Il panorama delle minacce avanzate ha appena acquisito una dimensione inedita e preoccupante: un malware nordcoreano progettato specificamente per manipolare i tool di analisi basati su intelligenza artificiale, non per sfuggire ai sandbox tradizionali. macOS.Gaslight, scoperto e analizzato dai ricercatori di SentinelOne Labs, introduce una tecnica mai vista in natura: la prompt injection direttamente nel binario, indirizzata ai pipeline di triage assistiti da LLM che oggi affiancano il lavoro degli analisti di sicurezza.
Il contesto: l’escalation del malware DPRK per macOS
La Corea del Nord ha sviluppato negli anni una capacità offensiva su macOS di tutto rispetto, tipicamente orientata al furto di criptovalute e all’infiltrazione di aziende nel settore tecnologico e finanziario. I gruppi Lazarus, BlueNoroff e i loro cluster affiliati hanno già firmato strumenti come RustBucket, KANDYKORN e ObjCShellz. macOS.Gaslight si inserisce in questa filiera, ma aggiunge un elemento evolutivo significativo: la consapevolezza che i moderni workflow di analisi del malware si appoggiano sempre più a strumenti di triage automatizzato basati su LLM, e la volontà di sfruttare proprio questa dipendenza come vettore di evasione.
La tecnica centrale: prompt injection contro l’analista, non contro il sandbox
La caratteristica distintiva di macOS.Gaslight è un payload da 3,5 KB embedded direttamente nel binario: un blob in formato Markdown contenente 38 messaggi di sistema fasulli, delimitati da token {{DATA}}. Questa struttura imita deliberatamente lo scaffold di un harness LLM per il triage del malware, rendendo indistinguibile il confine tra dati campione non attendibili e istruzioni attendibili del sistema.
I messaggi fabricati simulano scenari di errore critici: scadenza del token, kill per esaurimento della memoria (OOM), esaurimento dello spazio su disco, ripetuti fallimenti operativi, avvisi di vulnerabilità da injection e flag da analisi statica. L’obiettivo, secondo SentinelOne, è far dubitare l’agente LLM della propria sessione di analisi, portandolo ad abortire o rifiutare l’esame del campione.
«La sua caratteristica più notevole è una cascata di messaggi di sistema fabbricati, progettata per far dubitare un agente di triage assistito da LLM della propria sessione. Attacca la percezione dell’agente, non il sandbox in cui opera.»
Phil Stokes, SentinelOne Labs
Architettura tecnica del malware
Linguaggio e firma: il binario è scritto in Rust, compilato per l’architettura macOS aarch64 (Apple Silicon). È firmato in modalità ad hoc e porta l’identificatore endpoint-macos-aarch64-5555494492fc075f441637fb9d894913dde3a2ea. Il campione era stato caricato su VirusTotal il 22 maggio 2026, prima che un aggiornamento di Apple XProtect lo intercettasse basandosi puramente sull’hash.
Persistenza: il malware installa un LaunchAgent nel profilo utente, usando il label com.apple.system.services.activity nel file .plist, volutamente progettato per mimetizzarsi tra i processi di sistema legittimi di Apple. Per ottenere il percorso assoluto di se stesso da inserire nell’array ProgramArguments, il binario risolve a runtime la propria posizione tramite __NSGetExecutablePath.
Comando e controllo: l’implant utilizza il Telegram Bot API come canale C2, entrando in un ciclo di polling con getUpdates che permette all’operatore di inviare istruzioni tramite una shell interattiva e ricevere i risultati. Una scelta operativa che sfrutta la legittimità del traffico Telegram per eludere blocchi di rete basati su reputazione dei dominio. Il malware si auto-censura eliminando il proprio token Telegram dall’output runtime, impedendo a chiunque catturi log o crash di recuperarlo.
Modulo infostealer: incorporato nel binario è presente uno script Python da 6,6 KB codificato in Base64 che funge da suite di raccolta informazioni. Raccoglie: cronologia dei comandi del terminale, lista delle applicazioni installate, snapshot dei processi in esecuzione, profilo hardware e software del sistema, il database Keychain di macOS e credenziali salvate nei browser Chrome, Brave, Firefox e Safari. I dati raccolti vengono compressi in un archivio ZIP (temp/collected_data.zip) e caricati su Telegram.
Due righe per i difensori
macOS.Gaslight segna un punto di svolta: per la prima volta in natura si documenta l’uso della prompt injection come tecnica di evasione nei confronti dei pipeline di analisi automatizzata del malware. Non è più sufficiente affidarsi esclusivamente all’AI-assisted triage per la classificazione di campioni sospetti; i team di sicurezza devono implementare approcci a difesa in profondità che combinino analisi statica tradizionale, sandbox comportamentali e revisione umana.
Per quanto riguarda la detection su endpoint macOS, è consigliabile monitorare creazioni di LaunchAgent con label che imitano naming convention Apple (com.apple.*), connessioni uscenti verso l’API di Telegram (api.telegram.org) da processi non familiari, accessi al database Keychain da processi non autorizzati, e la creazione di archivi ZIP in directory temporanee non standard.
Indicatori di compromissione (IoC)
# Identificatore binario
endpoint-macos-aarch64-5555494492fc075f441637fb9d894913dde3a2ea
# Persistenza LaunchAgent
Label: com.apple.system.services.activity
Path: ~/Library/LaunchAgents/com.apple.system.services.activity.plist
# File creato durante esfiltrazione
temp/collected_data.zip
# Traffico di rete C2
api.telegram.org (polling via getUpdates)
# Caratteristiche binario
Arch: macOS aarch64 (Apple Silicon)
Linguaggio: Rust
Firma: ad hoc signedL’analisi completa con ulteriori indicatori tecnici è disponibile nel report originale di SentinelOne Labs. La scoperta rafforza la necessità di trattare qualsiasi output di analisi AI di campioni sconosciuti con un livello aggiuntivo di scetticismo, verificando manualmente le conclusioni quando i tool automatizzati segnalano errori di sessione o fallimenti operativi insoliti durante il triage.