新型macOS木马利用提示词注入对抗LLM辅助分析

admin 2026-06-30 06:39:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年6月披露的macOS.Gaslight木马是首个针对LLM辅助安全分析系统的实战化恶意软件,采用Rust编写并内嵌38条伪造系统消息进行提示词注入,诱导AI分析代理中止检测。该木马具备完整后门功能包括远程Shell、信息窃取和持久化机制,C2通信基于TelegramBotAPI并采用AES-GCM加密及令牌自删除反溯源技术。研究机构高度确信其属于朝鲜关联攻击集群,标志着恶意软件对抗从环境检测转向认知工具操纵的新范式。 综合评分: 87 文章分类: 恶意软件,威胁情报,AI安全,逆向分析,漏洞分析


cover_image

新型macOS木马利用提示词注入对抗LLM辅助分析

原创

网空闲话 网空闲话

网空闲话plus

2026年6月25日 07:10 北京

在小说阅读器读本章

去阅读

2026年6月23日,安全研究机构SentinelLabs披露了一款名为macOS.Gaslight的Rust语言编写的新型macOS后门木马。该木马最显著的创新之处在于内嵌了38条伪造的系统故障消息(载荷大小约3.5KB),专门用于攻击日趋普及的大语言模型(LLM)辅助安全分析管道,试图诱导AI代理中止或拒绝分析,而非传统地对抗沙箱环境。该木马具备完整的交互式Shell、信息窃取和持久化功能,其C2通信基于Telegram Bot API并采用AES-GCM加密和证书固定,尤其值得注意的是其能在运行时自删除Telegram Bot令牌以防止取证溯源。SentinelLabs高度确信该木马隶属于朝鲜(DPRK)关联的macOS攻击活动集群。该样本的出现标志着恶意软件对抗技术从环境感知向操纵分析师认知工具的重大演进。

一、事件概述:从“环境对抗”到“认知操纵”

2026年6月初,苹果公司XProtect安全机制的一次更新,将一枚于5月22日上传至VirusTotal的Mach-O样本纳入哈希黑名单。然而,截至SentinelLabs发布报告时(6月23日),该样本在VirusTotal上仍未被任何静态扫描引擎检出。这枚临时签名、标识符为 endpoint-macos-aarch64-5555494492fc075f441637fb9d894913dde3a2ea 的二进制文件,正是后来被命名为macOS.Gaslight的Rust语言后门木马。

该木马最引人注目的特征,并非其传统的后门或窃密功能,而是其针对LLM辅助分析管道发起的精巧“心理战”。它内嵌了38条精心构造的伪造系统消息,总载荷大小约3.5KB。这些消息被包裹在Markdown代码块中,并使用 {{DATA}} 令牌作为分隔符,以模仿LLM分析框架自身的提示词结构。伪造内容涉及令牌过期、内存不足、磁盘耗尽、操作反复失败及静态分析标记异常等“故障”警告。其目的明确:操纵LLM辅助分析代理(Agent)的“认知”,诱使其误判当前分析会话不稳定或存在安全风险,从而中止、截断或主动拒绝对恶意样本的深入分析。

这种手法的演进脉络清晰。SentinelLabs援引Check Point等机构2025年的研究指出,早期概念验证仅使用单条直接指令注入;Socket公司披露的Hades供应链载荷也曾使用虚假提示词头污染AI分析。但macOS.Gaslight将注入块堆叠至38个,形成级联效应,其欺骗强度和工程化程度远超此前。

二、深度技术拆解:功能完备的窃密后门与隐蔽通信链

提示词注入仅是“冰山一角”,macOS.Gaslight本质上是一个高度工程化的完整攻击平台。其功能模块与实现细节如下表所示:

