Slevová nabídka pro více licencí
Databáze hrozeb Malware Útok na dodavatelský řetězec v Miasmě

Útok na dodavatelský řetězec v Miasmě

V roce Mezo v roce Malware, Červi
Přeložit do:

Nově objevená útočná kampaň na dodavatelský řetězec softwaru s názvem Miasma prolomila několik npm balíčků @redhat-cloud-services. Operace je navržena tak, aby shromažďovala přihlašovací údaje a citlivé informace z vývojářských prostředí a zároveň nasazovala samovolně se množící červ schopný dalšího šíření v ekosystémech vývoje softwaru.

Kampaň věrně odráží taktiky dříve spojované s Mini Shai-Hulud a využívá provádění během instalace, krádež přihlašovacích údajů, kompromitaci CI/CD, exfiltraci šifrovaných dat a mechanismy, které umožňují šíření dat dále.

Atribuce zůstává nejistá

Hrozba odpovědná za červ Miasma dosud nebyla definitivně identifikována. Určení jejího původu komplikuje skutečnost, že TeamPCP, známý také jako Replicating Marauder, TGR-CRI-1135 a UNC6780, dříve vydal útočné nástroje spojené s červem Shai-Hulud jako open-source projekty. Tento vývoj umožnil dalším kyberzločineckým skupinám replikovat podobné techniky, což jednoznačné určení původu výrazně ztěžuje.

Napadené balíčky npm

Následující balíčky npm byly identifikovány jako postižené:

@redhat-cloud-services/vulnerabilities-client

@redhat-cloud-services/tsc-transform-imports

@redhat-cloud-services/topological-inventory-client

@redhat-cloud-services/sources-client

@redhat-cloud-services/komponenty-pravidel

@redhat-cloud-services/remediations-client

@redhat-cloud-services/rbac-client

Získávání přihlašovacích údajů pomocí zahalené instalační logiky

Bezpečnostní experti zjistili, že škodlivé balíčky obsahují obfuskovaný předinstalační hook, který se automaticky spouští během instalace balíčku. Malware cílí na širokou škálu citlivých aktiv, včetně tajných klíčů akcí GitHub, ověřovacích tokenů NPM, cloudových přihlašovacích údajů, tajných klíčů trezorů Kubernetes a HashiCorp, klíčů SSH, přihlašovacích údajů Gitu a dalších důvěrných souborů uložených na napadených systémech.

Jak bylo pozorováno v dřívějších kampaních Mini Shai-Hulud, malware obsahuje šifrované postupy pro odcizení informací. Ukradené informace jsou přenášeny na api.anthropic.com:443/v1/api, zatímco GitHub slouží jako alternativní kanál pro odcizení informací. Tato strategie s dvojím účelem demonstruje snahu nejen o krádež přihlašovacích údajů, ale také o jejich zneužití jako zbraně pro další kompromitaci dodavatelského řetězce softwaru.

Šifrované datové balíčky jsou commitovány prostřednictvím API GitHubu a zprávy commitu mohou obsahovat řetězec:

'Pokud zneplatníte tento token, zničí počítač vlastníka:'

Stealth techniky a mechanismy šíření

Malware obsahuje několik opatření, jejichž cílem je maximalizovat perzistenci, vyhnout se detekci a rozšířit přístup. Jednou z pozoruhodných charakteristik je úmyslné vyhýbání se spuštění na rusky mluvících systémech, což je chování, které bylo dříve pozorováno v kampaních dodavatelského řetězce GlassWorm.

V prostředích npm škodlivý kód interaguje s výměnou tokenů OIDC a koncovými body whoami, přebaluje softwarové archivy do aktualizovaných tarballů a podepisuje upravené artefakty pomocí Sigstore. Ukradené přihlašovací údaje jsou poté odeslány do útočníkem kontrolovaných veřejných repozitářů GitHub s popisem „Miasma: The Spreading Blight“.

Vyšetřovatelé identifikovali nejstarší známý commit obsahující tento popis 29. května 2026, což naznačuje buď začátek aktivních operací, nebo počáteční testovací fázi kolem tohoto data.

V prostředí GitHubu malware vyjmenovává repozitáře přístupné pro napadené tokeny, analyzuje definice pracovních postupů prostřednictvím dotazů GraphQL a vkládá škodlivé pracovní postupy pomocí mutace createCommitOnBranch. Tento přístup umožňuje, aby se škodlivé změny zobrazovaly jako ověřené a kryptograficky podepsané commity.

