An ninh mạng

Gaslight: Malware macOS mới sử dụng Prompt Injection để đánh lừa công cụ phân tích AI

Các nhà nghiên cứu vừa phát hiện một loại malware mới trên macOS mang tên Gaslight, sử dụng kỹ thuật prompt injection tinh vi để vô hiệu hóa các công cụ phân tích mã độc dựa trên...

Nguyen Hung
25 Tháng 6, 2026 2 Min Read
3 0

Một loại malware mới trên macOS, được đặt tên là Gaslight, đang thu hút sự chú ý của giới bảo mật nhờ khả năng tự bảo vệ độc đáo. Thay vì chỉ tập trung vào việc né tránh sandbox truyền thống, mã độc này nhắm trực tiếp vào các công cụ phân tích mã độc dựa trên trí tuệ nhân tạo (AI) bằng kỹ thuật prompt injection.

Cơ chế tấn công AI tinh vi

Theo báo cáo từ SentinelOne, Gaslight được viết bằng ngôn ngữ Rust và chứa một chuỗi các thông báo lỗi hệ thống giả mạo. Khi các tác nhân AI thực hiện phân tích, những thông báo này được thiết kế để đánh lừa mô hình ngôn ngữ lớn (LLM), khiến chúng hiểu lầm rằng phiên làm việc đang gặp sự cố, từ đó tự động hủy bỏ hoặc từ chối phân tích tệp tin độc hại.

Các chuyên gia cho biết, đây là một nỗ lực nhằm “vũ khí hóa” các quy trình phân tích tự động, nơi các nhà nghiên cứu ngày càng phụ thuộc vào AI để đẩy nhanh tốc độ xử lý.

Khả năng của Gaslight

Gaslight hoạt động như một công cụ đánh cắp thông tin (infostealer) với các đặc điểm kỹ thuật đáng chú ý:

  • Command-and-Control (C2): Sử dụng Telegram Bot API để nhận lệnh từ kẻ tấn công thông qua giao diện shell tương tác.
  • Persistence: Malware duy trì sự hiện diện trên máy nạn nhân thông qua LaunchAgent với tệp cấu hình .plist.
  • Thu thập dữ liệu: Một script Python được mã hóa Base64 chịu trách nhiệm thu thập lịch sử Terminal, danh sách ứng dụng, Keychain, và dữ liệu từ các trình duyệt phổ biến như Chrome, Brave, Firefox và Safari.
  • Tự bảo mật: Token của Telegram bot không được mã hóa cứng trong tệp tin mà được cung cấp tại thời điểm thực thi, giúp kẻ tấn công tránh bị lộ thông tin cấu hình ngay cả khi bị phân tích.

Các nhà nghiên cứu đánh giá với độ tin cậy cao rằng Gaslight là sản phẩm của các nhóm tin tặc có liên hệ với Triều Tiên. Việc sử dụng các công cụ như trình thông dịch Python độc lập và các đoạn mã có cấu trúc gợi ý rằng kẻ tấn công đã tận dụng AI để hỗ trợ quá trình phát triển mã độc.

Sự xuất hiện của Gaslight là một lời cảnh báo cho các đội ngũ an ninh mạng về việc cần thận trọng hơn khi sử dụng các công cụ AI trong quy trình phân tích mã độc, đồng thời nhấn mạnh xu hướng các mối đe dọa đang ngày càng thích nghi với các công nghệ phòng thủ hiện đại.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept