मियास्मा आपूर्ति श्रृंखला हमला

हाल ही में खोजे गए एक सॉफ़्टवेयर सप्लाई चेन हमले के अभियान, जिसे मियास्मा नाम दिया गया है, ने कई @redhat-cloud-services npm पैकेजों को प्रभावित किया है। इस ऑपरेशन का उद्देश्य डेवलपर वातावरण से क्रेडेंशियल और संवेदनशील जानकारी एकत्र करना है, साथ ही एक स्व-प्रसारित वर्म को तैनात करना है जो सॉफ़्टवेयर विकास पारिस्थितिकी तंत्र में और अधिक फैलने में सक्षम है।

यह अभियान मिनी शाई-हुलुद से पहले जुड़ी रणनीतियों से काफी मिलता-जुलता है, जिसमें इंस्टॉलेशन-टाइम निष्पादन, क्रेडेंशियल चोरी, सीआई/सीडी समझौता, एन्क्रिप्टेड डेटा की चोरी और डाउनस्ट्रीम प्रसार को सक्षम करने वाले तंत्रों का लाभ उठाया जाता है।

इसका श्रेय किसे दिया जाए, यह अभी भी अनिश्चित है।

मियास्मा हमले के लिए ज़िम्मेदार हमलावर की अभी तक पूरी तरह से पहचान नहीं हो पाई है। यह पता लगाना इसलिए भी मुश्किल है क्योंकि टीमपीसीपी, जिसे रेप्लिकेटिंग माराउडर, टीजीआर-सीआरआई-1135 और यूएनसी6780 के नाम से भी जाना जाता है, ने पहले शाई-हुलुद वर्म से जुड़े हमले के टूल्स को ओपन-सोर्स प्रोजेक्ट के रूप में जारी किया था। इस घटनाक्रम ने अन्य साइबर अपराधियों के समूहों को भी इसी तरह की तकनीकें अपनाने में सक्षम बना दिया है, जिससे हमलावर की पहचान करना और भी कठिन हो गया है।

समझौता किए गए एनपीएम पैकेज

निम्नलिखित npm पैकेज प्रभावित पाए गए हैं:

@redhat-cloud-services/vulnerabilities-client

@redhat-cloud-services/tsc-transform-imports

@redhat-cloud-services/topological-inventory-client

@redhat-cloud-services/sources-client

@redhat-cloud-services/rule-components

@redhat-cloud-services/remediations-client

@redhat-cloud-services/rbac-client

अस्पष्ट इंस्टॉलेशन लॉजिक के माध्यम से क्रेडेंशियल की चोरी

सुरक्षा शोधकर्ताओं ने पाया कि दुर्भावनापूर्ण पैकेजों में एक अस्पष्ट प्रीइंस्टॉल हुक होता है जिसे पैकेज इंस्टॉलेशन के दौरान स्वचालित रूप से निष्पादित करने के लिए डिज़ाइन किया गया है। यह मैलवेयर GitHub Actions सीक्रेट्स, npm प्रमाणीकरण टोकन, क्लाउड क्रेडेंशियल्स, Kubernetes और HashiCorp Vault सीक्रेट्स, SSH कुंजी, Git क्रेडेंशियल्स और समझौता किए गए सिस्टम पर संग्रहीत अन्य गोपनीय फ़ाइलों सहित कई संवेदनशील संपत्तियों को निशाना बनाता है।

जैसा कि पहले के मिनी शाई-हुलुड अभियानों में देखा गया था, यह मैलवेयर एन्क्रिप्टेड डेटा लीक रूटीन का उपयोग करता है। चुराई गई जानकारी api.anthropic.com:443/v1/api पर भेजी जाती है, जबकि GitHub एक वैकल्पिक डेटा लीक चैनल के रूप में काम करता है। यह दोहरे उद्देश्य वाली रणनीति न केवल क्रेडेंशियल्स चुराने का प्रयास दर्शाती है, बल्कि सॉफ्टवेयर सप्लाई चेन को और अधिक नुकसान पहुंचाने के लिए उनका दुरुपयोग करने का भी प्रयास करती है।

