ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ Miasma

យុទ្ធនាការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីដែលទើបរកឃើញថ្មី ដែលមានឈ្មោះថា Miasma បានធ្វើឱ្យខូចកញ្ចប់ npm ជាច្រើនរបស់ @redhat-cloud-services។ ប្រតិបត្តិការនេះត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានសម្ងាត់ និងព័ត៌មានរសើបពីបរិស្ថានអ្នកអភិវឌ្ឍន៍ ខណៈពេលដែលកំពុងដាក់ពង្រាយមេរោគដង្កូវដែលរីករាលដាលដោយខ្លួនឯង ដែលមានសមត្ថភាពរីករាលដាលបន្ថែមទៀតតាមរយៈប្រព័ន្ធអេកូឡូស៊ីអភិវឌ្ឍន៍កម្មវិធី។

យុទ្ធនាការនេះឆ្លុះបញ្ចាំងយ៉ាងជិតស្និទ្ធនូវយុទ្ធសាស្ត្រដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយ Mini Shai-Hulud ដោយទាញយកអត្ថប្រយោជន៍ពីការប្រតិបត្តិការដំឡើង ការលួចព័ត៌មានសម្ងាត់ ការលួច CI/CD ការលួចទិន្នន័យដែលបានអ៊ិនគ្រីប និងយន្តការដែលអាចឱ្យមានការសាយភាយចុះក្រោម។

ការបញ្ជាក់អត្តសញ្ញាណនៅតែមិនប្រាកដប្រជា

ភ្នាក់ងារគំរាមកំហែងដែលទទួលខុសត្រូវចំពោះ Miasma មិនទាន់ត្រូវបានកំណត់អត្តសញ្ញាណច្បាស់លាស់នៅឡើយទេ។ ការកំណត់អត្តសញ្ញាណមានភាពស្មុគស្មាញដោយសារការពិតដែលថា TeamPCP ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Replicating Marauder, TGR-CRI-1135 និង UNC6780 ពីមុនបានចេញផ្សាយឧបករណ៍វាយប្រហារដែលទាក់ទងនឹងដង្កូវ Shai-Hulud ជាគម្រោងប្រភពបើកចំហ។ ការអភិវឌ្ឍនេះបានអនុញ្ញាតឱ្យក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀតចម្លងបច្ចេកទេសស្រដៀងគ្នា ដែលធ្វើឱ្យការកំណត់អត្តសញ្ញាណច្បាស់លាស់កាន់តែពិបាក។

កញ្ចប់ npm ដែលរងការគំរាមកំហែង

កញ្ចប់ npm ខាងក្រោមត្រូវបានកំណត់ថារងផលប៉ះពាល់៖

@redhat-cloud-services/vulnerabilities-client

@redhat-cloud-services/tsc-transform-imports

@redhat-cloud-services/topological-inventory-client

@redhat-cloud-services/sources-client

@redhat-cloud-services/rule-components

@redhat-cloud-services/remediations-client

@redhat-cloud-services/rbac-client

ការប្រមូលផលលិខិតសម្គាល់តាមរយៈតក្កវិជ្ជាការដំឡើងដែលមិនច្បាស់លាស់

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញថា កញ្ចប់មេរោគទាំងនោះមានផ្ទុកនូវទំពក់ដំឡើងជាមុនដែលត្រូវបានរចនាឡើងដើម្បីប្រតិបត្តិដោយស្វ័យប្រវត្តិក្នុងអំឡុងពេលដំឡើងកញ្ចប់។ មេរោគនេះកំណត់គោលដៅលើទ្រព្យសកម្មរសើបជាច្រើន រួមទាំងអាថ៌កំបាំង GitHub Actions, ថូខឹនផ្ទៀងផ្ទាត់ npm, លិខិតសម្គាល់ cloud, អាថ៌កំបាំង Kubernetes និង HashiCorp Vault, សោ SSH, លិខិតសម្គាល់ Git និងឯកសារសម្ងាត់ផ្សេងទៀតដែលរក្សាទុកនៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល។

