Miasma tarneahela rünnak
Äsja avastatud tarkvara tarneahela rünnakukampaania nimega Miasma on kahjustanud mitmeid @redhat-cloud-services npm pakette. Operatsiooni eesmärk on koguda arendajakeskkondadest volitusi ja tundlikku teavet, juurutades samal ajal isepaljunevat ussi, mis on võimeline tarkvaraarenduse ökosüsteemides edasi levima.
Kampaania peegeldab täpselt varem Mini Shai-Huludiga seostatud taktikat, kasutades ära installimise ajal käivitamist, volituste vargust, CI/CD ohtu seadmist, krüpteeritud andmete väljavoolu ja mehhanisme, mis võimaldavad allavoolu levitamist.
Sisukord
Omistamine jääb ebaselgeks
Miasma eest vastutavat ohutegijat pole veel lõplikult tuvastatud. Tegelikkuses on süüdlase omistamine keeruline, kuna TeamPCP, tuntud ka kui Replicating Marauder, TGR-CRI-1135 ja UNC6780, avaldas varem Shai-Hulud ussiga seotud rünnakutööriistad avatud lähtekoodiga projektidena. See areng on võimaldanud teistel küberkurjategijate rühmitustel sarnaseid tehnikaid kopeerida, muutes lõpliku omistamise oluliselt raskemaks.
Ohustatud npm-paketid
Mõjutatuks on tuvastatud järgmised npm-paketid:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topoloogilise inventuuri klient
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
Volituste kogumine hägustatud installiloogika abil
Turvaeksperdid avastasid, et pahatahtlikud paketid sisaldavad hägustatud eelinstalli konksu, mis on loodud paketi installimise ajal automaatselt käivituma. Pahavara sihib laia valikut tundlikke ressursse, sealhulgas GitHub Actionsi saladusi, npm autentimismärke, pilveteenuse volikirju, Kubernetesi ja HashiCorp Vaulti saladusi, SSH-võtmeid, Giti volikirju ja muid konfidentsiaalseid faile, mis on salvestatud ohustatud süsteemides.
Nagu varasemates Mini Shai-Huludi kampaaniates täheldatud, sisaldab pahavara krüpteeritud väljafiltreerimisrutiine. Varastatud teave edastatakse aadressile api.anthropic.com:443/v1/api, samal ajal kui GitHub toimib alternatiivse väljafiltreerimiskanalina. See kaheotstarbeline strateegia näitab püüdlust mitte ainult volitusi varastada, vaid ka neid relvana tarkvara tarneahela edasiseks ohustamiseks.
Krüptitud andmepaketid kinnitatakse GitHubi API kaudu ja kinnitamise sõnumid võivad sisaldada järgmist stringi:
'Kui te selle märgi kehtetuks tunnistate, hävitab see omaniku arvuti tuuma:'
Varjatud tehnikad ja levimismehhanismid
Pahavara sisaldab mitmeid meetmeid, mille eesmärk on maksimeerida püsivust, vältida avastamist ja laiendada juurdepääsu. Üks tähelepanuväärne omadus on tahtlik käivitamise vältimine venekeelsetes süsteemides, käitumine, mida on varem täheldatud GlassWormi tarneahela kampaaniates.
Npm-keskkondade puhul suhtleb pahatahtlik kood OIDC tokenite vahetuse ja whoami lõpp-punktidega, pakib tarkvaraarhiivid ümber uuendatud tar-failidesse ja allkirjastab muudetud artefakte Sigstore'i abil. Varastatud volikirjad filtreeritakse seejärel ründaja kontrollitavatesse avalikesse GitHubi repositooriumidesse kirjeldusega „Miasma: The Spreading Blight”.
Uurijad tuvastasid varaseima teadaoleva sellise kirjeldusega toimetuleku 29. mail 2026, mis viitab kas aktiivse tegevuse algusele või esialgsele testimisfaasile selle kuupäeva paiku.
GitHubi keskkondades loetleb pahavara ohustatud tokenite poolt ligipääsetavaid repositooriume, analüüsib töövoogude definitsioone GraphQL-päringute abil ja süstib pahatahtlikke töövooge createCommitOnBranch mutatsiooni abil. See lähenemisviis võimaldab pahatahtlikel muudatustel kuvada kontrollitud ja krüptograafiliselt allkirjastatud muudatustena.
