मियास्मा आपूर्ति श्रृंखला आक्रमण

भर्खरै पत्ता लागेको सफ्टवेयर आपूर्ति श्रृंखला आक्रमण अभियान, जसलाई Miasma भनिन्छ, ले धेरै @redhat-cloud-services npm प्याकेजहरू ह्याक गरेको छ। यो अपरेशन सफ्टवेयर विकास इकोसिस्टमहरू मार्फत फैलिन सक्षम स्व-प्रचारक कीरा तैनाथ गर्दा विकासकर्ता वातावरणबाट प्रमाणहरू र संवेदनशील जानकारी सङ्कलन गर्न डिजाइन गरिएको हो।

यो अभियानले पहिले मिनी शाई-हुलुडसँग सम्बन्धित रणनीतिहरूलाई नजिकबाट प्रतिबिम्बित गर्दछ, स्थापना-समय कार्यान्वयनको लाभ उठाउँदै, प्रमाण चोरी, CI/CD सम्झौता, इन्क्रिप्टेड डेटा एक्सफिल्ट्रेसन, र डाउनस्ट्रीम प्रसारलाई सक्षम पार्ने संयन्त्रहरू।

विशेषता अनिश्चित रहन्छ

मियास्माका लागि जिम्मेवार खतरा अभिनेता अझैसम्म निर्णायक रूपमा पहिचान गरिएको छैन। टीमपीसीपी, जसलाई रेप्लिकेटिंग माराउडर, TGR-CRI-1135, र UNC6780 पनि भनिन्छ, ले पहिले नै शाई-हुलुड वर्मसँग सम्बन्धित आक्रमण उपकरणहरू खुला-स्रोत परियोजनाहरूको रूपमा जारी गरेको तथ्यले एट्रिब्युशन जटिल छ। यो विकासले अन्य साइबर अपराध समूहहरूलाई समान प्रविधिहरू दोहोर्याउन सक्षम बनाएको छ, जसले गर्दा निश्चित एट्रिब्युशनलाई धेरै गाह्रो बनाएको छ।

सम्झौता गरिएका npm प्याकेजहरू

निम्न npm प्याकेजहरू प्रभावितको रूपमा पहिचान गरिएको छ:

@redhat-क्लाउड-सेवाहरू/जोखिम-ग्राहक

@redhat-क्लाउड-सेवाहरू/tsc-रूपान्तरण-आयातहरू

@redhat-cloud-services/topological-inventory-client

@redhat-cloud-services/sources-client

@redhat-cloud-services/नियम-कम्पोनेन्टहरू

@redhat-cloud-services/remediations-client

@redhat-क्लाउड-सेवाहरू/rbac-क्लाइन्ट

अस्पष्ट स्थापना तर्क मार्फत प्रमाणपत्र संकलन

सुरक्षा अनुसन्धानकर्ताहरूले पत्ता लगाए कि मालिसियस प्याकेजहरूमा प्याकेज स्थापनाको समयमा स्वचालित रूपमा कार्यान्वयन गर्न डिजाइन गरिएको अस्पष्ट प्रि-इन्स्टल हुक हुन्छ। मालवेयरले GitHub Actions Secrets, npm प्रमाणीकरण टोकनहरू, क्लाउड क्रेडेन्शियलहरू, Kubernetes र HashiCorp Vault Secrets, SSH कुञ्जीहरू, Git क्रेडेन्शियलहरू, र सम्झौता गरिएका प्रणालीहरूमा भण्डारण गरिएका अन्य गोप्य फाइलहरू सहित संवेदनशील सम्पत्तिहरूको विस्तृत दायरालाई लक्षित गर्दछ।

पहिलेका मिनी शाई-हुलुड अभियानहरूमा अवलोकन गरिएझैं, मालवेयरले एन्क्रिप्टेड एक्सफिल्ट्रेसन रुटिनहरू समावेश गर्दछ। चोरी गरिएको जानकारी api.anthropic.com:443/v1/api मा प्रसारित हुन्छ, जबकि GitHub ले वैकल्पिक एक्सफिल्ट्रेसन च्यानलको रूपमा काम गर्दछ। यो दोहोरो-उद्देश्यीय रणनीतिले प्रमाणहरू चोर्ने मात्र होइन तर थप सफ्टवेयर आपूर्ति श्रृंखला सम्झौताको लागि तिनीहरूलाई हतियार बनाउने प्रयास पनि प्रदर्शन गर्दछ।