ដូចដែលបានសង្កេតឃើញនៅក្នុងយុទ្ធនាការ Mini Shai-Hulud មុនៗ មេរោគនេះរួមបញ្ចូលនីតិវិធី exfiltration ដែលបានអ៊ិនគ្រីប។ ព័ត៌មានដែលត្រូវបានគេលួចត្រូវបានបញ្ជូនទៅ api.anthropic.com:443/v1/api ខណៈពេលដែល GitHub បម្រើជាឆានែល exfiltration ជំនួស។ យុទ្ធសាស្ត្រគោលបំណងពីរនេះបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងមិនត្រឹមតែលួចព័ត៌មានសម្ងាត់ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងប្រើប្រាស់វាសម្រាប់ការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីបន្ថែមទៀត។

កញ្ចប់ទិន្នន័យដែលបានអ៊ិនគ្រីបត្រូវបានបញ្ជូនតាមរយៈ GitHub API ហើយសារបញ្ជូនអាចមានខ្សែអក្សរ៖

ប្រសិនបើអ្នកធ្វើឱ្យសញ្ញាសម្ងាត់នេះមិនមានសុពលភាព វានឹងបំផ្លាញកុំព្យូទ័ររបស់ម្ចាស់៖

បច្ចេកទេសលាក់ខ្លួន និងយន្តការផ្សព្វផ្សាយ

មេរោគនេះរួមបញ្ចូលវិធានការជាច្រើនដែលមានបំណងបង្កើនប្រសិទ្ធភាពនៃការបន្ត គេចវេះការរកឃើញ និងពង្រីកការចូលប្រើ។ លក្ខណៈគួរឱ្យកត់សម្គាល់មួយគឺការជៀសវាងដោយចេតនានៃការប្រតិបត្តិលើប្រព័ន្ធភាសារុស្ស៊ី ដែលជាឥរិយាបថដែលធ្លាប់ត្រូវបានគេសង្កេតឃើញនៅក្នុងយុទ្ធនាការខ្សែសង្វាក់ផ្គត់ផ្គង់ GlassWorm។

សម្រាប់បរិស្ថាន npm កូដព្យាបាទធ្វើអន្តរកម្មជាមួយការផ្លាស់ប្តូរសញ្ញាសម្ងាត់ OIDC និងចំណុចបញ្ចប់ whoami វេចខ្ចប់បណ្ណសារកម្មវិធីឡើងវិញទៅជា tarballs ដែលបានធ្វើបច្ចុប្បន្នភាព និងចុះហត្ថលេខាលើវត្ថុបុរាណដែលបានកែប្រែដោយប្រើ Sigstore។ បន្ទាប់មក ព័ត៌មានសម្ងាត់ដែលត្រូវបានលួចត្រូវបានច្រោះទៅកាន់ឃ្លាំង GitHub សាធារណៈដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលមានការពិពណ៌នា 'Miasma: The Spreading Blight'។

ក្រុមអ្នកស៊ើបអង្កេតបានកំណត់អត្តសញ្ញាណការប្រព្រឹត្តដំបូងបំផុតដែលគេស្គាល់ដែលមានការពិពណ៌នានេះនៅថ្ងៃទី 29 ខែឧសភា ឆ្នាំ 2026 ដែលបង្ហាញពីការចាប់ផ្តើមនៃប្រតិបត្តិការសកម្ម ឬដំណាក់កាលសាកល្បងដំបូងនៅជុំវិញកាលបរិច្ឆេទនោះ។

នៅក្នុងបរិស្ថាន GitHub មេរោគនេះរាយបញ្ជីឃ្លាំងទិន្នន័យដែលអាចចូលប្រើបានសម្រាប់ថូខឹនដែលរងការសម្របសម្រួល វិភាគនិយមន័យនៃលំហូរការងារតាមរយៈសំណួរ GraphQL និងចាក់បញ្ចូលលំហូរការងារដែលមានគំនិតអាក្រក់ដោយប្រើការផ្លាស់ប្តូរ createCommitOnBranch។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យការផ្លាស់ប្តូរដែលមានគំនិតអាក្រក់លេចឡើងជាការប្តេជ្ញាចិត្តដែលបានផ្ទៀងផ្ទាត់ និងចុះហត្ថលេខាជាគ្រីបតូក្រាហ្វិក។

