Nightmare of Vibeware
A Bitdefender Business Insights elemzése szerint a Pakisztánhoz köthető APT36 (Transparent Tribe) csoport a hagyományos malware-fejlesztés helyett egy úgynevezett vibeware modellre állt át, amely nagyrészt AI-alapú kódgenerálással létrehozott kártevőminták tömeges gyártására épül. A kutatás szerint ez nem feltétlenül jelent technikailag kifinomultabb malware-t, hanem inkább a támadások iparosítását, ahol nagy mennyiségű, gyorsan előállított implantátumot vetnek be a célpontok ellen.
Az APT36 elsősorban indiai kormányzati szervezeteket és diplomáciai célpontokat támad. A kampányok során a csoport számos különböző programozási nyelvet használ, például Nim, Zig vagy Crystal, ami segíthet megkerülni a hagyományos detektáló rendszereket. A malware-ek kommunikációjához gyakran legitim felhőszolgáltatásokat alkalmaznak, például Slack-et, Discordot, Supabase-t vagy akár Google Sheets-et C2 csatornaként.
A vibeware koncepció lényege, hogy a támadók nagy mennyiségű, sokszor gyenge minőségű, de könnyen cserélhető malware-mintát hoznak létre. Ezek gyakran hasonló logikára épülnek, de különböző nyelvekben vagy variációkban jelennek meg. Ez a módszer megnehezíti a védelmi rendszerek számára a szignatúra-alapú felismerést, mivel a minták gyorsan változnak és folyamatosan új változatok jelennek meg.
Az AI-generált kód gyakran logikai hibákat tartalmaz. Egy vizsgált mintában például a malware-ben hagytak egy sablon-helyőrzőt a C2-cím számára, ami miatt az adatlopó funkció egyáltalán nem működött. Ez jól mutatja, hogy az LLM-ek képesek ugyan kódot generálni, de az így létrejövő programok sokszor szintaktikailag helyesek, de funkcionálisan hiányosak.
A jelentés szerint a vibeware a jövőben komoly kihívást jelenthet a kiberbiztonsági védekezés számára. Még ha az egyes malware-minták technikailag gyengék is, az automatizált fejlesztés és a variánsok nagy száma lehetővé teszi a támadók számára, hogy folyamatosan új mintákat állítsanak elő, és ezzel túlterheljék a detektálási rendszereket. Ez a trend jól illeszkedik a modern kiberfenyegetési környezethez, ahol az AI egyre inkább a támadások skálázhatóságát és gyorsaságát növeli, nem feltétlenül azok technikai komplexitását.