इन्क्रिप्टेड डेटा प्याकेजहरू GitHub API मार्फत प्रतिबद्ध हुन्छन्, र प्रतिबद्ध सन्देशहरूमा स्ट्रिङ समावेश हुन सक्छ:

'यदि तपाईंले यो टोकनलाई अमान्य गर्नुभयो भने यसले मालिकको कम्प्युटरलाई न्युक्लियर बनाउनेछ:'

गोप्य प्रविधि र प्रसार संयन्त्रहरू

मालवेयरमा दृढतालाई अधिकतम बनाउन, पत्ता लगाउनबाट बच्न र पहुँच विस्तार गर्न धेरै उपायहरू समावेश छन्। एउटा उल्लेखनीय विशेषता भनेको रूसी-भाषा प्रणालीहरूमा कार्यान्वयनको जानाजानी बेवास्ता गर्नु हो, जुन व्यवहार पहिले GlassWorm आपूर्ति श्रृंखला अभियानहरूमा अवलोकन गरिएको थियो।

npm वातावरणको लागि, मालिसियस कोडले OIDC टोकन एक्सचेन्ज र whoami एन्डपोइन्टहरूसँग अन्तर्क्रिया गर्छ, सफ्टवेयर अभिलेखहरूलाई अद्यावधिक टार्बलहरूमा पुन: प्याकेज गर्छ, र Sigstore प्रयोग गरेर परिमार्जित कलाकृतिहरूलाई साइन गर्छ। चोरी गरिएका प्रमाणहरू त्यसपछि 'Miasma: The Spreading Blight' वर्णन बोकेका आक्रमणकारी-नियन्त्रित सार्वजनिक GitHub भण्डारहरूमा एक्सफिल्टर गरिन्छ।

अनुसन्धानकर्ताहरूले मे २९, २०२६ मा यो विवरण भएको सबैभन्दा पुरानो ज्ञात प्रतिबद्धता पहिचान गरे, जसले सक्रिय सञ्चालनको सुरुवात वा त्यो मिति वरिपरि प्रारम्भिक परीक्षण चरणको सुझाव दिन्छ।

GitHub वातावरण भित्र, मालवेयरले सम्झौता गरिएका टोकनहरूमा पहुँचयोग्य भण्डारहरूको गणना गर्दछ, GraphQL क्वेरीहरू मार्फत कार्यप्रवाह परिभाषाहरूको विश्लेषण गर्दछ, र createCommitOnBranch उत्परिवर्तन प्रयोग गरेर दुर्भावनापूर्ण कार्यप्रवाहहरू इन्जेक्ट गर्दछ। यो दृष्टिकोणले दुर्भावनापूर्ण परिवर्तनहरूलाई प्रमाणित र क्रिप्टोग्राफिक रूपमा हस्ताक्षरित कमिटहरूको रूपमा देखा पर्न अनुमति दिन्छ।

उन्नत पर्सिस्टन्स र विशेषाधिकार वृद्धि सुविधाहरू

विश्लेषणले मालवेयर भित्र सम्मिलित धेरै अतिरिक्त क्षमताहरू प्रकट गर्‍यो:

होस्टको /etc/sudoers.d डाइरेक्टरीलाई बाँध्ने र CI रनरहरूलाई पासवर्डरहित sudo पहुँच प्रदान गर्ने कन्टेनरहरू सुरु गरेर विशेषाधिकारहरू बढाउने प्रयास।

दुर्भावनापूर्ण गतिविधि सुरु गर्नु अघि CrowdStrike, SentinelOne, Carbon Black, र StepSecurity Harden-Runner सहितको अन्तिम बिन्दु सुरक्षा समाधानहरूको पहिचान।

एन्थ्रोपिक क्लाउड कोडमा सेसनस्टार्ट हुक इन्जेक्ट गर्ने र माइक्रोसफ्ट भिजुअल स्टुडियो कोड परियोजनाहरूको लागि 'रनअन': 'फोल्डरओपन' सँग कन्फिगर गरिएका दुर्भावनापूर्ण कार्यहरू सिर्जना गर्ने पर्सिस्टन्स मेकानिजमहरू, भविष्यका विकास सत्रहरूमा कार्यान्वयन सुनिश्चित गर्दै।

क्लाउड पहिचान सम्झौतामा बढ्दो ध्यान

मियास्मा भेरियन्टको एउटा प्रमुख विकास भनेको क्लाउड पहिचान सङ्कलनमा यसको विस्तारित ध्यान केन्द्रित गर्नु हो। गुगल क्लाउड प्लेटफर्म (GCP) र माइक्रोसफ्ट एज्युर वातावरणलाई लक्षित गर्ने नयाँ मोड्युलहरूले संक्रमित मेसिनबाट पहुँचयोग्य सबै क्लाउड पहिचानहरूको बारेमा जानकारी सङ्कलन गर्छन्।

