrzewasz infekcję infostealerem – reset haseł + unieważnienie sesji/tokenów, rotacja kluczy API, przegląd reguł przekierowań w poczcie, sprawdzenie OAuth app consent.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do „klasycznych” stealerów-MaaS, Arkanix wygląda na projekt:

  • bardziej produktowy (panel + społeczność) i jednocześnie krótkożyjący, co pasuje do modelu „szybki zysk i znikamy”.
  • oferujący wyraźny podział na Python vs natywny C++ (tiering funkcji i utrudnianie analizy/wykrycia).
  • z sygnałami sugerującymi, że LLM mógł przyspieszać tworzenie/iterację funkcji, co w dłuższej perspektywie może zwiększać „tempo mutacji” podobnych rodzin malware.

Podsumowanie / kluczowe wnioski

Arkanix Stealer jest dobrym przykładem, że nie trzeba wieloletniego projektu, by wypuścić na rynek działający infostealer z panelem i community. Najbardziej niepokojący wątek to przesłanki AI-asystowanego developmentu: nawet jeśli sam Arkanix był epizodem, to mechanika (szybkie składanie modułów + automatyzacja kodowania + sprzedaż w modelu MaaS) może w 2026 r. oznaczać więcej krótkich, trudnych do przypisania kampanii.

Źródła / bibliografia

  1. BleepingComputer – „Arkanix Stealer pops up as short-lived AI info-stealer experiment” (22 lutego 2026). (BleepingComputer)
  2. Kaspersky Securelist (GReAT) – „Arkanix Stealer: a C++ & Python infostealer” (19 lutego 2026). (Securelist)
  3. G DATA Security Blog – „Arkanix Stealer: Newly discovered short term profit malware” (1 grudnia 2025). (gdatasoftware.com)
  4. eSecurity Planet – „Rapidly Evolving Arkanix Stealer Hits Credentials and Wallets” (2 grudnia 2025). (eSecurity Planet)

Dlaczego Początkujący Nie Powinni Uczyć Się Z AI

O co tu chodzi? (bez ściemy)

Pisanie własnych rozwiązań i samodzielne rozwiązywanie zadań to klucz do rozwoju myślenia. AI może w tym pomagać – ale nie na samym starcie. Sprawdźmy, co naprawdę tracą początkujący, ucząc się z pomocą ChatGPT i innych modeli AI.

Czytaj dalej „Dlaczego Początkujący Nie Powinni Uczyć Się Z AI”

PromptSpy: pierwsze znane malware na Androida, które używa GenAI (Gemini) do utrzymania się na urządzeniu

Wprowadzenie do problemu / definicja luki

PromptSpy to rodzina złośliwego oprogramowania na Androida opisana przez ESET jako pierwszy znany przypadek użycia generatywnej AI w „execution flow” malware – nie do tworzenia treści phishingowych, lecz do dynamicznego sterowania interfejsem (UI) w celu zwiększenia odporności na zamknięcie aplikacji i uzyskania „trwałości” działania. Kluczowym elementem jest wykorzystanie Google Gemini do interpretacji aktualnego ekranu (w formie zrzutu struktury UI) i zwracania instrukcji działań (np. kliknięcia/tapy) tak, by aplikacja została „przypięta” w widoku ostatnich aplikacji (Recent Apps).

W skrócie

  • PromptSpy występuje jako dropper + payload; dropper nakłania do ręcznej instalacji „aktualizacji”, która jest właściwym ładunkiem.
  • GenAI (Gemini) służy do automatyzacji gestów w UI: malware wysyła do modelu XML z hierarchią elementów ekranu, a dostaje JSON z instrukcjami kliknięć/gestów.
  • Celem operacyjnym nie jest sama AI, tylko zdalna kontrola przez VNC po uzyskaniu uprawnień Dostępności (Accessibility).
  • ESET wskazuje na prawdopodobne ukierunkowanie na Argentynę (m.in. „MorganArg”, hiszpańskie elementy, ślady dystrybucji), przy jednoczesnym braku potwierdzenia w telemetrii ESET (możliwy PoC).

Kontekst / historia / powiązania

ESET opisuje dwie powiązane linie rozwoju:

  • VNCSpy – wcześniejsza wersja widziana w serwisach analitycznych w połowie stycznia 2026.
  • PromptSpy – bardziej zaawansowana wersja (próbki z lutego 2026), w której dodano moduł „AI-assisted UI manipulation”.

