近期一款名为Koske的新型Linux恶意软件引起了网络安全领域的广泛关注。研究人员发现，Koske可能利用人工智能技术开发，其传播方式极为隐蔽，通过看似无害的熊猫JPEG图片将恶意代码直接部署到系统内存中。该恶意软件主要目的是利用主机CPU和GPU资源进行加密货币挖矿，支持超过18种不同的加密货币。Koske展现出的自适应行为，如根据主机性能选择挖矿程序和自动切换备用选项，让研究人员怀疑其背后是大型语言模型或自动化框架在驱动。其攻击流程包括利用JupyterLab配置错误获取初始访问，随后下载嵌入恶意代码的图片文件，并利用多态文件技术，使得同一文件既能显示为图片，又能被脚本解释器执行，隐藏的载荷包括直接写入内存的C代码（作为rootkit）和内存中执行的Shell脚本，用于网络加固、代理规避及持久化。

💡 Koske是一款复杂的Linux恶意软件，其开发可能利用了人工智能技术，表现出高度的自适应能力，这使得它能够根据目标系统环境进行调整，增加了检测和防御的难度。

🖼️ 传播方式隐蔽，Koske利用了多态文件的特性，将恶意代码（包括Shell脚本和C代码）嵌入到看似正常的熊猫JPEG图片中。这些图片文件同时具备有效的JPEG文件头和附加的恶意代码，能够被图像查看器正常显示，也能被脚本解释器执行，从而实现恶意载荷的加载。

⛏️ 核心目的为加密货币挖矿，Koske旨在利用受感染系统的CPU和GPU资源，挖掘包括Monero、Ravencoin等在内的18种加密货币。它能够评估主机性能，选择最优的挖矿程序，并在特定币种或矿池不可用时，自动切换到备用选项，展现出强大的自动化挖矿能力。

⚙️ 攻击流程与技术细节，Koske的攻击始于利用暴露的JupyterLab实例配置错误来获取初始访问权限。随后，它从合法的图床下载带有隐藏恶意代码的熊猫图片。恶意载荷被设计为直接写入内存执行，包括一个作为rootkit的C代码共享对象（.so文件），以及一个内存中执行的Shell脚本，该脚本通过滥用Linux原生工具、cron任务和systemd服务来实现隐蔽运行和持久化，并具备网络加固和代理规避功能。

HackerNews 编译，转载请注明出处：

新型Linux恶意软件Koske疑似利用人工智能技术开发，通过看似无害的熊猫JPEG图片将恶意代码直接部署到系统内存中。

网络安全公司AquaSec的研究人员分析后，将Koske描述为“一种复杂的Linux威胁”。基于其表现出的自适应行为，研究人员认为该恶意软件可能是利用大型语言模型（LLM）或自动化框架开发的。

Koske的主要目的是部署针对CPU和GPU优化的加密货币挖矿程序，利用主机计算资源挖掘超过18种不同的加密货币。

AquaSec在攻击中发现了塞尔维亚的IP地址、脚本中的塞尔维亚语短语，以及托管挖矿程序的GitHub仓库中的斯洛伐克语，但无法据此确认攻击者身份。

熊猫攻击

攻击者首先利用暴露在公网的JupyterLab实例配置错误实现命令执行。获取初始访问权限后，攻击者从OVH images、freeimage和postimage等合法图床下载两张熊猫JPEG图片。这些图片隐藏了恶意载荷。

AquaSec强调，攻击者并未使用隐写术在图片中隐藏恶意软件，而是依赖多态文件（同一文件可被不同应用解析为多种格式）。尽管熊猫图片包含有效的JPEG文件头，但文件尾部同时附加了恶意Shell脚本和C代码，使同一文件既能显示为正常图片，又能被脚本解释器执行。

攻击中使用的两张图片分别隐藏不同载荷，且同时启动：

载荷一：直接写入内存的C代码，编译后作为共享对象（.so文件）执行，充当rootkit。载荷二：在内存中执行的Shell脚本，利用系统工具实现隐蔽运行和持久化，几乎不留痕迹。

Shell脚本通过滥用Linux原生工具在内存中直接执行，通过每30分钟运行的cron任务和自定义systemd服务实现持久化。其功能包括：

网络加固与代理规避代理暴力破解

这种自适应行为使AquaSec研究人员怀疑恶意软件由LLM或自动化平台开发。

加密货币挖矿部署

建立网络访问和持久化后，Shell脚本从GitHub下载挖矿程序。部署前会评估主机的CPU和GPU性能，以选择最优矿工。Koske支持挖掘18种加密货币，包括难以追踪的Monero、Ravencoin、Zano、Nexa和Tari。若某个币种或矿池不可用，恶意软件会自动切换备用选项，展现出高度自动化能力。

AquaSec警告，虽然此类AI驱动的恶意软件已构成严重威胁，但未来变种可能具备实时自适应能力，演变成更危险的威胁类型。

 

 

 

---

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文