<div id="post_message_805190">

Исследователи из AquaSec обнаружили новый вредонос под Linux с необычным поведением и ещё более необычной маскировкой. Вредонос называется Koske, и, судя по всему, он был частично разработан с использованием генеративного ИИ. Самое интересное — он прячется в… фотографиях панд.<br/>
<br/>
И нет, это не шутка. Атака начинается с того, что на уязвимый сервер, где неправильно настроен JupyterLab, загружаются два JPEG-файла с изображениями панд. С виду — самые обычные картинки, но внутри них спрятан вредоносный код.<br/>
<br/>
Не с помощью стеганографии, как можно было бы подумать, а с помощью так называемых полиформатных файлов (polyglot). Это такие файлы, которые одновременно являются изображением и исполняемым скриптом — в зависимости от того, кто их читает.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">Откроешь в браузере — увидишь панду. Прочитаешь как скрипт — получишь запущенный вредонос в памяти.</font>
</td>
</tr>
</table>
</div>В одном из файлов содержится C-код, который компилируется прямо в оперативной памяти и превращается в руткит. Он использует <i><font color="Red">LD_PRELOAD</font></i>, чтобы подменять системные вызовы и скрывать вредоносные процессы, файлы и директории. Второй файл — shell-скрипт, который тоже запускается из памяти. Он обеспечивает незаметную работу и закрепление в системе — через <i><font color="red">cron</font></i>, <i><font color="red">systemd</font></i>, перезапись DNS, обнуление iptables и даже автоматический подбор работающих прокси.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl4.joxi.net/drive/2025/07/25/0048/3474/3202450/50/eb54198213.jpg"/><br/>
<br/>
После этого Koske скачивает с GitHub криптомайнеры и определяет, какой из них использовать, в зависимости от ресурсов машины. Он умеет майнить 18 разных криптовалют, включая Monero, Ravencoin, Zano, Nexa и другие. Если выбранный пул недоступен — переключается на резервный.<br/>
<br/>
Исследователи <a href="https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/" target="_blank">считают</a>, что часть вредоноса могла быть сгенерирована с помощью больших языковых моделей или автоматизированных платформ: поведение слишком адаптивное, скрипты грамотно построены, а архитектура — продвинутая.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/07/25/0048/3474/3202450/50/368f727caa.jpg"/><br/>
<br/>
Примечательно, что среди артефактов атаки нашли IP-адреса из Сербии, сербские фразы в скриптах и слова на словацком в GitHub-репозитории с майнерами. Но в AquaSec подчёркивают: это не даёт уверенной атрибуции.<br/>
<br/>
Koske — уже сам по себе серьёзная угроза, но главное — он показывает, каким может стать следующий этап в развитии вредоносов: умные, автономные, скрытные и непривязанные к жёсткому коду. И всё это — под видом милых JPEG-картинок.<br/>
<br/>
<a href="https://www.anti-malware.ru/news/2025-07-25-111332/46785" target="_blank">@ Anti-Malware </a>
</div>