Łańcuch dystrybucji, jaki ESET zrekonstruował na podstawie danych z analiz, miał obejmować domeny dystrybucyjne oraz stronę podszywającą się pod bank (brandowanie sugerujące „Chase/Morgan”), a także powiązany trojan phishingowy podpisany tym samym certyfikatem deweloperskim.

Analiza techniczna / szczegóły luki

1) Dropper → payload („fałszywa aktualizacja”)

Dropper zawiera w zasobach (assets) właściwe APK (payload). Po uruchomieniu wyświetla komunikat sugerujący instalację aktualizacji, którą ofiara musi zainstalować ręcznie.

2) Uprawnienia Accessibility jako „master key”

Po instalacji payload prosi o Accessibility Service, co daje zdolność odczytu elementów na ekranie i wykonywania interakcji (kliknięć/gestów). To klasyczny, ale nadal skuteczny wzorzec nadużyć Dostępności w malware na Androida.

3) GenAI jako silnik „adaptacyjnej automatyzacji UI”

Najciekawszy element: PromptSpy próbuje uzyskać „trwałość” poprzez zablokowanie/przypięcie aplikacji w Recent Apps (mechanizm widoczny w wielu launcherach jako ikona kłódki). Ponieważ ścieżka do tej opcji różni się między producentami/wersjami UI, twarde skrypty łatwo się psują.

PromptSpy rozwiązuje to tak:

  • zbiera XML dump aktualnego ekranu (teksty, opisy, klasy, pakiety, współrzędne/bounds),
  • wysyła do Gemini prompt + XML,
  • odbiera JSON z instrukcjami (np. „tap w środek bounds elementu X”),
  • wykonuje akcje przez Accessibility i powtarza pętlę, aż model potwierdzi, że aplikacja jest „locked”.

To oznacza, że GenAI jest tu użyte jak „planner” dla automatyzacji UI, a nie generator tekstu.

4) Funkcje szpiegowskie i zdalna kontrola (VNC)

ESET wskazuje, że głównym „ładunkiem wartości” jest wbudowany VNC, pozwalający operatorowi widzieć ekran i sterować urządzeniem w czasie rzeczywistym po uzyskaniu Dostępności. Dodatkowo malware ma funkcje typu: zbieranie informacji o urządzeniu, screenshoty, nagrywanie aktywności ekranu, przechwytywanie danych ekranu blokady i inne działania opisane w materiałach ESET.

5) Utrudnianie usunięcia (anti-removal)

PromptSpy ma mechanizm obrony: przy próbie odinstalowania lub wyłączenia Dostępności nakłada niewidoczne nakładki (overlay) – przezroczyste prostokąty przechwytujące kliknięcia na kluczowych przyciskach (np. „Uninstall”, „Stop” itp.). ESET podaje, że praktyczną metodą usunięcia jest Safe Mode, gdzie aplikacje firm trzecich nie działają.

6) Atrybucja i pochodzenie

W kodzie zauważono debug stringi i obsługę zdarzeń Dostępności opisaną po chińsku, co sugeruje (ze średnią pewnością) środowisko developerskie chińskojęzyczne.

Praktyczne konsekwencje / ryzyko

  • Dla użytkowników: po przejęciu Dostępności i uruchomieniu VNC atakujący może wykonywać działania „jak użytkownik” (otwieranie aplikacji bankowych, zatwierdzanie okien, przełączanie ekranów), a mechanizmy anti-removal utrudniają szybkie pozbycie się zagrożenia.
  • Dla zespołów SOC / IR: pojawia się nowa klasa TTP: malware, które zamiast utrzymywać zestaw reguł per producent/UI, deleguje „rozumienie ekranu” do modelu. To może zwiększyć skalowalność ataków na różnorodny ekosystem Androida.
  • Ryzyko adaptacji: nawet jeśli w tym przypadku prompt i model są „na sztywno” w kodzie, sam wzorzec (UI → LLM → akcje) jest łatwy do skopiowania przez innych aktorów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i administratorów MDM

  1. Zablokuj sideloading (instalacje spoza oficjalnych sklepów) politykami MDM, gdzie to możliwe; PromptSpy nie był dystrybuowany przez Google Play.
  2. Audyt Accessibility: regularnie sprawdzaj, które aplikacje mają aktywną Dostępność; odbieraj ją aplikacjom, które nie są absolutnie zaufane.
  3. Jeśli podejrzewasz infekcję: uruchom urządzenie w Trybie awaryjnym (Safe Mode) i odinstaluj podejrzaną aplikację (ESET opisuje to jako realną drogę obejścia overlay).
  4. Upewnij się, że Google Play Protect jest aktywny (ESET wskazuje, że użytkownicy są chronieni przed znanymi wariantami, a ustalenia przekazano Google).