លក្ខណៈពិសេសកម្រិតខ្ពស់នៃការតស៊ូ និងការកើនឡើងសិទ្ធិ

ការវិភាគបានបង្ហាញពីសមត្ថភាពបន្ថែមជាច្រើនដែលបានបង្កប់នៅក្នុងមេរោគ៖

ការប៉ុនប៉ងបង្កើនសិទ្ធិដោយបើកដំណើរការកុងតឺន័រដែលភ្ជាប់-ម៉ោនថត /etc/sudoers.d របស់ម៉ាស៊ីន និងផ្តល់សិទ្ធិចូលប្រើ sudo ដោយគ្មានពាក្យសម្ងាត់ដល់អ្នករត់ CI។

ការរកឃើញដំណោះស្រាយសុវត្ថិភាពចំណុចបញ្ចប់ រួមទាំង CrowdStrike, SentinelOne, Carbon Black និង StepSecurity Harden-Runner មុនពេលចាប់ផ្តើមសកម្មភាពព្យាបាទ។

យន្តការ​អចិន្ត្រៃយ៍​ដែល​បញ្ចូល​ទំពក់ SessionStart ទៅក្នុង​កូដ Anthropic Claude ហើយ​បង្កើត​ឯកសារ tasks.json ដែល​មាន​គំនិត​អាក្រក់​ដែល​ត្រូវ​បាន​កំណត់​រចនាសម្ព័ន្ធ​ជាមួយ 'runOn': 'folderOpen' សម្រាប់​គម្រោង Microsoft Visual Studio Code ដែល​ធានា​ការ​ប្រតិបត្តិ​ក្នុង​អំឡុង​ពេល​វគ្គ​អភិវឌ្ឍន៍​នា​ពេល​អនាគត។

ការផ្តោតការយកចិត្តទុកដាក់កាន់តែខ្លាំងឡើងលើការលួចចូលប្រព័ន្ធ Cloud Identity

ការវិវត្តដ៏សំខាន់មួយនៅក្នុងបំរែបំរួល Miasma គឺការផ្តោតការយកចិត្តទុកដាក់បន្ថែមរបស់វាទៅលើការប្រមូលអត្តសញ្ញាណ cloud។ ម៉ូឌុលថ្មីដែលកំណត់គោលដៅលើបរិស្ថាន Google Cloud Platform (GCP) និង Microsoft Azure ប្រមូលព័ត៌មានអំពីអត្តសញ្ញាណ cloud ទាំងអស់ដែលអាចចូលប្រើបានពីម៉ាស៊ីនដែលឆ្លងមេរោគ។

វ៉ារ្យ៉ង់មុនៗផ្តោតជាចម្បងលើការទាញយកអាថ៌កំបាំងពីបរិស្ថានពពក។ ការបន្ថែមអ្នកប្រមូលដែលផ្តោតលើអត្តសញ្ញាណបង្ហាញពីការផ្លាស់ប្តូរជាយុទ្ធសាស្ត្រឆ្ពោះទៅរកការទទួលបានការចូលប្រើពពកដោយផ្ទាល់ និងការកេងប្រវ័ញ្ចអត្តសញ្ញាណដែលមានសិទ្ធិនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធពពក។

ដែលធ្វើឱ្យកិច្ចខិតខំប្រឹងប្រែងរកឃើញកាន់តែស្មុគស្មាញ ការឆ្លងមេរោគនីមួយៗបង្កើតបន្ទុកទិន្នន័យដែលបានអ៊ិនគ្រីបតែមួយគត់។ ការប្ដូរតាមបំណងនេះរារាំងយ៉ាងខ្លាំងដល់ការរកឃើញដែលមានមូលដ្ឋានលើហត្ថលេខា ការតាមដានមេរោគ និងការជាប់ទាក់ទងគ្នានៃកំណែនៅទូទាំងឧប្បត្តិហេតុ។

