Casus Yazılıma Gizlenen Yasaklı Metinler Yapay Zeka Analizini Engellemek İçin Kullanılıyor
En az bir kötü amaçlı yazılım geliştiricisi, otomatik yapay zeka analizini engellemek amacıyla casus yazılımların içine nükleer ve biyolojik silahlarla ilgili metinler yerleştiriyor. Bu metinler, _index.js dosyasının başında büyük bir JavaScript blok yorumu içinde sahte sistem talimatları ve politika tetikleyici içerik olarak bulunuyor. Yorum satırı olduğu için JavaScript çalışma zamanı bu kısmı atlıyor ve kötü amaçlı kodun işleyişini etkilemiyor. Saldırganlar, yapay zeka tabanlı güvenlik araçlarının zararlı içerik gördüğünde analizi durdurma eğiliminden yararlanarak bu yöntemi geliştiriyor. Gerçek zararlı kod, yorumdan sonra başlıyor ve bu sayede analiz sistemlerini yanıltmak hedefleniyor. Bu taktik, kötü amaçlı yazılım geliştiricilerinin tespit mekanizmalarına karşı sürekli yeni yöntemler aradığının bir örneği olarak değerlendiriliyor. Olay, yapay zeka güvenlik filtrelerinin atlatılması açısından siber güvenlik camiasında dikkat çekiyor. Zararlı kodun içine saklanan yasaklı metinler, analiz araçlarının hassas konularla karşılaştığında çalışmayı bırakmasına yol açarak tehdit aktörlerine avantaj sağlıyor. Bu durum, güvenlik çözümlerinin daha esnek ve bağlamı anlayan yaklaşımlar geliştirmesi gerektiğine işaret ediyor.
Bağlam, hikayenin etrafındaki ülke + lider + komşu hikaye ağına dayanılarak AI tarafından üretildi. Olgu içerikleri için her zaman üstteki kaynak linklerine başvurun.
Bu gündemi takip et
gelişmelerini kaçırma — ücretsiz kaydol, günlük brifinginde gör.
Zaman çizelgesi
en güncel: 1 gün önce- Güvenlik18 Haz 11:04
Embedding Forbidden Text in Spyware to Discourage AI Analysis
At least one malware developer is adding text about nuclear and biological weapons to their spyware, in an effort to stop automatic AI analysis. Details: The _index.js payload begins with a large JavaScript block comment containing fake system instructions and policy-triggering content. Because it is inside a comment, it does not affect JavaScript execution. The runtime skips it. The real malware begins after the comment with a try{eval(…)} wrapper around a large character-code array and a ROT-style substitution function. This header appears designed for AI-mediated analysis, not for Node, Bun, or Python. It attempts to derail scanners or analyst copilots that feed the beginning of a file to a language model without clearly isolating the content as untrusted data. In weak pipelines, this can cause refusal behavior, prompt confusion, context pollution, or premature classification before the scanner reaches the actual malware. This is not a magical bypass against static detection. YARA rules, entropy checks, AST parsing, string extraction, deobfuscation, and behavioral rules still work. But it is a practical anti-analysis trick against naive LLM-first triage systems.