Dla SOC/Blue Team

  1. Polityki detekcji na urządzeniach mobilnych: alertuj na podejrzane żądania Dostępności + nakładki/overlays + nietypowe usługi w foreground.
  2. Threat hunting po artefaktach dystrybucji: domeny i infrastruktura wskazana w analizie ESET (np. serwisy dystrybucyjne/phishingowe) mogą służyć jako IOC do blokad na poziomie DNS/SWG (tam, gdzie dotyczy).
  3. Procedury IR: w playbookach mobilnych uwzględnij scenariusz, w którym UI automatyzacja jest adaptacyjna (LLM), a nie skryptowa — to wpływa na ocenę „dlaczego to działa na tylu modelach urządzeń”.

Różnice / porównania z innymi przypadkami

  • Klasyczne malware na Androida automatyzuje UI przez stałe współrzędne, selektory lub heurystyki, co często pęka na różnych wersjach nakładek producentów. PromptSpy wykorzystuje LLM do „czytania” UI i generowania akcji w locie.
  • ESET zwraca uwagę, że to drugi przypadek „AI-powered malware” wykryty przez ich badaczy, po PromptLock (sierpień 2025) – ale tutaj AI jest użyte w innym miejscu łańcucha ataku (persistencja/automatyzacja UI, nie planowanie ataku jako takiego).

Podsumowanie / kluczowe wnioski

PromptSpy to ważny sygnał zmiany: GenAI przestaje być wyłącznie „akceleratorem socjotechniki”, a zaczyna pełnić rolę warstwy adaptacyjnej automatyzacji w samym malware. W praktyce oznacza to, że atakujący mogą łatwiej skalować kampanie na zróżnicowane urządzenia i wersje Androida, zwłaszcza gdy osiągną Dostępność i zdalne sterowanie (VNC). Nawet jeśli obecne próbki mogą być PoC, wzorzec jest na tyle czytelny, że warto już teraz uwzględniać go w detekcji, politykach MDM oraz edukacji użytkowników.

Źródła / bibliografia

  1. Analiza techniczna ESET na WeLiveSecurity: „PromptSpy ushers in the era of Android threats using GenAI” (We Live Security)
  2. Komunikat ESET Newsroom: „ESET Research discovers PromptSpy, the first Android threat to use generative AI” (ESET)

Google łączy rosyjsko-powiązanego aktora z kampaniami CANFAIL przeciw Ukrainie. W tle: phishing, JavaScript (*.pdf.js) i „LLM-generated lures”

Wprowadzenie do problemu / definicja luki

W połowie lutego 2026 r. Google Threat Intelligence Group (GTIG) opisało wcześniej nieudokumentowanego aktora zagrożeń, którego działania wiąże z kampaniami wymierzonymi w ukraińskie organizacje i dystrybucją malware’u nazwanego CANFAIL. To istotne z dwóch powodów:

  1. Sektorowe ukierunkowanie – cele obejmują obszary krytyczne dla państwa (obrona, administracja, energetyka).
  2. Ewolucja TTP – GTIG zauważa, że aktor zaczął wykorzystywać LLM do rozpoznania, tworzenia przynęt socjotechnicznych i wsparcia działań po kompromitacji.

W praktyce oznacza to bardziej „skalowalny” phishing (lepsza jakość treści, dopasowanie do branży/regionu) nawet u grup, które nie mają zasobów porównywalnych z topowymi rosyjskimi APT.

W skrócie

  • GTIG przypisuje kampanie z CANFAIL nowemu aktorowi, prawdopodobnie powiązanemu z rosyjskimi służbami.
  • Główne cele: obrona, wojsko, administracja, energetyka w Ukrainie; dodatkowo rosnące zainteresowanie aerospace, firmami powiązanymi z dronami, badaniami nuklearnymi/chemicznymi oraz organizacjami humanitarnymi i monitorującymi konflikt.
  • Wektor: phishing podszywający się m.in. pod ukraińskie podmioty energetyczne; w kampanii pojawiają się linki do Google Drive z archiwum RAR zawierającym CANFAIL.
  • Plik jest maskowany jako PDF poprzez podwójne rozszerzenie typu *.pdf.js.
  • CANFAIL to zaciemniony JavaScript, uruchamiający łańcuch z PowerShell, w tym etap pobierający i wykonujący dropper „memory-only”.
  • GTIG łączy aktora również z kampanią PhantomCaptcha, opisaną w 2025 r. przez SentinelLabs, wykorzystującą technikę ClickFix i końcowy ładunek w postaci WebSocket RAT.