ការសម្របសម្រួលដំបូង និងការជ្រៀតចូលខ្សែសង្វាក់ផ្គត់ផ្គង់

ភស្តុតាងដែលមានបង្ហាញថា យុទ្ធនាការនេះមានប្រភពមកពីការសម្របសម្រួលគណនី GitHub របស់បុគ្គលិក Red Hat។ អ្នកស៊ើបអង្កេតជឿថា គណនីនេះបានបម្រើជាចំណុចឆ្លងដំបូង ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារចាក់កូដព្យាបាទចូលទៅក្នុងកញ្ចប់ដែលរងផលប៉ះពាល់។

គណនីដែលរងការលួចចូលត្រូវបានគេរាយការណ៍ថាបានរុញមេរោគកំព្រាចូលទៅក្នុងឃ្លាំងផ្ទុកទិន្នន័យ Red Hat Insights ចំនួនពីរ ដោយរំលងនីតិវិធីពិនិត្យកូដដែលបានបង្កើតឡើង និងណែនាំបន្ទុកមេរោគទៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។

ការណែនាំអំពីការឆ្លើយតប និងដំណោះស្រាយចំពោះឧប្បត្តិហេតុ

អង្គការដែលបានដំឡើងកំណែកញ្ចប់ដែលរងផលប៉ះពាល់គួរតែញែកប្រព័ន្ធដែលរងផលប៉ះពាល់ចេញជាបន្ទាន់ លុបកញ្ចប់ដែលមានគំនិតអាក្រក់ បង្វិលព័ត៌មានសម្ងាត់ដែលអាចប៉ះពាល់ទាំងអស់ ស៊ើបអង្កេតសកម្មភាព GitHub និង npm សម្រាប់សញ្ញានៃការចូលប្រើដោយគ្មានការអនុញ្ញាត និងពិនិត្យមើលបរិស្ថានសម្រាប់យន្តការរក្សា។ ការយកចិត្តទុកដាក់ជាពិសេសគួរតែត្រូវបានផ្តល់ទៅឱ្យការកែប្រែដែលគ្មានការអនុញ្ញាតដែលពាក់ព័ន្ធនឹង៖

~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, និង .github/setup.js។

ការគ្រប់គ្រងការចូលប្រើដ៏រឹងមាំក៏គួរតែត្រូវបានអនុវត្តនៅទូទាំងបរិស្ថានអភិវឌ្ឍន៍ និងពពកផងដែរ។

ដោយសារតែមេរោគបង្កើតសមត្ថភាពប្រតិបត្តិផ្ទៃខាងក្រោយ និងស្ថេរភាពនៅក្នុងឧបករណ៍អ្នកអភិវឌ្ឍន៍ ការលុបកញ្ចប់ npm ដែលរងផលប៉ះពាល់ ឬការលុបថត node_modules មិនគួរចាត់ទុកថាជាការជួសជុលគ្រប់គ្រាន់នោះទេ។

សម្រាប់បរិស្ថាន CI/CD ការប្រតិបត្តិលំហូរការងារដែលរងផលប៉ះពាល់គួរតែត្រូវបានផ្អាកជាបន្ទាន់។ អង្គការនានាគួរតែធ្វើឱ្យវត្ថុបុរាណសាងសង់ដែលបង្កើតឡើងក្នុងអំឡុងពេលនៃការប៉ះពាល់មានសុពលភាព ហើយពិនិត្យឡើងវិញយ៉ាងហ្មត់ចត់ថាតើការចេញផ្សាយ រូបភាពកុងតឺន័រ កញ្ចប់ npm វត្ថុបុរាណដាក់ពង្រាយ ឬសមាសធាតុកម្មវិធីផ្សេងទៀតត្រូវបានបង្កើតបន្ទាប់ពីកញ្ចប់ព្យាបាទត្រូវបានណែនាំទៅក្នុងបរិស្ថានឬអត់។