何が起きたか
SentinelLabs は 2026-06-23 に macOS.Gaslight を開示しました。これは、2026 年 5 月 22 日に VirusTotal にアップロードされ、Apple XProtect にのみキャッチされた (静的 AV エンジンではなく) DPRK 属性の Rust インプラントです。その新しい機能: AI トリアージツールが破壊的なツール障害をシミュレートして分析を中止するよう設計された 38 層積み重ねられた偽造 LLM システムメッセージがバイナリに埋め込まれています。インジェクションの背後には、Chrome、Brave、Firefox、Safari、macOS ログインキーチェーン、ターミナル履歴をターゲットとする完全なインフォスティーラー、およびピン留めされた Telegram チャネル上の対話型オペレーターシェルがあります。
なぜ重要か
これは、エンドユーザーに対してではなく AI セキュリティツール自体に対してプロンプトインジェクションを武器化する、公開されている最初の野生型マルウェアサンプルです。AI 支援ディフェンダーワークフローへの直接攻撃です。LLM トリアージツールが SOC オペレーションの標準になるにつれて、攻撃者はより多くのそのような回避カスケードを埋め込みます。DPRK 属性はこれを Mastra npm サプライチェーン攻撃の背後にある同じアクターにリンクします。
攻撃経路
macOS インプラントは 38 個の偽造システム障害メッセージ (偽のトークン有効期限、メモリエラー、インジェクション警告) を埋め込みます。これらは AI トリアージツールスキャフォルディングをまねた Markdown フェンスブロックとしてフォーマットされています。LLM 支援分析ツールがバイナリを取得すると、注入されたメッセージはモデルを中止または分析を拒否するよう推し進めます。別に、C2 は Telegram Bot API 経由で AES-GCM 暗号化と証明書ピン留めで実行されます。
影響を受けるシステム
AI 支援マルウェアトリアージツールおよび LLM ベースのセキュリティ分析パイプライン (マルウェアバイナリコンテンツを分析用 LLM にフィードするあらゆるツール)
緩和策
すべてのマルウェアバイナリコンテンツを敵対的入力として扱います。生バイナリ文字列または埋め込まれたテキストをサニタイズなしで LLM プロンプトに直接渡しません。IOC および完全な分析: https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/。Apple XProtect ルール: MACOS_BONZAI_COBUCH。