Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Miasma forsyningskjedeangrep

Miasma forsyningskjedeangrep

Med Mezo i Skadelig programvare, Ormer
Oversett til:

En nylig oppdaget angrepskampanje mot programvareforsyningskjeden, kalt Miasma, har kompromittert flere @redhat-cloud-services npm-pakker. Operasjonen er utformet for å samle legitimasjon og sensitiv informasjon fra utviklermiljøer samtidig som den distribuerer en selvforplantende orm som er i stand til å spre seg videre gjennom programvareutviklingsøkosystemer.

Kampanjen speiler tett taktikkene som tidligere ble assosiert med Mini Shai-Hulud , og utnytter utførelse under installasjon, tyveri av påloggingsinformasjon, CI/CD-kompromittering, kryptert datautvinning og mekanismer som muliggjør nedstrøms spredning.

Attribusjonen er fortsatt usikker

Trusselaktøren som er ansvarlig for Miasma er ennå ikke endelig identifisert. Attribusjonen kompliseres av det faktum at TeamPCP, også kjent som Replicating Marauder, TGR-CRI-1135 og UNC6780, tidligere har utgitt angrepsverktøyene knyttet til Shai-Hulud-ormen som åpen kildekode-prosjekter. Denne utviklingen har gjort det mulig for andre nettkriminelle grupper å kopiere lignende teknikker, noe som gjør en definitiv attribuering betydelig vanskeligere.

Kompromitterte npm-pakker

Følgende npm-pakker er identifisert som berørte:

@redhat-cloud-services/vulnerabilities-client

@redhat-cloud-services/tsc-transform-imports

@redhat-cloud-services/topologisk-inventar-klient

@redhat-cloud-services/sources-client

@redhat-cloud-services/regelkomponenter

@redhat-cloud-services/remediations-client

@redhat-cloud-services/rbac-klient

Innhenting av legitimasjon gjennom obfuskert installasjonslogikk

Sikkerhetsforskere oppdaget at de skadelige pakkene inneholder en obfuskert preinstall-krok som er utformet for å kjøres automatisk under pakkeinstallasjon. Skadevaren retter seg mot et bredt spekter av sensitive ressurser, inkludert GitHub Actions-hemmeligheter, npm-autentiseringstokener, skylegitimasjon, Kubernetes- og HashiCorp Vault-hemmeligheter, SSH-nøkler, Git-legitimasjon og andre konfidensielle filer lagret på kompromitterte systemer.

Som observert i tidligere Mini Shai-Hulud-kampanjer, bruker skadevaren krypterte eksfiltreringsrutiner. Stjålet informasjon overføres til api.anthropic.com:443/v1/api, mens GitHub fungerer som en alternativ eksfiltreringskanal. Denne dobbeltformålsstrategien demonstrerer en innsats ikke bare for å stjele legitimasjon, men også for å utnytte den som et våpen for ytterligere kompromiss i programvareforsyningskjeden.

Krypterte datapakker sendes via GitHub API, og commit-meldinger kan inneholde strengen:

'Hvis du ugyldiggjør denne tokenen, vil den atombombe eierens datamaskin:'

Stealth-teknikker og forplantningsmekanismer

Skadevaren inkluderer flere tiltak som har som mål å maksimere utholdenhet, unngå deteksjon og utvide tilgang. Et bemerkelsesverdig kjennetegn er den bevisste unngåelsen av utførelse på russiskspråklige systemer, en oppførsel som tidligere er observert i GlassWorm-forsyningskjedekampanjene.

For npm-miljøer samhandler den ondsinnede koden med OIDC-tokenutveksling og whoami-endepunkter, pakker programvarearkiver på nytt til oppdaterte tarballer og signerer modifiserte artefakter ved hjelp av Sigstore. Stjålne legitimasjonsdetaljer blir deretter eksfiltrert til angriperkontrollerte offentlige GitHub-repositorier med beskrivelsen «Miasma: The Spreading Blight».

Etterforskere identifiserte den tidligste kjente innsendingen som inneholder denne beskrivelsen 29. mai 2026, noe som tyder på enten starten på aktive operasjoner eller en innledende testfase rundt den datoen.

