Serangan Rantaian Bekalan Miasma
Satu kempen serangan rantaian bekalan perisian yang baru ditemui, yang digelar Miasma, telah menjejaskan pelbagai pakej npm @redhat-cloud-services. Operasi ini direka bentuk untuk menuai kelayakan dan maklumat sensitif daripada persekitaran pembangun sambil menggunakan cacing yang merambat sendiri yang mampu merebak lebih jauh melalui ekosistem pembangunan perisian.
Kempen ini mencerminkan taktik yang sebelum ini dikaitkan dengan Mini Shai-Hulud , memanfaatkan pelaksanaan masa pemasangan, kecurian kelayakan, kompromi CI/CD, pengekstrakan data yang disulitkan dan mekanisme yang membolehkan penyebaran hiliran.
Isi kandungan
Atribusi Masih Tidak Menentu
Aktor ancaman yang bertanggungjawab terhadap Miasma masih belum dikenal pasti secara muktamad. Atribusi menjadi rumit oleh fakta bahawa TeamPCP, juga dikenali sebagai Replicating Marauder, TGR-CRI-1135 dan UNC6780, sebelum ini mengeluarkan alat serangan yang berkaitan dengan cacing Shai-Hulud sebagai projek sumber terbuka. Perkembangan ini telah membolehkan kumpulan penjenayah siber lain meniru teknik serupa, menjadikan atribusi muktamad jauh lebih sukar.
Pakej npm yang terjejas
Pakej npm berikut telah dikenal pasti sebagai terjejas:
@perkhidmatan-awan-redhat/klien-kelemahan
@perkhidmatan-awan-redhat/import-transformasi-tsc
@perkhidmatan-awan-redhat/pelanggan-inventori-topologi
@perkhidmatan-awan-redhat/sumber-klien
@perkhidmatan-awan-redhat/komponen-peraturan
@perkhidmatan-awan-redhat/pelanggan-pemulihan
@perkhidmatan-awan-redhat/pelanggan-rbac
Penuaian Kelayakan Melalui Logik Pemasangan Terkabur
Penyelidik keselamatan mendapati bahawa pakej berniat jahat mengandungi cangkuk prapemasangan yang dikaburkan yang direka untuk dilaksanakan secara automatik semasa pemasangan pakej. Perisian hasad ini menyasarkan pelbagai aset sensitif, termasuk rahsia Tindakan GitHub, token pengesahan npm, kelayakan awan, rahsia Kubernetes dan HashiCorp Vault, kunci SSH, kelayakan Git dan fail sulit lain yang disimpan pada sistem yang diceroboh.
Seperti yang diperhatikan dalam kempen Mini Shai-Hulud sebelum ini, perisian hasad ini menggabungkan rutin penyusupan yang disulitkan. Maklumat yang dicuri dihantar ke api.anthropic.com:443/v1/api, manakala GitHub berfungsi sebagai saluran penyusupan alternatif. Strategi dwiguna ini menunjukkan usaha bukan sahaja untuk mencuri kelayakan tetapi juga untuk menjadikannya senjata untuk pencerobohan rantaian bekalan perisian selanjutnya.
Pakej data yang disulitkan dikomitkan melalui API GitHub, dan mesej komit mungkin mengandungi rentetan:
'Jika Anda Membatalkan Token Ini, Ia Akan Memusnahkan Komputer Pemilik:'
Teknik Senyap dan Mekanisme Penyebaran
Perisian hasad ini merangkumi beberapa langkah yang bertujuan untuk memaksimumkan kegigihan, mengelak pengesanan dan meluaskan akses. Satu ciri penting ialah pengelakan pelaksanaan yang disengajakan pada sistem berbahasa Rusia, satu tingkah laku yang diperhatikan sebelum ini dalam kempen rantaian bekalan GlassWorm.
Untuk persekitaran npm, kod berniat jahat berinteraksi dengan pertukaran token OIDC dan titik akhir whoami, membungkus semula arkib perisian ke dalam tarball yang dikemas kini dan menandatangani artifak yang diubah suai menggunakan Sigstore. Kelayakan yang dicuri kemudiannya diasingkan ke repositori GitHub awam yang dikawal oleh penyerang yang membawa perihalan 'Miasma: The Spreading Blight.'
Penyiasat mengenal pasti komit terawal yang diketahui yang mengandungi penerangan ini pada 29 Mei 2026, yang menunjukkan sama ada permulaan operasi aktif atau fasa ujian awal sekitar tarikh tersebut.