एन्क्रिप्टेड डेटा पैकेज GitHub API के माध्यम से कमिट किए जाते हैं, और कमिट संदेशों में निम्न स्ट्रिंग हो सकती है:

'यदि आप इस टोकन को अमान्य करते हैं तो यह मालिक के कंप्यूटर को नष्ट कर देगा:'

गुप्त तकनीकें और प्रसार तंत्र

इस मैलवेयर में निरंतरता बनाए रखने, पहचान से बचने और पहुंच बढ़ाने के लिए कई उपाय शामिल हैं। इसकी एक उल्लेखनीय विशेषता रूसी भाषा के सिस्टम पर निष्पादन से जानबूझकर बचना है, ऐसा व्यवहार पहले ग्लासवर्म सप्लाई चेन अभियानों में भी देखा गया था।

npm वातावरणों के लिए, दुर्भावनापूर्ण कोड OIDC टोकन एक्सचेंज और whoami एंडपॉइंट्स के साथ इंटरैक्ट करता है, सॉफ़्टवेयर आर्काइव को अपडेटेड टारबॉल में रीपैकेज करता है, और Sigstore का उपयोग करके संशोधित आर्टिफैक्ट्स पर हस्ताक्षर करता है। चुराए गए क्रेडेंशियल्स को फिर हमलावर द्वारा नियंत्रित सार्वजनिक GitHub रिपॉजिटरी में भेजा जाता है, जिसमें 'Miasma: The Spreading Blight' का विवरण होता है।

जांचकर्ताओं ने 29 मई, 2026 को इस विवरण वाले सबसे पहले ज्ञात कमिट की पहचान की, जो उस तारीख के आसपास सक्रिय संचालन की शुरुआत या प्रारंभिक परीक्षण चरण का संकेत देता है।

GitHub वातावरण में, मैलवेयर समझौता किए गए टोकन द्वारा पहुंच योग्य रिपॉजिटरी की सूची बनाता है, GraphQL क्वेरी के माध्यम से वर्कफ़्लो परिभाषाओं का विश्लेषण करता है, और createCommitOnBranch म्यूटेशन का उपयोग करके दुर्भावनापूर्ण वर्कफ़्लो को इंजेक्ट करता है। यह तरीका दुर्भावनापूर्ण परिवर्तनों को सत्यापित और क्रिप्टोग्राफिक रूप से हस्ताक्षरित कमिट के रूप में प्रदर्शित करने की अनुमति देता है।

उन्नत दृढ़ता और विशेषाधिकार वृद्धि सुविधाएँ

विश्लेषण से पता चला कि मैलवेयर में कई अतिरिक्त क्षमताएं अंतर्निहित थीं:

होस्ट की /etc/sudoers.d डायरेक्टरी को बाइंड-माउंट करने वाले कंटेनरों को लॉन्च करके और CI रनर्स को पासवर्ड रहित sudo एक्सेस प्रदान करके विशेषाधिकारों को बढ़ाने के प्रयास।

किसी भी दुर्भावनापूर्ण गतिविधि को शुरू करने से पहले क्राउडस्ट्राइक, सेंटिनलवन, कार्बन ब्लैक और स्टेपसिक्योरिटी हार्डन-रनर सहित एंडपॉइंट सुरक्षा समाधानों का पता लगाना।

ऐसे परसिस्टेंस मैकेनिज्म जो एंथ्रोपिक क्लाउड कोड में सेशनस्टार्ट हुक इंजेक्ट करते हैं और माइक्रोसॉफ्ट विजुअल स्टूडियो कोड प्रोजेक्ट्स के लिए 'runOn': 'folderOpen' के साथ कॉन्फ़िगर की गई दुर्भावनापूर्ण tasks.json फ़ाइलें बनाते हैं, जिससे भविष्य के डेवलपमेंट सेशन के दौरान निष्पादन सुनिश्चित होता है।

क्लाउड आइडेंटिटी कॉम्प्रोमाइज पर बढ़ता ध्यान

मियास्मा वेरिएंट में एक महत्वपूर्ण विकास क्लाउड पहचान संग्रह पर इसका विस्तारित ध्यान है। Google क्लाउड प्लेटफ़ॉर्म (GCP) और Microsoft Azure वातावरण को लक्षित करने वाले नए मॉड्यूल संक्रमित मशीन से पहुंच योग्य सभी क्लाउड पहचानों के बारे में जानकारी एकत्र करते हैं।

