Miasma-toimitusketjuhyökkäys
Äskettäin löydetty ohjelmistojen toimitusketjuun kohdistuva hyökkäyskampanja, nimeltään Miasma, on vaarantanut useita @redhat-cloud-services npm-paketteja. Operaation tarkoituksena on kerätä tunnistetietoja ja arkaluonteisia tietoja kehittäjäympäristöistä samalla, kun otetaan käyttöön itseään leviävä mato, joka kykenee leviämään edelleen ohjelmistokehitysekosysteemeissä.
Kampanja heijastelee läheisesti aiemmin Mini Shai-Huludiin liitettyjä taktiikoita hyödyntäen asennusaikaista toteutusta, tunnistetietojen varastamista, CI/CD-tietoturvan vaarantamista, salatun tiedon vuotamista ja mekanismeja, jotka mahdollistavat tiedon leviämisen jatkossa.
Sisällysluettelo
Attribuutio on edelleen epävarma
Miasmasta vastuussa olevaa uhkatoimijaa ei ole vielä lopullisesti tunnistettu. TeamPCP, joka tunnetaan myös nimillä Replicating Marauder, TGR-CRI-1135 ja UNC6780, on aiemmin julkaissut Shai-Hulud-matoa koskevat hyökkäystyökalut avoimen lähdekoodin projekteina. Tämä kehitys on mahdollistanut muiden kyberrikollisryhmien kopioida vastaavia tekniikoita, mikä on tehnyt lopullisen syyn osoittamisen huomattavasti vaikeammaksi.
Vaarantuneet npm-paketit
Seuraavien npm-pakettien on tunnistettu olevan ongelman kohteena:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/sääntökomponentit
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
Tunnistetietojen kerääminen hämärretyn asennuslogiikan avulla
Tietoturvatutkijat havaitsivat, että haitalliset paketit sisältävät hämärretyn esiasennuskoukun, joka on suunniteltu suoritettavaksi automaattisesti paketin asennuksen aikana. Haittaohjelma kohdistuu laajaan valikoimaan arkaluonteisia resursseja, kuten GitHub Actions -salaisuuksia, npm-todennustunnuksia, pilvitunnistetietoja, Kubernetes- ja HashiCorp Vault -salaisuuksia, SSH-avaimia, Git-tunnistetietoja ja muita vaarantuneissa järjestelmissä tallennettuja luottamuksellisia tiedostoja.
Kuten aiemmissa Mini Shai-Hulud -kampanjoissa on havaittu, haittaohjelma sisältää salattuja tietomurtomenetelmiä. Varastetut tiedot lähetetään osoitteeseen api.anthropic.com:443/v1/api, kun taas GitHub toimii vaihtoehtoisena tietomurtokanavana. Tämä kaksikäyttöinen strategia osoittaa, että tunnistetietojen varastamiseen ei ainoastaan pyritä, vaan niitä myös käytetään aseena ohjelmistojen toimitusketjun murtamiseksi.
Salatut datapaketit commitoidaan GitHub API:n kautta, ja commit-viestit voivat sisältää merkkijonon:
'Jos mitätöit tämän tunnuksen, se tuhoaa omistajan tietokoneen:'
Häivetekniikat ja leviämismekanismit
Haittaohjelma sisältää useita toimenpiteitä, joilla pyritään maksimoimaan pysyvyys, välttämään havaitsemista ja laajentamaan käyttöoikeuksia. Yksi huomionarvoinen ominaisuus on tahallinen suorituksen välttäminen venäjänkielisissä järjestelmissä, toimintatapa, jota on aiemmin havaittu GlassWorm-toimitusketjun kampanjoissa.
Npm-ympäristöissä haitallinen koodi on vuorovaikutuksessa OIDC-tokeninvaihdon ja whoami-päätepisteiden kanssa, pakkaa ohjelmistoarkistot uudelleen päivitetyiksi tar-tiedostoiksi ja allekirjoittaa muokattuja artefakteja Sigstoren avulla. Varastetut tunnistetiedot suodatetaan sitten hyökkääjän hallitsemiin julkisiin GitHub-arkistoon kuvauksella "Miasma: The Spreading Blight".
Tutkijat tunnistivat varhaisimman tunnetun tätä kuvausta sisältävän haavoittuvuuden 29. toukokuuta 2026, mikä viittaa joko aktiivisen toiminnan alkuun tai alustavaan testausvaiheeseen kyseisen päivämäärän tienoilla.