Dalam persekitaran GitHub, perisian hasad menyenaraikan repositori yang boleh diakses oleh token yang dikompromi, menganalisis definisi aliran kerja melalui pertanyaan GraphQL dan menyuntik aliran kerja berniat jahat menggunakan mutasi createCommitOnBranch. Pendekatan ini membolehkan perubahan berniat jahat muncul sebagai komitmen yang disahkan dan ditandatangani secara kriptografi.
Ciri-ciri Kegigihan Lanjutan dan Peningkatan Keistimewaan
Analisis mendedahkan beberapa keupayaan tambahan yang tertanam dalam perisian hasad:
Percubaan untuk meningkatkan keistimewaan dengan melancarkan kontena yang memasang bind-mount direktori /etc/sudoers.d hos dan memberikan akses sudo tanpa kata laluan kepada pelari CI.
Pengesanan penyelesaian keselamatan titik akhir termasuk CrowdStrike, SentinelOne, Carbon Black dan StepSecurity Harden-Runner sebelum memulakan aktiviti berniat jahat.
Mekanisme kegigihan yang menyuntik cangkuk SessionStart ke dalam Anthropic Claude Code dan mencipta fail task.json berniat jahat yang dikonfigurasikan dengan 'runOn': 'folderOpen' untuk projek Microsoft Visual Studio Code, memastikan pelaksanaan semasa sesi pembangunan masa hadapan.
Peningkatan Fokus pada Kompromi Identiti Awan
Evolusi utama dalam varian Miasma ialah tumpuannya yang diperluas pada pengumpulan identiti awan. Modul baharu yang menyasarkan persekitaran Google Cloud Platform (GCP) dan Microsoft Azure mengumpulkan maklumat tentang semua identiti awan yang boleh diakses daripada mesin yang dijangkiti.
Varian sebelumnya tertumpu terutamanya pada pengekstrakan rahsia daripada persekitaran awan. Penambahan pengumpul yang berfokuskan identiti menunjukkan peralihan strategik ke arah mendapatkan akses awan langsung dan mengeksploitasi identiti istimewa dalam infrastruktur awan.
Merumitkan lagi usaha pengesanan, setiap jangkitan menghasilkan muatan yang disulitkan secara unik. Penyesuaian ini menghalang pengesanan berasaskan tandatangan, penjejakan perisian hasad dan korelasi versi merentasi insiden dengan ketara.
Kompromi Awal dan Penyusupan Rantaian Bekalan
Bukti yang ada menunjukkan bahawa kempen itu berasal daripada pencerobohan akaun GitHub pekerja Red Hat. Penyiasat percaya akaun itu berfungsi sebagai titik jangkitan awal, yang membolehkan penyerang menyuntik kod berniat jahat ke dalam pakej yang terjejas.
Akaun yang digodam itu dilaporkan telah memasukkan komitmen anak yatim yang berniat jahat ke dalam dua repositori Red Hat Insights, memintas prosedur semakan kod yang ditetapkan dan memperkenalkan muatan berniat jahat ke dalam rantaian bekalan perisian.
Panduan Tindak Balas dan Pemulihan Insiden
Organisasi yang memasang versi pakej yang terjejas harus segera mengasingkan sistem yang terjejas, mengalih keluar pakej berniat jahat, memutar semua kelayakan yang berpotensi terdedah, menyiasat aktiviti GitHub dan npm untuk tanda-tanda akses tanpa kebenaran dan menyemak persekitaran untuk mekanisme persistensi. Perhatian khusus harus diberikan kepada pengubahsuaian tanpa kebenaran yang melibatkan:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml dan .github/setup.js.
Kawalan akses yang kukuh juga harus dikuatkuasakan merentasi persekitaran pembangunan dan awan.
Oleh kerana perisian hasad tersebut mewujudkan keupayaan pelaksanaan latar belakang dan kegigihan dalam alat pembangun, hanya menyahpasang pakej npm yang terjejas atau memadam direktori node_modules tidak boleh dianggap sebagai pemulihan yang mencukupi.
Bagi persekitaran CI/CD, pelaksanaan aliran kerja yang terjejas harus digantung serta-merta. Organisasi harus membatalkan artifak binaan yang dibuat semasa tempoh pendedahan dan menyemak semula dengan teliti sama ada keluaran, imej kontena, pakej npm, artifak penggunaan atau komponen perisian lain telah dijana selepas pakej berniat jahat diperkenalkan ke dalam persekitaran.