पिछले संस्करण मुख्य रूप से क्लाउड वातावरण से गुप्त जानकारी निकालने पर केंद्रित थे। पहचान-केंद्रित संग्राहकों का समावेश क्लाउड तक सीधी पहुंच प्राप्त करने और क्लाउड अवसंरचनाओं के भीतर विशेषाधिकार प्राप्त पहचानों का लाभ उठाने की दिशा में एक रणनीतिक बदलाव का संकेत देता है।

पहचान के प्रयासों को और भी जटिल बनाते हुए, प्रत्येक संक्रमण एक विशिष्ट रूप से एन्क्रिप्टेड पेलोड उत्पन्न करता है। यह अनुकूलन सिग्नेचर-आधारित पहचान, मैलवेयर ट्रैकिंग और विभिन्न घटनाओं में संस्करण सहसंबंध स्थापित करने में महत्वपूर्ण रूप से बाधा डालता है।

प्रारंभिक समझौता और आपूर्ति श्रृंखला में घुसपैठ

उपलब्ध साक्ष्य बताते हैं कि यह अभियान रेड हैट के एक कर्मचारी के गिटहब खाते की सुरक्षा में सेंधमारी के माध्यम से शुरू हुआ। जांचकर्ताओं का मानना है कि यह खाता प्रारंभिक संक्रमण बिंदु के रूप में कार्य करता था, जिससे हमलावरों को प्रभावित पैकेजों में दुर्भावनापूर्ण कोड डालने में मदद मिली।

रिपोर्ट के अनुसार, हैक किए गए खाते ने दो रेड हैट इनसाइट्स रिपॉजिटरी में दुर्भावनापूर्ण अनाथ कमिट्स को धकेल दिया, जिससे स्थापित कोड समीक्षा प्रक्रियाओं को दरकिनार कर दिया गया और सॉफ्टवेयर आपूर्ति श्रृंखला में दुर्भावनापूर्ण पेलोड को शामिल कर दिया गया।

घटना प्रतिक्रिया और निवारण मार्गदर्शन

जिन संगठनों ने प्रभावित पैकेज संस्करण स्थापित किए हैं, उन्हें प्रभावित सिस्टमों को तुरंत अलग करना चाहिए, दुर्भावनापूर्ण पैकेजों को हटाना चाहिए, सभी संभावित रूप से उजागर क्रेडेंशियल्स को बदलना चाहिए, अनधिकृत पहुंच के संकेतों के लिए GitHub और npm गतिविधि की जांच करनी चाहिए और परसिस्टेंस मैकेनिज्म के लिए वातावरण की समीक्षा करनी चाहिए। अनधिकृत संशोधनों पर विशेष ध्यान दिया जाना चाहिए जिनमें शामिल हैं:

~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, और .github/setup.js।

विकास और क्लाउड वातावरणों में भी कड़े पहुंच नियंत्रण लागू किए जाने चाहिए।

क्योंकि यह मैलवेयर डेवलपर टूल्स के भीतर बैकग्राउंड में चलने और बने रहने की क्षमता स्थापित कर लेता है, इसलिए प्रभावित npm पैकेजों को अनइंस्टॉल करना या node_modules डायरेक्टरी को हटाना ही पर्याप्त समाधान नहीं माना जाना चाहिए।

CI/CD वातावरणों के लिए, प्रभावित वर्कफ़्लो निष्पादन को तुरंत निलंबित कर देना चाहिए। संगठनों को जोखिम अवधि के दौरान बनाए गए बिल्ड आर्टिफैक्ट्स को अमान्य कर देना चाहिए और यह अच्छी तरह से समीक्षा करनी चाहिए कि क्या रिलीज़, कंटेनर इमेज, npm पैकेज, परिनियोजन आर्टिफैक्ट्स या अन्य सॉफ़्टवेयर घटक दुर्भावनापूर्ण पैकेज के वातावरण में प्रवेश करने के बाद उत्पन्न हुए थे।