GitHub-ympäristöissä haittaohjelma luetteloi vaarantuneiden tokenien käytettävissä olevat tietovarastot, analysoi työnkulkumääritelmiä GraphQL-kyselyillä ja lisää haitallisia työnkulkuja createCommitOnBranch-mutaation avulla. Tämä lähestymistapa mahdollistaa haitallisten muutosten näkymisen varmennettuina ja kryptografisesti allekirjoitettuina committeina.
Edistyneet säilyvyys- ja oikeuksien laajennusominaisuudet
Analyysi paljasti useita haittaohjelmaan upotettuja lisäominaisuuksia:
Yrittää laajentaa käyttöoikeuksia käynnistämällä säilöjä, jotka sidottavat ja liittävät isännän /etc/sudoers.d-hakemiston ja myöntävät salasanattoman sudo-pääsyn CI-ajurille.
Päätepisteiden tietoturvaratkaisujen, kuten CrowdStrike, SentinelOne, Carbon Black ja StepSecurity Harden-Runner, havaitseminen ennen haitallisen toiminnan aloittamista.
Pysyvyysmekanismit, jotka lisäävät SessionStart-koukun Anthropic Claude -koodiin ja luovat haitallisia tasks.json-tiedostoja, jotka on konfiguroitu 'runOn': 'folderOpen' -määrityksellä Microsoft Visual Studio -koodiprojekteille, varmistaen suorituksen tulevien kehitysistuntojen aikana.
Lisääntynyt huomio pilvi-identiteetin vaarantumiseen
Merkittävä kehitysaskel Miasma-variantissa on sen laajennettu keskittyminen pilvi-identiteettien keräämiseen. Uudet moduulit, jotka on suunnattu Google Cloud Platform (GCP) ja Microsoft Azure -ympäristöille, keräävät tietoja kaikista pilvi-identiteeteistä, joihin tartunnan saanut kone pääsee käsiksi.
Aiemmat variantit keskittyivät pääasiassa salaisuuksien poimimiseen pilviympäristöistä. Identiteettiin keskittyvien keräilijöiden lisääminen osoittaa strategista muutosta kohti suoraa pilvikäyttöoikeutta ja etuoikeutettujen identiteettien hyödyntämistä pilvi-infrastruktuureissa.
Havaitsemistoimia vaikeuttaa entisestään se, että jokainen tartunta luo yksilöllisesti salatun hyötykuorman. Tämä mukautus haittaa merkittävästi allekirjoituspohjaista tunnistusta, haittaohjelmien seurantaa ja versioiden korrelointia eri tapausten välillä.
Alkuperäinen kompromitointi ja toimitusketjuun soluttautuminen
Käytettävissä olevat todisteet viittaavat siihen, että kampanja sai alkunsa Red Hatin työntekijän GitHub-tilin murtautumisesta. Tutkijat uskovat, että tili toimi ensimmäisenä tartuntakohtana, jonka avulla hyökkääjät pystyivät lisäämään haitallista koodia tartunnan saaneisiin paketteihin.
Vaarantuneelta tililtä kerrottiin siirretyn haitallisia orpoja commit-tiedostoja kahteen Red Hat Insights -arkistoon ohittaen vakiintuneet koodin tarkistusmenettelyt ja tuoden haitallisen hyötykuorman ohjelmistojen toimitusketjuun.
Tapahtumavasteen ja korjaavien toimenpiteiden ohjeet
Organisaatioiden, jotka asensivat kyseiset pakettiversiot, tulisi välittömästi eristää kyseiset järjestelmät, poistaa haitalliset paketit, kierrättää kaikki mahdollisesti altistuneet tunnistetiedot, tutkia GitHubin ja npm:n toimintaa luvattoman käytön merkkien varalta ja tarkistaa ympäristöt pysyvyysmekanismien varalta. Erityistä huomiota tulisi kiinnittää luvattomiin muutoksiin, jotka liittyvät:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml ja .github/setup.js.
Vahvoja käyttöoikeuksien hallintajärjestelmiä tulisi myös valvoa kehitys- ja pilviympäristöissä.
Koska haittaohjelma luo taustalla suoritettavat ominaisuudet ja pysyy voimassa kehittäjätyökaluissa, pelkkää npm-pakettien poistamista tai node_modules-hakemiston tyhjentämistä ei pitäisi pitää riittävänä korjaavana toimenpiteenä.
CI/CD-ympäristöissä haitallisen paketin suorittaminen tulisi keskeyttää välittömästi. Organisaatioiden tulisi mitätöidä altistumisjakson aikana luodut koontitiedostot ja tarkistaa huolellisesti, onko julkaisuja, säilökuvia, npm-paketteja, käyttöönottotiedostoja tai muita ohjelmistokomponentteja luotu sen jälkeen, kun haitallinen paketti tuotiin ympäristöön.