Täiustatud püsivuse ja õiguste eskaleerimise funktsioonid
Analüüs paljastas pahavaras mitmeid lisavõimalusi:
Püüab õigusi laiendada, käivitades konteinereid, mis seovad hosti /etc/sudoers.d kataloogi ja annavad CI-käivitajatele paroolita sudo-juurdepääsu.
Lõpp-punkti turbelahenduste (sh CrowdStrike, SentinelOne, Carbon Black ja StepSecurity Harden-Runner) tuvastamine enne pahatahtliku tegevuse alustamist.
Püsivusmehhanismid, mis süstivad Anthropic Claude'i koodi SessionStarti konksu ja loovad pahatahtlikke tasks.json-faile, mis on konfigureeritud Microsoft Visual Studio koodi projektide jaoks 'runOn': 'folderOpen' abil, tagades täitmise tulevaste arendusseansside ajal.
Suurem tähelepanu pilveidentiteedi kompromiteerimisele
Miasma variandi oluline areng on selle laiendatud keskendumine pilveidentiteetide kogumisele. Uued moodulid, mis on suunatud Google Cloud Platformi (GCP) ja Microsoft Azure'i keskkondadele, koguvad teavet kõigi nakatunud masinast ligipääsetavate pilveidentiteetide kohta.
Varasemad variandid keskendusid peamiselt saladuste hankimisele pilvekeskkondadest. Identiteedile keskenduvate kogujate lisamine viitab strateegilisele nihkele otsese pilvejuurdepääsu saamise ja privilegeeritud identiteetide ärakasutamise suunas pilveinfrastruktuurides.
Tuvastamist raskendab veelgi see, et iga nakkus genereerib unikaalselt krüpteeritud koormuse. See kohandamine takistab oluliselt signatuuripõhist tuvastamist, pahavara jälgimist ja versioonide korrelatsiooni intsidentide vahel.
Esialgne kompromiss ja tarneahelasse sissetungimine
Olemasolevad tõendid viitavad sellele, et kampaania sai alguse Red Hati töötaja GitHubi konto ohtu sattumisest. Uurijad usuvad, et konto oli esialgne nakatumispunkt, mis võimaldas ründajatel süstida pahatahtlikku koodi kahjustatud pakettidesse.
Väidetavalt saatis ohustatud konto pahatahtlikud orbude muudatused kahte Red Hat Insightsi repositooriumisse, möödudes kehtestatud koodi läbivaatamise protseduuridest ja tuues pahatahtliku sisu tarkvara tarneahelasse.
Juhised intsidentidele reageerimiseks ja parandusmeetmete rakendamiseks
Organisatsioonid, mis installisid mõjutatud pakettide versioone, peaksid viivitamatult isoleerima mõjutatud süsteemid, eemaldama pahatahtlikud paketid, vahetama kõiki potentsiaalselt ohustatud mandaate, uurima GitHubi ja npm-i tegevust volitamata juurdepääsu tunnuste suhtes ning vaatama üle keskkonnad püsivusmehhanismide suhtes. Erilist tähelepanu tuleks pöörata volitamata muudatustele, mis hõlmavad järgmist:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml ja .github/setup.js.
Samuti tuleks rakendada tugevaid juurdepääsukontrolle nii arendus- kui ka pilvekeskkondades.
Kuna pahavara loob arendustööriistades taustal töötamise võimalused ja püsivuse, ei tohiks mõjutatud npm-pakettide desinstallimist või node_modules kataloogi kustutamist pidada piisavaks parandusmeetmeks.
CI/CD keskkondade puhul tuleks mõjutatud töövoogude käivitamine viivitamatult peatada. Organisatsioonid peaksid kehtetuks tunnistama kokkupuuteperioodil loodud ehitusartefaktid ja põhjalikult üle vaatama, kas pärast pahatahtliku paketi keskkonda toomist loodi väljaandeid, konteineri kujutisi, npm-pakette, juurutamise artefakte või muid tarkvarakomponente.