Kontekst / historia / powiązania

GTIG umieszcza tę aktywność w szerszym krajobrazie zagrożeń wobec defense industrial base (DIB) – gdzie obserwuje się zarówno klasyczne włamania w infrastrukturę organizacji, jak i coraz częstsze ataki „na ludzi” (pracowników, procesy rekrutacyjne, prywatne skrzynki), co utrudnia detekcję po stronie EDR/korporacyjnego SOC.

Wątek PhantomCaptcha jest tu szczególnie ważny, bo pokazuje, że (1) celowanie w ekosystem wsparcia Ukrainy i (2) social engineering „na klik” potrafią być bardzo dopracowane operacyjnie – SentinelLabs opisywało kampanię aktywną zaledwie jeden dzień, ale przygotowywaną miesiącami.

Analiza techniczna / szczegóły

1. Initial access: phishing + dopasowane listy adresowe

GTIG wskazuje na kampanie phishingowe, w których aktor:

  • podszywa się pod krajowe i lokalne organizacje energetyczne w Ukrainie w celu przejęcia skrzynek (organizacyjnych i prywatnych),
  • potrafi też udawać rumuńską firmę energetyczną współpracującą z klientami w Ukrainie, a wątek operacyjny dotyka także Rumunii i rozpoznania w Mołdawii.
  • buduje listy adresowe dopasowane do regionów i branż, co zwiększa trafność i wiarygodność kampanii.

2. Przynęty generowane przez LLM

Najbardziej „nowoczesnym” elementem jest to, że GTIG zauważa użycie LLM do:

  • rozpoznania i profilowania celów,
  • tworzenia treści przynęt (lures),
  • uzyskiwania odpowiedzi na podstawowe pytania techniczne dot. działań po kompromitacji oraz budowy C2.

To nie musi oznaczać „AI-malware”, ale w praktyce znacząco podnosi jakość socjotechniki i skraca czas przygotowania kampanii.

3. Delivery: Google Drive → RAR → *.pdf.js

W łańcuchu dostarczenia pojawia się:

  • link do Google Drive,
  • archiwum RAR,
  • plik udający dokument PDF dzięki podwójnemu rozszerzeniu *.pdf.js.

To klasyczny trik na zmylenie użytkownika (i czasem pobieżnej kontroli), bo ikona/„nazwa” sugerują PDF, a faktycznie uruchamiany jest skrypt.

4. CANFAIL: zaciemniony JavaScript → PowerShell → dropper w pamięci

GTIG opisuje CANFAIL jako:

  • obfuscated JavaScript malware,
  • którego rolą jest uruchomienie PowerShell,
  • a dalej pobranie i wykonanie memory-only PowerShell droppera (czyli bez klasycznego zapisu „payloadu” na dysk),
  • równolegle z wyświetleniem fałszywego komunikatu „error”, który ma obniżyć czujność ofiary.

Dlaczego to groźne? Etapy „memory-only” utrudniają analizę artefaktów na dysku i mogą ograniczać widoczność dla części narzędzi, jeśli telemetryka PowerShell/AMSI/logowanie jest słabe lub wyłączone.

5. Powiązanie z PhantomCaptcha (ClickFix + WebSocket RAT)

GTIG łączy aktora także z kampanią PhantomCaptcha, w której:

  • użytkownik jest wciągany w „instrukcję” typu ClickFix (np. skopiuj/uruchom komendę PowerShell),
  • a finalny payload to WebSocket RAT umożliwiający zdalne polecenia i eksfiltrację danych.

To ciekawe zestawienie: CANFAIL to „klasyczne” dostarczenie przez archiwum i plik-przynętę, a PhantomCaptcha to bardziej interaktywny social engineering, ale cel (kompromitacja) i profil ofiar pozostają spójne.

