Miasma वर्म

चलिरहेको Miasma स्व-प्रतिकृति आपूर्ति श्रृंखला आक्रमण अभियान प्याकेज रजिस्ट्रीहरू भन्दा बाहिर फैलिएको छ र अब प्रत्यक्ष रूपमा GitHub भण्डारहरूमा असर गरिरहेको छ। OpenSourceMalware बाट प्राप्त निष्कर्ष अनुसार, घटनाले चार Microsoft GitHub संस्थाहरू: Azure, Azure-Samples, Microsoft, र MicrosoftDocs मा रहेका ७३ भण्डारहरूलाई असर गर्यो। फलस्वरूप, GitHub ले आफ्नो सेवा सर्तहरू उल्लङ्घन गरेको कारणले सम्झौता गरिएका भण्डारहरूमा पहुँच प्रतिबन्धित गर्यो।

Azure Functions Host repository सहित प्रभावित परियोजनाहरूमा पहुँच गर्न प्रयास गर्ने प्रयोगकर्ताहरूलाई GitHub कर्मचारीहरूले पहुँच असक्षम पारेको र थप जानकारीको लागि GitHub समर्थनलाई सम्पर्क गर्नुपर्ने सूचनाको साथ स्वागत गरिन्छ।

अभियानबाट प्रभावित भण्डारहरू मध्ये निम्न समावेश छन्:

azure-खोज-ओपनई-डेमो-पुर्भ्यूडेटासुरक्षा,
कनेक्टरहरू-NET-LSP,
कनेक्टरहरू-NET-SDK,
टिकाउ काम,
टिकाउटास्क-डटनेट,
टिकाउ कार्य-गो,
टिकाउटास्क-जेएस,
टिकाउटास्क-mssql
प्रकार्य-कन्टेनर-कार्य,
होमब्रू-कार्यहरू,
एलएलएम-फाइन-ट्युनिङ,
विन्डोज-ड्राइभर-कागजातहरू

टिकाउ कार्य पारिस्थितिक प्रणाली दोस्रो सम्झौताबाट पीडित छ

पछिल्लो गतिविधिको सबैभन्दा महत्त्वपूर्ण पक्षहरू मध्ये एक 'टिकाउबलटास्क' इकोसिस्टमको स्पष्ट पुन: सम्झौता हो। टिकाउटास्क PyPI प्याकेज पहिले मे २०२६ मा TeamPCP द्वारा संक्रमित भएको थियो र लिनक्स प्रणालीहरूलाई लक्षित गर्ने जानकारी चोरी गर्ने मालवेयर वितरण गर्न प्रयोग गरिएको थियो।

एक महिना पछि, प्रभाव धेरै व्यापक देखिन्छ। प्राथमिक Azure/durabletask भण्डार मात्र गायब भएको छैन, तर माइक्रोसफ्टको इकोसिस्टममा सम्बन्धित भण्डारहरू पनि प्रभावित भएका छन्। सम्झौता गरिएका परियोजनाहरूमा .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf, र Durable Functions अनुगमन घटकहरूको लागि कार्यान्वयनहरू समावेश छन्।

सुरक्षा अनुसन्धानकर्ताहरू विश्वास गर्छन् कि मूल सम्झौता र हालको हटाउने बीचको सम्बन्ध आकस्मिक हुने सम्भावना कम छ। पुनरावृत्तिले सुझाव दिन्छ कि पहिलेको घटनाको समयमा सम्झौता गरिएका प्रमाणहरू कहिल्यै पूर्ण रूपमा सुरक्षित नभएको हुन सक्छ, जसले गर्दा आक्रमणकारीहरूले पहुँच पुन: प्राप्त गर्न वा कायम राख्न अनुमति दिन्छ।

मिनी शाई-हुलुद वर्मबाट मियास्मा विकसित हुन्छ

अनुसन्धानकर्ताहरूले मिआस्मालाई मिनी शाई-हुलुड वर्मको एक प्रकारको रूपमा मूल्याङ्कन गर्छन् जुन TeamPCP ले मे २०२६ को मध्यमा सार्वजनिक रूपमा जारी गरेको थियो। त्यसबेलादेखि, मालवेयर निरन्तर विकसित भएको छ, थप प्याकेजहरू र भण्डारहरूलाई संक्रमित गर्दै यसको प्रसार प्रविधिहरूलाई परिष्कृत गर्दै।

अभियानले चोरी भएका गोप्य कुराहरू उजागर गर्ने सार्वजनिक भण्डारहरू सिर्जना गर्दा धेरै भण्डार विवरणहरू प्रयोग गरेको छ, जसमा 'मियास्मा: द स्प्रेडिङ ब्लाइट,' 'मियास्मा: द स्प्रेडिङ ब्लाइट,' 'मियास्मा - द स्प्रेडिङ ब्लाइट,' र 'हेड्स - द एन्ड फर द डम्न्ड' समावेश छन्। हालका अवलोकनहरूले 'हेड्स' विवरण बोकेका १३ भण्डारहरू र मियास्मा-सम्बन्धित नामकरण भिन्नताहरू मध्ये एक प्रयोग गर्ने ८२ भण्डारहरू संकेत गर्दछ।