Pokročilé funkce pro perzistenci a eskalaci oprávnění

Analýza odhalila několik dalších funkcí, které malware obsahuje:

Pokouší se o eskalaci oprávnění spuštěním kontejnerů, které se vázají na adresář /etc/sudoers.d hostitele a udělují spouštěčům CI přístup bez hesla přes sudo.

Detekce řešení pro zabezpečení koncových bodů, včetně CrowdStrike, SentinelOne, Carbon Black a StepSecurity Harden-Runner, před zahájením škodlivé aktivity.

Mechanismy perzistence, které vkládají hook SessionStart do Anthropic Claude Code a vytvářejí škodlivé soubory tasks.json nakonfigurované s 'runOn': 'folderOpen' pro projekty Microsoft Visual Studio Code, čímž zajišťují spuštění během budoucích vývojových relací.

Zvýšený důraz na kompromitaci cloudové identity

Hlavním vývojem varianty Miasma je její rozšířené zaměření na sběr cloudových identit. Nové moduly zaměřené na prostředí Google Cloud Platform (GCP) a Microsoft Azure shromažďují informace o všech cloudových identitách přístupných z infikovaného počítače.

Předchozí varianty se primárně zaměřovaly na extrakci tajných dat z cloudových prostředí. Přidání sběračů zaměřených na identitu naznačuje strategický posun směrem k získávání přímého přístupu do cloudu a využívání privilegovaných identit v rámci cloudových infrastruktur.

Detekci dále komplikuje skutečnost, že každá infekce generuje unikátně šifrované datové zatížení. Tato úprava výrazně ztěžuje detekci na základě signatur, sledování malwaru a korelaci verzí mezi incidenty.

Počáteční kompromitace a infiltrace dodavatelského řetězce

Dostupné důkazy naznačují, že kampaň vznikla kompromitací účtu GitHub zaměstnance společnosti Red Hat. Vyšetřovatelé se domnívají, že účet sloužil jako počáteční bod infekce, který útočníkům umožnil vložit škodlivý kód do postižených balíčků.

Napadený účet údajně odeslal škodlivé osiřelé commity do dvou repozitářů Red Hat Insights, čímž obešel zavedené postupy kontroly kódu a zavedl škodlivé zatížení do dodavatelského řetězce softwaru.

Pokyny pro reakci na incidenty a nápravu

Organizace, které nainstalovaly dotčené verze balíčků, by měly okamžitě izolovat dotčené systémy, odstranit škodlivé balíčky, rotovat všechny potenciálně odhalené přihlašovací údaje, prozkoumat aktivitu GitHubu a npm, zda nevykazuje známky neoprávněného přístupu, a zkontrolovat prostředí z hlediska mechanismů perzistence. Zvláštní pozornost by měla být věnována neoprávněným úpravám zahrnujícím:

~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml a .github/setup.js.

V celém vývojovém a cloudovém prostředí by měla být také vynucena přísná kontrola přístupu.

Protože malware vytváří možnosti spouštění na pozadí a perzistence v rámci vývojářských nástrojů, pouhá odinstalace postižených balíčků npm nebo odstranění adresáře node_modules by neměla být považována za dostatečnou nápravu.

V prostředích CI/CD by mělo být provádění dotčených pracovních postupů okamžitě pozastaveno. Organizace by měly zneplatnit artefakty sestavení vytvořené během doby expozice a důkladně zkontrolovat, zda byly verze, obrazy kontejnerů, balíčky npm, artefakty nasazení nebo jiné softwarové komponenty vygenerovány až po zavedení škodlivého balíčku do prostředí.

Trendy

GREYVIBE Hrozivý herec

Pokročilá trvalá hrozba (APT), Malware
Dříve neidentifikovaný aktér hrozby známý jako GREYVIBE je spojován s trvalou kyberšpionážní kampaní zaměřenou na Ukrajinu a organizace s touto zemí spojené přinejmenším od srpna 2025. Analýza naznačuje, že skupina operuje primárně v ruském časovém pásmu a komunikuje v ruštině. Její aktivity úzce souvisejí se zájmy ruského státu, zejména se shromažďováním zpravodajských informací v souvislosti...

Podvod s e-maily na spolupráci na LinkedInu

Phishing, Spam
Kyberzločinci stojící za podvodem s LinkedIn Collaboration se snaží nalákat příjemce něčím, co vypadá jako profesionální obchodní dotaz. E-maily údajně pocházejí od kupujícího jménem „Jonathan Spriggs“ ze společnosti Storex Trading Ltd., který údajně objevil příjemce přes LinkedIn a chce s ním prodiskutovat velkou objednávku produktů zahrnující 12 000 kusů. Aby zpráva vypadala autenticky,...

Nejvíce shlédnuto

Načítání...