| 功能模块 | 具体实现与精细特征 | | — | — | | 持久化与伪装 | 通过LaunchAgent实现,plist标签为 com.apple.system.services.activity,伪造成苹果系统服务。为写入正确的绝对路径,木马通过 __NSGetExecutablePath 在运行时动态解析自身位置。 | | 交互式远程Shell | 提供六个明确指令:helpidshell(通过 execvp 执行,备选 posix_spawnp)、killuploadstop。分析还发现一个未恢复详情的第七个命令 focus。为防止系统休眠影响长时C2轮询,木马调用 IOPMAssertionCreateWithName 创建电源管理断言。 | | 信息窃取模块 | 携带一个6.6KB的Base64编码Python脚本。解码后,针对Chrome、Brave、Firefox、Safari浏览器数据、终端命令历史、已安装应用列表、进程快照(ps aux)、系统软硬件配置(system_profiler)以及 login.keychain-db 钥匙串文件进行窃取,并打包至 temp/collected_data.zip 回传。 | | Python环境自部署 | 内置一个2KB的Base64编码Bash安装脚本。该脚本会从开源项目 astral-sh/python-build-standalone 获取独立的CPython 3.10.18解释器(构建日期 20250708),同时支持arm64和x86_64架构。这实现了窃密模块的按需动态部署。脚本中大量使用表情符号且严格遵循注释头格式,高度符合LLM生成代码的特征。 | | C2通信与加密 | 基于Telegram Bot APIgetUpdates长轮询模式,当未注册Webhook时执行。处理三种错误码:``BotBlockedInvalidTokenConflict(将Conflict视为单实例锁)。数据回传利用Telegram多部分 attach:// 文件上传机制。通信流量叠加AES-GCM加密(使用纯Rust crate 0.10.3,通过 CCRandomGenerateBytes 生成随机Nonce)和 证书固定SecTrustSetAnchorCertificatesOnly),有效抵御中间人解密。同时,木马通过SCDynamicStoreCopyProxies读取系统代理配置,适应企业受限网络。 | | OPSEC与自删除 | Telegram Bot令牌自删除机制是其运营安全亮点。在URL构造函数中,当路径段为4字节字面量“file”(小端序 0x656c6966)时,自动将后续真实令牌替换为硬编码占位符 file/token:redacted,防止令牌出现在任何运行时日志、错误或崩溃转储中,极大增加防御方溯源难度。 |

三、归因分析与行业警示

SentinelLabs以高度确信(high confidence)将该木马归因于朝鲜(DPRK)关联的macOS攻击活动集群。关键依据包括:苹果XProtect通过规则 MACOS_BONZAI_COBUCH 检测该样本,而BONZAI签名家族历来被SentinelLabs与朝鲜威胁活动关联;另一同源样本亦被苹果 AIRPIPE 规则捕获,该家族同样指向朝鲜。

该木马的配置架构也侧面印证了其背后的武器化平台属性。它通过 serde 框架读取一个包含15个字段 的运行时配置,包括tg_room_idaes_keypersist_enableinit_python_enable 等。其中 github_tokenpayload_path_linux 等未在本样本中使用的字段,暗示该配置界面服务于一个支持多平台(Linux/macOS)的更庞大工具集。

Infosecurity Magazine在6月24日的报道中强调,该木马的大部分技战术均为已知,但针对分析师的提示词注入是核心突破点。SentinelLabs在报告结语中严正警告:“任何构建此类分析工具的人,都应将被分析样本的内容视为对抗性输入,而非可执行的指令,并做好准备将恶意内容完全隔绝在模型之外。随着LLM辅助分析成为常规实践,防御者应预期会有更多旨在利用此途径的恶意样本出现。”

结语

macOS.Gaslight的披露,标志着恶意软件对抗技术的一次重要范式转移。它将成熟的macOS后门功能、强化的加密通信、新颖的OPSEC细节(如令牌自删除),与针对AI工作流的精密心理战术相结合,揭示了未来安全分析领域面临的新型威胁形态。其不仅攻击代码执行环境,更开始攻击分析人员的认知延伸工具(LLM),这无疑为安全社区敲响了警钟。


【闲话简评】

macOS.Gaslight样本是LLM辅助分析安全面临实战化威胁的里程碑案例。其核心启示在于:当我们将AI模型深度嵌入分析流水线时,模型本身已成为攻击链中的一环。攻击者不再仅通过代码混淆对抗静态特征,而是利用LLM对上下文语义的信任与指令遵循能力,实施“认知投毒”。这要求安全社区立即采取双重行动:第一,在技术层面,必须为AI分析管道构建严格的输入隔离与清洗机制,将样本内容视为不可信数据,严禁其直接污染系统提示词或上下文;第二,在意识层面,需认识到此类攻击的隐蔽性和高回报性,提前布局针对提示词注入的检测与防御研究。面对“道高一尺,魔高一丈”的攻防演进,唯有将AI自身安全纳入整体防御框架,方能避免在自动化分析效率提升的同时,暴露新的、更致命的脆弱面。

参考文献

  1. SentinelLabs (SentinelOne).macOS.Gaslight | Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox. 作者:Phil Stokes. 发布日期:2026年6月23日. 来源:SentinelOne官方博客. 链接:https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/
  2. Infosecurity Magazine.macOS Backdoor Uses Prompt Injection to Evade AI Triage. 作者:Alessandro Mascellino. 发布日期:2026年6月24日. 来源:Infosecurity Magazine官方网站. 链接:https://www.infosecurity-magazine.com/news/macos-gaslight-rust-backdoor/

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网空闲话plus 网空闲话 网空闲话《新型macOS木马利用提示词注入对抗LLM辅助分析》

评论:0   参与:  0