अघिल्ला भेरियन्टहरू मुख्यतया क्लाउड वातावरणबाट गोप्य कुराहरू निकाल्नमा केन्द्रित थिए। पहिचान-केन्द्रित सङ्कलकहरूको थपले क्लाउड पूर्वाधार भित्र प्रत्यक्ष क्लाउड पहुँच प्राप्त गर्ने र विशेषाधिकार प्राप्त पहिचानहरूको शोषण गर्ने दिशामा रणनीतिक परिवर्तनलाई संकेत गर्दछ।

पत्ता लगाउने प्रयासहरूलाई अझ जटिल बनाउँदै, प्रत्येक संक्रमणले एक विशिष्ट रूपमा इन्क्रिप्टेड पेलोड उत्पन्न गर्दछ। यो अनुकूलनले हस्ताक्षर-आधारित पत्ता लगाउने, मालवेयर ट्र्याकिङ, र घटनाहरूमा संस्करण सहसम्बन्धलाई उल्लेखनीय रूपमा बाधा पुर्‍याउँछ।

प्रारम्भिक सम्झौता र आपूर्ति श्रृंखला घुसपैठ

उपलब्ध प्रमाणहरूले सुझाव दिन्छ कि यो अभियान Red Hat कर्मचारीको GitHub खाताको सम्झौताबाट सुरु भएको थियो। अनुसन्धानकर्ताहरूले विश्वास गर्छन् कि खाताले प्रारम्भिक संक्रमण बिन्दुको रूपमा काम गर्‍यो, जसले आक्रमणकारीहरूलाई प्रभावित प्याकेजहरूमा दुर्भावनापूर्ण कोड इन्जेक्ट गर्न सक्षम बनायो।

सम्झौता गरिएको खाताले दुर्भावनापूर्ण अर्फान कमिटहरूलाई दुई रेड ह्याट इनसाइट्स रिपोजिटरीमा धकेलिएको बताइएको छ, स्थापित कोड समीक्षा प्रक्रियाहरू बाइपास गर्दै र सफ्टवेयर आपूर्ति श्रृंखलामा दुर्भावनापूर्ण पेलोड परिचय गराएको छ।

घटना प्रतिक्रिया र उपचार मार्गदर्शन

प्रभावित प्याकेज संस्करणहरू स्थापना गर्ने संस्थाहरूले तुरुन्तै प्रभावित प्रणालीहरूलाई अलग गर्नुपर्छ, खराब प्याकेजहरू हटाउनुपर्छ, सबै सम्भावित रूपमा खुला प्रमाणहरू घुमाउनुपर्छ, अनधिकृत पहुँचको संकेतहरूको लागि GitHub र npm गतिविधिको अनुसन्धान गर्नुपर्छ, र दृढता संयन्त्रहरूको लागि वातावरण समीक्षा गर्नुपर्छ। विशेष ध्यान अनधिकृत परिमार्जनहरूमा दिइनुपर्छ जसमा समावेश छन्:

~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, र .github/setup.js।

विकास र क्लाउड वातावरणमा पनि बलियो पहुँच नियन्त्रणहरू लागू गरिनुपर्छ।

मालवेयरले विकासकर्ता उपकरणहरू भित्र पृष्ठभूमि कार्यान्वयन क्षमताहरू र दृढता स्थापित गर्ने भएकोले, प्रभावित npm प्याकेजहरू अनइन्स्टल गर्नु वा node_modules निर्देशिका मेटाउनुलाई पर्याप्त उपचार मान्नु हुँदैन।

CI/CD वातावरणको लागि, प्रभावित कार्यप्रवाह कार्यान्वयन तुरुन्तै निलम्बन गरिनुपर्छ। संस्थाहरूले एक्सपोजर अवधिमा सिर्जना गरिएका निर्माण कलाकृतिहरूलाई अमान्य गर्नुपर्छ र वातावरणमा दुर्भावनापूर्ण प्याकेज परिचय गराएपछि रिलीजहरू, कन्टेनर छविहरू, npm प्याकेजहरू, तैनाती कलाकृतिहरू, वा अन्य सफ्टवेयर कम्पोनेन्टहरू उत्पन्न भएका थिए कि थिएनन् भनेर राम्ररी समीक्षा गर्नुपर्छ।