Resumen - CASCADE: Desobfuscador de JavaScript impulsado por LLM en Google

CASCADE: Desobfuscador de JavaScript impulsado por LLM en Google

2025-07-23 16:57:32

{"Shan Jiang","Pranoy Kovuri","David Tao","Zhixun Tan"}

{cs.SE,cs.AI,cs.CR,cs.LG,cs.PL}

El documento introduce CASCADE, un nuevo enfoque híbrido para la desobfuscación de JavaScript que combina las capacidades de Gemini y la Representación Intermedia de JavaScript (JSIR). Este método recupera de manera efectiva las cadenas originales y los nombres de las API, revelando los comportamientos originales del programa y superando las limitaciones de las técnicas de desobfuscación estáticas y dinámicas existentes. CASCADE utiliza Gemini para identificar funciones de preludio críticas generadas por obfuscadores como Obfuscator.IO, que son componentes fundamentales subyacentes a las técnicas de obfuscación más comunes. Luego, aprovecha JSIR para las transformaciones de código posteriores, restaurando las cadenas originales y los nombres de las API. Este enfoque híbrido ofrece varias ventajas: 1. **Ejecución Dinámica Híbrida**: CASCADE supera las limitaciones del análisis estático puro al ejecutar dinámicamente las funciones de preludio detectadas en un entorno de JavaScript aislado, asegurando resultados precisos. 2. **Mantenibilidad impulsada por IA**: CASCADE elimina la necesidad de cientos o miles de reglas manuales en la detección de funciones de preludio mediante el uso de Gemini de vanguardia, alcanzando una alta precisión y resistencia a pequeños cambios en el código. 3. **Análisis Estático Avanzado mediante JSIR**: CASCADE realiza análisis y transformaciones de código exhaustivos utilizando la robusta infraestructura de JSIR, permitiendo análisis y transformaciones de nivel semántico más sofisticados. 4. **Uso Responsable de IA**: CASCADE se abstiene de usar LLMs para generar directamente código desobfuscado, reduciendo el riesgo de errores de ilusión y asegurando el uso práctico en entornos de producción. El documento evalúa a CASCADE en un conjunto de datos de ejemplos de JavaScript obfuscados y demuestra su efectividad en la recuperación de cadenas y nombres de API. Logra una tasa de éxito general del 98.93%, con un promedio de 945.26 literals recuperados por archivo y un tiempo de ejecución promedio de 2.298 segundos. CASCADE ya se ha desplegado en el entorno de producción de Google, demostrando mejoras sustanciales en la eficiencia de la desobfuscación de JavaScript y reduciendo los esfuerzos de reverse engineering. El documento concluye que CASCADE representa un progreso significativo en la solución de técnicas de obfuscación complejas y ofrece un enfoque prometedor para la desobfuscación automatizada y correcta.