प्रत्यक्ष भण्डार संक्रमणले नयाँ आक्रमण रणनीतिको संकेत गर्छ

रणनीतिमा उल्लेखनीय परिवर्तनमा, मियास्माले npm रजिस्ट्रीलाई पूर्ण रूपमा बाइपास गरेको देखिएको छ। परम्परागत वितरण च्यानलहरू मार्फत प्याकेजहरूलाई विषाक्त पार्नुको सट्टा, खतरा अभिनेताहरूले चार सम्बन्धित परियोजनाहरू सहित GitHub भण्डार 'icflorescu/mantine-datatable' लाई सिधै परिमार्जन गरे: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6, र mantine-contextmenu-v6।

दुर्भावनापूर्ण कमिटले कुनै अतिरिक्त निर्भरताहरू प्रस्तुत गरेन, जसले गर्दा पत्ता लगाउन गाह्रो भयो। यसको सट्टा, आक्रमणकारीहरूले पाँच व्यापक रूपमा प्रयोग हुने विकासकर्ता उपकरणहरू: क्लाउड कोड, जेमिनी CLI, कर्सर, भिजुअल स्टुडियो कोड, र npm परीक्षण स्क्रिप्ट मार्फत स्वचालित रूपमा कार्यान्वयन गर्न कन्फिगर गरिएको ४.३ एमबी पेलोड रनरलाई एम्बेड गरे। विकासकर्ताहरूले प्रभावित रिपोजिटरी क्लोन गर्दा र यसलाई एआई-सहायता प्राप्त कोडिङ वातावरण भित्र खोल्दा संक्रमण सक्रिय हुन्छ। अनुसन्धानकर्ताहरूले पेलोडलाई पहिले रजिस्ट्री-केन्द्रित आक्रमणहरूमा प्रयोग गरिएको समान चरणबद्ध बन लोडरको रूपमा पहिचान गरे, तर स्रोत रिपोजिटरीहरू भित्र दीर्घकालीन स्थिरताको लागि अनुकूलित गरियो।

कमजोरीहरूको सट्टा विश्वासको दुरुपयोग गर्दै

मियास्मा अभियानले आधुनिक खुला-स्रोत सफ्टवेयर वितरणलाई आधार बनाउने विश्वास मोडेलमा आधारभूत कमजोरीहरूलाई हाइलाइट गर्दछ। सफ्टवेयर कमजोरीहरूको शोषणमा भर पर्ने धेरै आपूर्ति श्रृंखला आक्रमणहरू भन्दा फरक, यो अपरेशन वैध विकास र प्रकाशन संयन्त्रको दुरुपयोग गरेर सफल हुन्छ।

डाउनस्ट्रीम प्रयोगकर्ताहरू मार्फत बारम्बार फैलिने र नयाँ लक्ष्यहरूलाई बारम्बार सम्झौता गर्ने यसको क्षमताले यसलाई आजसम्म अवलोकन गरिएको सबैभन्दा महत्त्वपूर्ण र निरन्तर सफ्टवेयर आपूर्ति श्रृंखला खतराहरू मध्ये एक बनाएको छ। अभियानको प्रभावकारिता यसको इकोसिस्टमभरि तीव्र रूपमा फैलिने क्षमताबाट उत्पन्न हुन्छ, जसले संक्रमित प्रयोगकर्ताहरूलाई सम्झौताको नयाँ भेक्टरहरूमा परिणत गर्दछ।

अन्तर्निहित शाई-हुलुड पद्धतिले npm वा GitHub जस्ता प्लेटफर्महरूमा कमजोरीहरूलाई लक्षित गर्दैन। बरु, यसले प्रमाणित मर्मतकर्ताहरूद्वारा प्रकाशित र वैध प्रमाणहरूसँग हस्ताक्षर गरिएको सफ्टवेयरलाई विश्वास गर्न सकिन्छ भन्ने मूल धारणालाई कमजोर बनाउँछ। मर्मतकर्ता खाताहरू र तिनीहरूसँग सम्बन्धित हस्ताक्षर कुञ्जीहरू दुवैलाई सम्झौता गरेर, आक्रमणकारीहरूले पूर्ण रूपमा वैध देखिने दुर्भावनापूर्ण प्रकाशन गतिविधिहरू गर्न सक्छन्।

प्याकेज रजिस्ट्रीहरू र रिपोजिटरी प्लेटफर्महरूको दृष्टिकोणबाट, यी दुर्भावनापूर्ण रिलीजहरू नियमित सफ्टवेयर अपडेटहरूबाट लगभग अविभाज्य छन्। विश्वसनीय कार्यप्रवाह भित्र पूर्ण रूपमा सञ्चालन गर्ने यो क्षमताले किन धेरै परम्परागत सुरक्षा नियन्त्रणहरूले अभियान पत्ता लगाउन र रोक्न संघर्ष गरेका छन् भनेर बताउँछ।