Επίθεση στην αλυσίδα εφοδιασμού Miasma
Μια πρόσφατα ανακαλυφθείσα εκστρατεία επίθεσης στην αλυσίδα εφοδιασμού λογισμικού, με την ονομασία Miasma, έχει παραβιάσει πολλά πακέτα npm του @redhat-cloud-services. Η επιχείρηση έχει σχεδιαστεί για να συλλέγει διαπιστευτήρια και ευαίσθητες πληροφορίες από περιβάλλοντα προγραμματιστών, αναπτύσσοντας παράλληλα έναν αυτοδιαδιδόμενο ιό τύπου worm ικανό να εξαπλωθεί περαιτέρω μέσω των οικοσυστημάτων ανάπτυξης λογισμικού.
Η καμπάνια αντικατοπτρίζει πιστά τις τακτικές που είχαν συνδεθεί προηγουμένως με το Mini Shai-Hulud , αξιοποιώντας την εκτέλεση κατά τον χρόνο εγκατάστασης, την κλοπή διαπιστευτηρίων, την παραβίαση CI/CD, την εξαγωγή κρυπτογραφημένων δεδομένων και μηχανισμούς που επιτρέπουν τη διάδοση κατάντη.
Πίνακας περιεχομένων
Η απόδοση παραμένει αβέβαιη
Ο υπεύθυνος για το Miasma απειλητικός παράγοντας δεν έχει ακόμη ταυτοποιηθεί οριστικά. Η απόδοση περιπλέκεται από το γεγονός ότι η TeamPCP, γνωστή και ως Replicating Marauder, TGR-CRI-1135 και UNC6780, είχε κυκλοφορήσει προηγουμένως τα εργαλεία επίθεσης που σχετίζονται με τον ιό Shai-Hulud ως έργα ανοιχτού κώδικα. Αυτή η εξέλιξη έχει επιτρέψει σε άλλες ομάδες κυβερνοεγκληματιών να αναπαράγουν παρόμοιες τεχνικές, καθιστώντας την οριστική απόδοση σημαντικά πιο δύσκολη.
Παραβιασμένα πακέτα npm
Τα ακόλουθα πακέτα npm έχουν αναγνωριστεί ως επηρεασμένα:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
Συλλογή διαπιστευτηρίων μέσω κρυφής λογικής εγκατάστασης
Οι ερευνητές ασφαλείας ανακάλυψαν ότι τα κακόβουλα πακέτα περιέχουν ένα ασαφές άγκιστρο προεγκατάστασης που έχει σχεδιαστεί για να εκτελείται αυτόματα κατά την εγκατάσταση του πακέτου. Το κακόβουλο λογισμικό στοχεύει ένα ευρύ φάσμα ευαίσθητων περιουσιακών στοιχείων, συμπεριλαμβανομένων των μυστικών ενεργειών GitHub, των διακριτικών ελέγχου ταυτότητας npm, των διαπιστευτηρίων cloud, των μυστικών Kubernetes και HashiCorp Vault, των κλειδιών SSH, των διαπιστευτηρίων Git και άλλων εμπιστευτικών αρχείων που είναι αποθηκευμένα σε παραβιασμένα συστήματα.
Όπως παρατηρήθηκε σε προηγούμενες καμπάνιες Mini Shai-Hulud, το κακόβουλο λογισμικό ενσωματώνει κρυπτογραφημένες ρουτίνες εξαγωγής. Οι κλεμμένες πληροφορίες μεταδίδονται στο api.anthropic.com:443/v1/api, ενώ το GitHub χρησιμεύει ως εναλλακτικό κανάλι εξαγωγής. Αυτή η στρατηγική διπλού σκοπού καταδεικνύει μια προσπάθεια όχι μόνο για την κλοπή διαπιστευτηρίων αλλά και για τη χρήση τους ως όπλο για περαιτέρω παραβίαση της αλυσίδας εφοδιασμού λογισμικού.