Innenfor GitHub-miljøer lister den skadelige programvaren opp arkiver som er tilgjengelige for kompromitterte tokener, analyserer arbeidsflytdefinisjoner gjennom GraphQL-spørringer og injiserer ondsinnede arbeidsflyter ved hjelp av createCommitOnBranch-mutasjonen. Denne tilnærmingen lar ondsinnede endringer vises som verifiserte og kryptografisk signerte commits.

Avanserte funksjoner for persistens og privilegieskalering

Analysen avdekket flere tilleggsfunksjoner innebygd i skadevaren:

Forsøker å eskalere privilegier ved å starte containere som binder og monterer vertens /etc/sudoers.d-katalog og gir passordfri sudo-tilgang til CI-kjørere.

Deteksjon av sikkerhetsløsninger for endepunkter, inkludert CrowdStrike, SentinelOne, Carbon Black og StepSecurity Harden-Runner, før ondsinnet aktivitet igangsettes.

Persistensmekanismer som injiserer en SessionStart-krok i Anthropic Claude Code og oppretter ondsinnede tasks.json-filer konfigurert med 'runOn': 'folderOpen' for Microsoft Visual Studio Code-prosjekter, og sikrer utførelse under fremtidige utviklingsøkter.

Økt fokus på kompromittert skyidentitet

En viktig utvikling i Miasma-varianten er det utvidede fokuset på innsamling av skyidentiteter. Nye moduler som er rettet mot Google Cloud Platform (GCP) og Microsoft Azure-miljøer, samler informasjon om alle skyidentiteter som er tilgjengelige fra en infisert maskin.

Tidligere varianter konsentrerte seg primært om å utvinne hemmeligheter fra skymiljøer. Tilføyelsen av identitetsfokuserte samlere indikerer et strategisk skifte mot å oppnå direkte skytilgang og utnytte privilegerte identiteter innenfor skyinfrastrukturer.

For å komplisere deteksjonsarbeidet ytterligere, genererer hver infeksjon en unik kryptert nyttelast. Denne tilpasningen hindrer signaturbasert deteksjon, sporing av skadelig programvare og versjonskorrelasjon på tvers av hendelser betydelig.

Innledende kompromiss og infiltrasjon av forsyningskjeden

Tilgjengelig bevis tyder på at kampanjen oppsto gjennom kompromittering av en Red Hat-ansatts GitHub-konto. Etterforskerne mener at kontoen fungerte som det første infeksjonspunktet, slik at angripere kunne injisere skadelig kode i berørte pakker.

Den kompromitterte kontoen skal angivelig ha sendt ondsinnede foreldreløse commits til to Red Hat Insights-repositorier, og omgått etablerte kodegjennomgangsprosedyrer og introdusert den ondsinnede nyttelasten i programvarens forsyningskjede.

Veiledning for hendelsesrespons og utbedring

Organisasjoner som installerte berørte pakkeversjoner bør umiddelbart isolere berørte systemer, fjerne skadelige pakker, rotere all potensielt eksponert legitimasjon, undersøke GitHub- og npm-aktivitet for tegn på uautorisert tilgang og gjennomgå miljøer for persistensmekanismer. Spesiell oppmerksomhet bør rettes mot uautoriserte modifikasjoner som involverer:

~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml og .github/setup.js.

Sterke tilgangskontroller bør også håndheves på tvers av utviklings- og skymiljøer.

Fordi skadevaren etablerer bakgrunnskjøringsmuligheter og utholdenhet i utviklerverktøy, bør det ikke anses som tilstrekkelig utbedring å bare avinstallere de berørte npm-pakkene eller slette node_modules-katalogen.

For CI/CD-miljøer bør berørte arbeidsflytkjøringer suspenderes umiddelbart. Organisasjoner bør ugyldiggjøre byggeartefakter som ble opprettet i løpet av eksponeringsperioden og grundig gjennomgå om utgivelser, containerbilder, npm-pakker, distribusjonsartefakter eller andre programvarekomponenter ble generert etter at den skadelige pakken ble introdusert i miljøet.

Trender

Mest sett

Laster inn...