Napad na dobavno verigo v Miasmi
Novo odkrita kampanja napada na dobavno verigo programske opreme, poimenovana Miasma, je ogrozila več npm paketov @redhat-cloud-services. Operacija je zasnovana za zbiranje poverilnic in občutljivih informacij iz razvijalskih okolij, hkrati pa uvaja samorazmnoževalni črv, ki se lahko širi naprej po ekosistemih za razvoj programske opreme.
Kampanja natančno odraža taktike, ki so bile prej povezane z Mini Shai-Hulud , in izkorišča izvajanje med namestitvijo, krajo poverilnic, ogrožanje CI/CD, izkoriščanje šifriranih podatkov in mehanizme, ki omogočajo širjenje naprej.
Kazalo
Pripisovanje ostaja negotova
Grožnji, odgovorni za virus Miasma, še ni bil dokončno identificiran. Pripisovanje je oteženo zaradi dejstva, da je TeamPCP, znan tudi kot Replicating Marauder, TGR-CRI-1135 in UNC6780, orodja za napad, povezana s črvom Shai-Hulud, že izdal kot projekte odprte kode. Ta razvoj je drugim skupinam kibernetskega kriminala omogočil, da posnemujejo podobne tehnike, zaradi česar je dokončno pripisovanje precej težje.
Ogroženi npm paketi
Naslednji paketi npm so bili prepoznani kot prizadeti:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
Pridobivanje poverilnic z zakrito logiko namestitve
Varnostni raziskovalci so odkrili, da zlonamerni paketi vsebujejo zakrit kavelj za prednamestitev, ki je zasnovan tako, da se samodejno izvede med namestitvijo paketa. Zlonamerna programska oprema cilja na širok nabor občutljivih sredstev, vključno s skrivnostmi dejanj GitHub, žetoni za preverjanje pristnosti npm, poverilnicami v oblaku, skrivnostmi trezorjev Kubernetes in HashiCorp, ključi SSH, poverilnicami Git in drugimi zaupnimi datotekami, shranjenimi v ogroženih sistemih.
Kot smo opazili v prejšnjih kampanjah Mini Shai-Hulud, zlonamerna programska oprema vključuje šifrirane rutine za izselitev. Ukradene informacije se prenašajo na api.anthropic.com:443/v1/api, medtem ko GitHub služi kot alternativni kanal za izselitev. Ta strategija z dvojnim namenom kaže na prizadevanje ne le za krajo poverilnic, temveč tudi za njihovo uporabo kot orožje za nadaljnje ogrožanje dobavne verige programske opreme.
Šifrirani podatkovni paketi se potrdijo prek GitHub API-ja, sporočila potrditve pa lahko vsebujejo niz:
»Če razveljavite ta žeton, bo to uničilo računalnik lastnika:«
Prikrite tehnike in mehanizmi širjenja
Zlonamerna programska oprema vključuje več ukrepov, namenjenih maksimiranju obstojnosti, izogibanju odkrivanju in razširitvi dostopa. Ena od pomembnih značilnosti je namerno izogibanje izvajanju v rusko govorečih sistemih, kar je bilo že prej opaženo v kampanjah dobavne verige GlassWorm.
V okoljih npm zlonamerna koda komunicira z izmenjavo žetonov OIDC in končnimi točkami whoami, prepakira programske arhive v posodobljene tarballe in podpiše spremenjene artefakte s Sigstore. Ukradene poverilnice se nato prenesejo v javna repozitorija GitHub, ki jih nadzoruje napadalec in nosijo opis »Miasma: Širjenje bolezni«.
Preiskovalci so najzgodnejšo znano objavo s tem opisom odkrili 29. maja 2026, kar nakazuje bodisi začetek aktivnih operacij bodisi začetno fazo testiranja okoli tega datuma.
V okoljih GitHub zlonamerna programska oprema našteva repozitorije, do katerih imajo dostop ogroženi žetoni, analizira definicije delovnih tokov prek poizvedb GraphQL in vbrizgava zlonamerne delovne tokove z mutacijo createCommitOnBranch. Ta pristop omogoča, da se zlonamerne spremembe prikažejo kot preverjeni in kriptografsko podpisani zapisi (commit).