Τα κρυπτογραφημένα πακέτα δεδομένων δεσμεύονται μέσω του GitHub API και τα μηνύματα δέσμευσης ενδέχεται να περιέχουν τη συμβολοσειρά:
'ΕάνΕπικυρώσετεΑυτότοΔείκτη,ΘαΕκκινήσειΟΥπολογιστήςΤουΚατόχου:'
Τεχνικές Stealth και Μηχανισμοί Διάδοσης
Το κακόβουλο λογισμικό περιλαμβάνει διάφορα μέτρα που αποσκοπούν στη μεγιστοποίηση της επιμονής, στην αποφυγή ανίχνευσης και στην επέκταση της πρόσβασης. Ένα αξιοσημείωτο χαρακτηριστικό είναι η σκόπιμη αποφυγή εκτέλεσης σε συστήματα ρωσικής γλώσσας, μια συμπεριφορά που είχε παρατηρηθεί προηγουμένως στις εκστρατείες εφοδιαστικής αλυσίδας GlassWorm.
Για περιβάλλοντα npm, ο κακόβουλος κώδικας αλληλεπιδρά με την ανταλλαγή διακριτικών OIDC και τα τελικά σημεία whoami, ανασυσκευάζει τα αρχεία λογισμικού σε ενημερωμένα tarball και υπογράφει τροποποιημένα αντικείμενα χρησιμοποιώντας το Sigstore. Τα κλεμμένα διαπιστευτήρια στη συνέχεια εξαπλώνονται σε δημόσια αποθετήρια GitHub που ελέγχονται από εισβολείς και φέρουν την περιγραφή «Miasma: The Spreading Blight».
Οι ερευνητές εντόπισαν την παλαιότερη γνωστή δέσμευση που περιείχε αυτήν την περιγραφή στις 29 Μαΐου 2026, υποδηλώνοντας είτε την έναρξη ενεργών επιχειρήσεων είτε μια αρχική φάση δοκιμών γύρω από αυτήν την ημερομηνία.
Μέσα σε περιβάλλοντα GitHub, το κακόβουλο λογισμικό απαριθμεί αποθετήρια προσβάσιμα σε παραβιασμένα tokens, αναλύει ορισμούς ροής εργασίας μέσω ερωτημάτων GraphQL και εισάγει κακόβουλες ροές εργασίας χρησιμοποιώντας τη μετάλλαξη createCommitOnBranch. Αυτή η προσέγγιση επιτρέπει στις κακόβουλες αλλαγές να εμφανίζονται ως επαληθευμένες και κρυπτογραφικά υπογεγραμμένες commits.
Προηγμένες λειτουργίες επιμονής και κλιμάκωσης δικαιωμάτων
Η ανάλυση αποκάλυψε αρκετές πρόσθετες δυνατότητες ενσωματωμένες στο κακόβουλο λογισμικό:
Προσπαθεί να κλιμακώσει τα δικαιώματα εκκινώντας κοντέινερ που συνδέουν τον κατάλογο /etc/sudoers.d του κεντρικού υπολογιστή και παρέχουν πρόσβαση sudo χωρίς κωδικό πρόσβασης στους εκτελεστές CI.
Ανίχνευση λύσεων ασφάλειας τελικών σημείων, όπως CrowdStrike, SentinelOne, Carbon Black και StepSecurity Harden-Runner, πριν από την έναρξη κακόβουλης δραστηριότητας.
Μηχανισμοί persistence που εισάγουν ένα άγκιστρο SessionStart στον κώδικα Anthropic Claude και δημιουργούν κακόβουλα αρχεία tasks.json που έχουν ρυθμιστεί με 'runOn': 'folderOpen' για έργα κώδικα Microsoft Visual Studio, διασφαλίζοντας την εκτέλεση κατά τη διάρκεια μελλοντικών περιόδων ανάπτυξης.
Αυξημένη εστίαση στην παραβίαση της ταυτότητας cloud
Μια σημαντική εξέλιξη στην παραλλαγή Miasma είναι η διευρυμένη εστίασή της στη συλλογή ταυτοτήτων cloud. Νέες ενότητες που στοχεύουν σε περιβάλλοντα Google Cloud Platform (GCP) και Microsoft Azure συλλέγουν πληροφορίες σχετικά με όλες τις ταυτότητες cloud που είναι προσβάσιμες από ένα μολυσμένο μηχάνημα.
