Gaslight: malware macOS inganna gli analizzatori AI con prompt injection

Il 25 giugno 2026, i ricercatori di SentinelOne hanno documentato Gaslight, un implant Rust-based per macOS precedentemente non noto. Il campione incorpora un payload di prompt injection progettato per ingannare gli strumenti di analisi assistita da intelligenza artificiale, inducendoli a interrompere o rifiutare l'analisi dell'artefatto. L'attribuzione è stata effettuata con "high confidence" a threat actor allineati alla Corea del Nord. La tecnica inverte la logica tradizionale della difesa anti-analisi: anziché attaccare la sandbox, il malware attacca il percepimento dell'agente AI.

Come funziona l'inganno dell'analista automatico

Il meccanismo centrale di Gaslight è un blocco Markdown-fenced che contiene 38 messaggi di sistema fabbricati. Quando un tool di triage assistito da LLM processa il campione, questi messaggi simulano condizioni di fallimento della sessione: token expiry, out-of-memory kills, esaurimento del disco, warning di injection. Il risultato è che l'agente AI "dubita del proprio stato di sessione" e abortisce l'analisi, secondo la descrizione tecnica della fonte.

Phil Stokes, ricercatore di SentinelOne, ha formulato la distinzione chiave: il malware "attacca la percezione dell'agente, piuttosto che la sandbox in cui opera". Questo sposta il confine della contromisura anti-analisi dal livello tecnico-esecutivo al livello cognitivo-percettivo. Tradizionalmente, un malware tenta di evadere la sandbox, rilevare l'analisi, offuscare il proprio comportamento. Gaslight invece sfrutta il canale di input naturale del modello linguistico, manipolando la costruzione della realtà operativa dell'analista automatico.

La tecnica non richiede vulnerabilità zero-day nei modelli linguistici. La prompt injection sfrutta il comportamento normale di elaborazione del contesto da parte dell'LLM: il modello processa sequenzialmente i token e non possiede un meccanismo intrinseco per distinguere istruzioni autentiche da istruzioni iniettate, specialmente quando queste ultime sono formattate per assomigliare a messaggi di sistema legittimi.

Architettura e catena di esfiltrazione

Oltre al modulo di prompt injection, Gaslight implementa un information stealer scritto in Python di 6,6 KB in formato Base64-encoded. Lo script raccoglie: cronologia del Terminal, applicazioni installate, processi in esecuzione, profilo hardware e software, dati del Keychain, e informazioni da browser (Chrome, Brave, Firefox, Safari). La raccolta avviene tramite un bash installer di 2 KB, anch'esso Base64-encoded, che scarica l'interprete CPython 3.10.18 dal progetto "astral-sh/python-build-standalone".

Il trasferimento dei dati avviene tramite il meccanismo "attach://" di Telegram, con i dati compressi in formato ZIP. Il C2 utilizza la Telegram Bot API in polling loop: quando due istanze dello stesso token operano simultaneamente, la piattaforma restituisce una risposta "Conflict". La configurazione dell'operatore — bot token e chat ID — è fornita a runtime, non hard-coded nel campione. Notabilmente, il token si auto-redatta nell'output runtime, negandolo a chiunque catturi log o artefatti di crash.

La persistenza è gestita tramite LaunchAgent con label "com.apple.system.services.activity". La scelta del nome imita una componente di sistema Apple, riducendo la visibilità in un'eventuale ispezione manuale dei processi o delle plist di avvio.

Le tracce della generazione automatizzata

Un elemento distintivo dello stealer Python è la presenza di emoji e header di commento estesi, che la fonte indica come indicativi di generazione tramite large language model. Questo suggerisce che parte del codebase sia stata prodotta con assistenza AI, sebbene il dossier non specifichi quale modello o piattaforma sia stato impiegato.

L'uso di LLM nella catena di sviluppo del malware non è in sé una novità, ma la combinazione con un modulo di prompt injection diretto contro gli strumenti di analisi AI crea una simmetria particolare: lo stesso tipo di tecnologia è impiegato sia nella produzione dell'arma che nel suo bersaglio. Il brief non documenta se i 38 messaggi fabbricati siano stati ottimizzati tramite tecniche di jailbreak o se rappresentino un primo tentativo empirico.

"Il suo tratto più notevole è una cascata embedded di messaggi di fallimento di sistema fabbricati, progettata per far dubitare un agente di triage assistito da LLM del proprio stato di sessione"

Perche è importante

Il dossier non specifica misure correttive esplicite né contromisure validate per questo vettore. La fonte non descrive test di efficacia del prompt injection contro tool commerciali specifici, limitando la conferma al design intenzionale del payload. Non emergono nel brief sovrapposizioni infrastrutturali dettagliate che colleghino il campione a infrastrutture C2 precedentemente attributite a threat actor nordcoreani: l'attribuzione è dichiarata ma non corredata di indicatori tecnici esaustivi nel testo disponibile.

Il vettore di infezione iniziale non è descritto, né sono noti hash (SHA256/MD5) del campione. La scala dell'infezione, i target geografici o verticali, e l'esistenza di varianti correlate restano ignoti. La funzionalità del settimo comando "focus" è rilevata ma non determinata. Il brief non documenta se le pipeline di analisi LLM-attuali siano vulnerabili a questa specifica formulazione di prompt injection, né se esistano filtri strutturali in grado di neutralizzare il blocco Markdown-fenced senza compromettere l'analisi stessa.

Il confine spostato: dalla sandbox alla percezione artificiale

La tecnica di Gaslight rappresenta un'inflessione nel rapporto tra malware e strumenti di analisi. Le pipeline di reverse engineering assistita da AI dipendono sempre più da LLM per il triage iniziale: classificazione del campione, estrazione di indicatori, sintesi di comportamento. Queste pipeline integrano il modello linguistico nel loop decisionale, creando una superficie di attacco nuova dove il contesto di input diventa campo di battaglia.

La fiducia implicita — che il modello processi l'artefatto come dato oggettivo, senza che il dato stesso possa manipolare il processore — è qui violata. Non è una questione di allucinazione del modello, ma di iniezione controllata nel flusso percettivo. Il malware non mente all'analista umano, né inganna direttamente la sandbox: costruisce una realtà fittizia per l'intermediario cognitivo che sta tra i due.

Il settore della threat intelligence deve ora considerare la validazione dell'output LLM come un layer di sicurezza, non solo di accuratezza. La fonte non specifica quali architetture di sandboxing del contesto LLM siano state testate o proposte. L'assenza di conferme operative nel brief lascia aperto il campo alla ricerca di contromisure: isolamento del contesto di analisi, verifica strutturata dell'output, o ridondanza con analisi non-AI per i campioni sospetti.

Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/06/new-gaslight-macos-malware-uses-prompt.html
• https://www.microsoft.com/en-us/security/blog/2026/05/07/prompts-become-shells-rce-vulnerabilities-ai-agent-frameworks/
• https://venturebeat.com/security/ai-agent-runtime-security-system-card-audit-comment-and-control-2026
• https://nvd.nist.gov/vuln/detail/CVE-2025-68664
• https://nvd.nist.gov/vuln
• https://nvd.nist.gov/vuln/search
• https://nvd.nist.gov/vuln/categories
• https://nvd.nist.gov/vuln/data-feeds
• https://nvd.nist.gov/vuln/vendor-comments

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti

• https://schema.org/FAQPage
• https://schema.org/Question
• https://schema.org/Answer