Napredne funkcije vztrajnosti in stopnjevanja privilegijev
Analiza je razkrila več dodatnih zmogljivosti, vgrajenih v zlonamerno programsko opremo:
Poskusi stopnjevanja privilegijev z zagonom vsebnikov, ki se vežejo na imenik gostitelja /etc/sudoers.d in podelijo dostop sudo brez gesla izvajalcem CI.
Zaznavanje rešitev za varnost končnih točk, vključno s CrowdStrike, SentinelOne, Carbon Black in StepSecurity Harden-Runner, pred začetkom zlonamerne dejavnosti.
Mehanizmi vztrajnosti, ki v kodo Anthropic Claude vbrizgajo kavelj SessionStart in ustvarijo zlonamerne datoteke tasks.json, konfigurirane z 'runOn': 'folderOpen' za projekte Microsoft Visual Studio Code, kar zagotavlja izvajanje med prihodnjimi razvojnimi sejami.
Večji poudarek na ogrožanju identitete v oblaku
Pomemben razvoj različice Miasma je njena razširjena osredotočenost na zbiranje identitet v oblaku. Novi moduli, namenjeni okoljem Google Cloud Platform (GCP) in Microsoft Azure, zbirajo informacije o vseh identitetah v oblaku, do katerih je mogoče dostopati z okuženega računalnika.
Prejšnje različice so se osredotočale predvsem na pridobivanje skrivnosti iz oblačnih okolij. Dodatek zbiralcev, osredotočenih na identiteto, kaže na strateški premik k pridobivanju neposrednega dostopa do oblaka in izkoriščanju privilegiranih identitet znotraj oblačnih infrastruktur.
Še bolj otežuje prizadevanja za odkrivanje dejstvo, da vsaka okužba ustvari edinstveno šifriran koristni tok. Ta prilagoditev znatno ovira odkrivanje na podlagi podpisov, sledenje zlonamerne programske opreme in korelacijo različic med incidenti.
Začetna ogrožitev in infiltracija v dobavno verigo
Razpoložljivi dokazi kažejo, da je kampanja nastala z vdorom v račun GitHub zaposlenega pri Red Hatu. Preiskovalci menijo, da je račun služil kot začetna točka okužbe, ki je napadalcem omogočila vbrizgavanje zlonamerne kode v prizadete pakete.
Ogroženi račun naj bi zlonamerne osirotele kode potisnil v dva repozitorija Red Hat Insights, s čimer je zaobšel ustaljene postopke pregleda kode in v dobavno verigo programske opreme vnesel zlonamerno koristno obremenitev.
Smernice za odzivanje na incidente in sanacijo
Organizacije, ki so namestile prizadete različice paketov, bi morale nemudoma izolirati prizadete sisteme, odstraniti zlonamerne pakete, zamenjati vse potencialno izpostavljene poverilnice, preiskati dejavnosti GitHub in npm za znake nepooblaščenega dostopa ter pregledati okolja glede mehanizmov za ohranjanje delovanja. Posebno pozornost je treba nameniti nepooblaščenim spremembam, ki vključujejo:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml in .github/setup.js.
Stroge kontrole dostopa je treba uvesti tudi v razvojnih in oblačnih okoljih.
Ker zlonamerna programska oprema vzpostavlja zmožnosti izvajanja v ozadju in vztrajnost znotraj orodij za razvijalce, preprosta odstranitev prizadetih paketov npm ali brisanje imenika node_modules ne bi smela veljati za zadostno odpravo.
V okoljih CI/CD je treba izvajanje prizadetih delovnih tokov nemudoma ustaviti. Organizacije bi morale razveljaviti artefakte gradnje, ustvarjene med obdobjem izpostavljenosti, in temeljito pregledati, ali so bile izdaje, slike vsebnikov, paketi npm, artefakti uvajanja ali druge komponente programske opreme ustvarjene po tem, ko je bil zlonamerni paket vnesen v okolje.
