A „Koske” nevű, Linux-alapú kártevő rávilágít arra, hogyan képesek a kiberbűnözők mesterséges intelligenciát felhasználni rosszindulatú szoftverek fejlesztésére, rejtett működésük biztosítására és a környezethez való alkalmazkodásra.
A felhő- és konténerbiztonsággal foglalkozó Aqua Security szerint a Koske fejlesztésében jelentős mértékben használtak mesterséges intelligenciát. A rosszindulatú programot úgy tervezték, hogy kihasználja a kompromittált rendszerek erőforrásait kriptovaluta-bányászatra. A Koske olyan CPU- és GPU-optimalizált bányászprogramokat telepít, amelyek a rendszer teljesítményéhez igazodva képesek Monero, Ravencoin, Nexa, Tari, Zano és további több mint egy tucat kriptovaluta bányászatára.
Az Aqua által megfigyelt támadások során a kártevőt hibásan konfigurált JupyterLab fejlesztői környezeteken keresztül terjesztették.
Miután a támadók hozzáférnek egy rendszerhez, backdoor-okat telepítenek, valamint letöltenek két, első pillantásra ártalmatlannak tűnő JPEG-képfájlt. Ezek azonban ún. poliglot fájlok: kívülről ártalmatlan pandákat ábrázoló képként jelennek meg, ám valójában beágyazott, rosszindulatú shellkódot tartalmaznak, amely további káros komponenseket, például egy rootkitet tölt le.
Az Aqua kutatói szerint a Koske fejlesztésében jelentős szerepet játszott a mesterséges intelligencia. Feltételezésük szerint a kártevő készítői nagy nyelvi modelleket (LLM-eket) alkalmaztak moduláris, nehezen észlelhető kód létrehozására, kifinomult rejtőzködési mechanizmusok kidolgozására, valamint arra, hogy a malware automatikusan alkalmazkodni tudjon különböző rendszerkörnyezetekhez.
Ami az alkalmazkodóképességet illeti: a Koske három különböző módszerrel is ellenőrzi, hogy hozzáfér-e ahhoz a GitHub-fiókhoz, ahonnan a további kártékony kódokat tölti le. Ha nem tud csatlakozni, automatikusan visszaállítja a proxybeállításokat, törli az operációs rendszer tűzfalának (iptables) szabályait, és módosítja a DNS-konfigurációt. Emellett dinamikusan képes működő proxykat is felderíteni az irányító és vezérlő (C&C) kommunikációhoz.
Az Aqua több jel alapján is úgy véli, hogy a kódot mesterséges intelligencia generálta. Ezt támasztják alá például a jól strukturált, bőbeszédű megjegyzések, a moduláris felépítés, valamint a bevált fejlesztési gyakorlatokat követő logikai szerkezet és defenzív programozási technikák.Egy másik figyelemre méltó szempont, hogy az AI által generált kód gyakran annyira általános szerkezetű, hogy ez megnehezíti a készítő azonosítását.