Praktyczne konsekwencje / ryzyko

  1. Wzrost skuteczności phishingu dzięki LLM: lepsza polszczyzna/angielski, formalny styl, dopasowanie do procedur instytucji, szybsze tworzenie wariantów.
  2. Ryzyko przejęcia skrzynek e-mail (organizacyjnych i prywatnych) jako punktu startowego do dalszych ataków (BEC, lateral movement, podszycia w korespondencji).
  3. Trudniejsza detekcja etapów „in-memory” i nadużyć PowerShell, zwłaszcza w środowiskach z ograniczonym logowaniem.
  4. Szeroki profil celów (od energetyki po organizacje humanitarne) zwiększa prawdopodobieństwo, że skutki będą „łańcuchowe” – kompromitacja jednego partnera potrafi otworzyć drogę do kolejnych.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które mają sens niezależnie od tego, czy jesteś bezpośrednim celem (Ukraina), czy partnerem/kontrahentem w regionie:

E-mail i przeglądanie plików

  • Blokuj lub oznaczaj pliki z podwójnymi rozszerzeniami oraz nietypowymi kombinacjami typu *.pdf.js; rozważ reguły w bramkach e-mail.
  • Ogranicz uruchamianie skryptów z archiwów (RAR/ZIP) i wdrażaj polityki „Mark of the Web”/ASR tam, gdzie to możliwe.

Telemetria i detekcja

  • Włącz/utwardź logowanie PowerShell (Script Block Logging, Module Logging) oraz integrację AMSI – to realnie zwiększa szanse wykrycia łańcuchów JS→PS.
  • Szukaj korelacji: procesy skryptowe + pobrania z chmur plikowych (np. dyski online) + nietypowe komunikaty „error” w tym samym czasie.

Kontrola tożsamości

  • Wymuś MFA na poczcie oraz rozważ odporne metody (FIDO2/WebAuthn) dla kont uprzywilejowanych.
  • Monitoruj anomalie logowania, reguły przekierowań w skrzynkach, OAuth consent i aplikacje pocztowe.

Odporność na ClickFix

  • Przeszkol użytkowników, że „CAPTCHA/strona ochrony” nigdy nie powinna wymagać uruchamiania komend w PowerShell/Terminalu. PhantomCaptcha pokazała, że to działa, gdy jest dobrze opakowane.

Różnice / porównania z innymi przypadkami

CANFAIL vs PhantomCaptcha/ClickFix:

  • Wektor:
    • CANFAIL: archiwum RAR + plik *.pdf.js (podszycie pod dokument).
    • PhantomCaptcha: przynęta prowadzi do „instrukcji” uruchomienia komendy (ClickFix) i końcowo RAT.
  • Wspólny mianownik:
    • dominacja socjotechniki i korzystanie z „zaufanych” elementów (np. usługi chmurowe, wiarygodne szablony, formalny język),
    • profil ofiar związany z Ukrainą i jej ekosystemem wsparcia/obrony.
  • Trend:
    • przesunięcie akcentu w stronę działań, które omijają klasyczną widoczność enterprise (prywatne konta, indywidualne cele, procesy HR).

Podsumowanie / kluczowe wnioski

CANFAIL to kolejny przykład tego, że nawet aktor oceniany jako „mniej zaawansowany” może szybko zwiększać skuteczność dzięki LLM: lepsze rozpoznanie, lepsze treści phishingowe, szybsze iteracje kampanii.
Technicznie łańcuch jest pragmatyczny: RAR → *.pdf.js → JS → PowerShell → memory-only dropper, a w tle podobna filozofia „user-execution” jak w ClickFix.
Dla obrońców oznacza to konieczność połączenia: (1) higieny pocztowej i świadomości użytkowników, (2) solidnej telemetrii PowerShell, (3) twardej kontroli tożsamości.

Źródła / bibliografia

  • The Hacker News: opis aktora i łańcucha CANFAIL (13 lutego 2026). (The Hacker News)
  • Google Cloud Blog (GTIG): „Beyond the Battlefield: Threats to the Defense Industrial Base” (10 lutego 2026). (Google Cloud)
  • SentinelOne SentinelLabs: raport „PhantomCaptcha: Multi-Stage WebSocket RAT…” (22 października 2025). (SentinelOne)
  • BleepingComputer: omówienie PhantomCaptcha/ClickFix (22 października 2025). (BleepingComputer)
  • The Record: tło operacyjne i cele PhantomCaptcha (22 października 2025). (The Record from Recorded Future)