新型AI生成Linux恶意软件”Koske”现身网络威胁领域

网络安全公司Aquasec研究人员发现一种名为Koske的新型AI生成Linux恶意软件，该恶意程序专门针对加密货币挖矿活动设计，

通过根工具包（rootkit）和多格式图像文件滥用技术规避安全检测。

攻击技术剖析

1. 初始入侵：攻击者利用配置不当的服务器植入后门

2. 载荷投递：通过短链接下载两个JPEG多格式文件（实际为伪装图像的可执行文件）

3. 内存驻留：恶意代码直接在内核内存执行，规避传统杀毒软件检测

   • 第一个文件：编译为根工具包.so文件的C代码

   • 第二个文件：使用系统工具实现持久化的隐蔽shell脚本

Aquasec报告指出："主要和次要载荷通过双用途图像文件传递。攻击者将恶意shell脚本附加到合法图像文件（如熊猫图片）末端，这些文件托管在tfreeimage、postimage等免费图床平台。这种技术不同于隐写术，而是多格式文件滥用——有效JPG文件末端隐藏着恶意代码，仅下载执行最后字节的shellcode。"

攻击者通过配置不当的JupyterLab实例入侵系统后，通过劫持Shell配置和启动进程植入隐蔽脚本实现持久化。

Koske恶意软件的AI特征主要体现在连接模块：

• 采用多线程测试GitHub连通性

• 自动重置DNS和代理设置修复网络问题

• 动态暴力破解可用代理服务器

  这种自适应、自动化的策略强烈暗示其开发过程获得了AI辅助

AI生成代码的三大证据

1. 过度规范的注释与模块化结构：存在大量教科书式代码注释

2. 防御性编程习惯：严格遵循最佳实践的逻辑流程

3. 作者身份混淆：使用塞尔维亚语短语和语法中性化处理

   研究报告指出："此类代码可能专门设计为'泛用型'，旨在干扰溯源分析"

多币种挖矿能力

该恶意软件支持18种加密货币的智能挖矿，包括：

• CPU优化币种：门罗币（Monero）

• GPU优化币种：Ravencoin、Zano

• 自适应切换：当矿池失效时自动切换至Nexa、Tari等其他币种

溯源困境

AquaSec发现以下矛盾线索：

• 矿工代码库中的塞尔维亚IP

• 脚本内嵌塞尔维亚语片段

• GitHub仓库使用的斯洛伐克语

  但研究人员表示无法做出明确归因

安全警示

报告最后警告："AI辅助生成优质代码已让防御者疲于应对，但真正的颠覆在于AI驱动型恶意软件——能实时交互AI模型动态调整攻击行为的恶意程序。这种能力可能标志着攻击战术的飞跃性质变，将使无数系统面临严峻风险。"