Οι προηγούμενες παραλλαγές επικεντρώνονταν κυρίως στην εξαγωγή μυστικών από περιβάλλοντα cloud. Η προσθήκη συλλεκτών που εστιάζουν στην ταυτότητα υποδηλώνει μια στρατηγική στροφή προς την απόκτηση άμεσης πρόσβασης στο cloud και την αξιοποίηση προνομιακών ταυτοτήτων εντός των υποδομών cloud.
Κάτι που περιπλέκει περαιτέρω τις προσπάθειες ανίχνευσης είναι ότι κάθε μόλυνση δημιουργεί ένα μοναδικά κρυπτογραφημένο ωφέλιμο φορτίο. Αυτή η προσαρμογή εμποδίζει σημαντικά την ανίχνευση βάσει υπογραφής, την παρακολούθηση κακόβουλου λογισμικού και τη συσχέτιση εκδόσεων μεταξύ των περιστατικών.
Αρχική Συμβιβαστική Διατάραξη και Διείσδυση στην Εφοδιαστική Αλυσίδα
Τα διαθέσιμα στοιχεία υποδηλώνουν ότι η καμπάνια ξεκίνησε μέσω της παραβίασης του λογαριασμού GitHub ενός υπαλλήλου της Red Hat. Οι ερευνητές πιστεύουν ότι ο λογαριασμός χρησίμευσε ως το αρχικό σημείο μόλυνσης, επιτρέποντας στους εισβολείς να εισάγουν κακόβουλο κώδικα σε πακέτα που έχουν προσβληθεί.
Σύμφωνα με πληροφορίες, ο παραβιασμένος λογαριασμός προώθησε κακόβουλες ορφανές δεσμεύσεις σε δύο αποθετήρια Red Hat Insights, παρακάμπτοντας τις καθιερωμένες διαδικασίες αναθεώρησης κώδικα και εισάγοντας το κακόβουλο ωφέλιμο φορτίο στην αλυσίδα εφοδιασμού λογισμικού.
Οδηγίες για την αντιμετώπιση περιστατικών και την αποκατάσταση
Οι οργανισμοί που εγκατέστησαν τις εκδόσεις πακέτων που έχουν επηρεαστεί θα πρέπει να απομονώσουν αμέσως τα επηρεαζόμενα συστήματα, να αφαιρέσουν κακόβουλα πακέτα, να εναλλάξουν όλα τα πιθανώς εκτεθειμένα διαπιστευτήρια, να διερευνήσουν τη δραστηριότητα του GitHub και του npm για ενδείξεις μη εξουσιοδοτημένης πρόσβασης και να ελέγξουν τα περιβάλλοντα για μηχανισμούς διατήρησης. Ιδιαίτερη προσοχή θα πρέπει να δοθεί σε μη εξουσιοδοτημένες τροποποιήσεις που αφορούν:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml και .github/setup.js.
Θα πρέπει επίσης να εφαρμόζονται αυστηροί έλεγχοι πρόσβασης σε όλα τα περιβάλλοντα ανάπτυξης και cloud.
Επειδή το κακόβουλο λογισμικό δημιουργεί δυνατότητες εκτέλεσης στο παρασκήνιο και επιμονή στα εργαλεία προγραμματιστών, η απλή απεγκατάσταση των επηρεαζόμενων πακέτων npm ή η διαγραφή του καταλόγου node_modules δεν θα πρέπει να θεωρείται επαρκής αποκατάσταση.
Για περιβάλλοντα CI/CD, οι επηρεαζόμενες εκτελέσεις ροών εργασίας θα πρέπει να αναστέλλονται αμέσως. Οι οργανισμοί θα πρέπει να ακυρώνουν τα build artifacts που δημιουργήθηκαν κατά την περίοδο έκθεσης και να ελέγχουν διεξοδικά εάν δημιουργήθηκαν εκδόσεις, εικόνες κοντέινερ, πακέτα npm, deployment artifacts ή άλλα στοιχεία λογισμικού μετά την εισαγωγή του κακόβουλου πακέτου στο περιβάλλον.
