Sulmi i Zinxhirit të Furnizimit të Miasma-s
Një fushatë sulmi ndaj zinxhirit të furnizimit të softuerëve e zbuluar rishtazi, e quajtur Miasma, ka kompromentuar disa paketa npm të @redhat-cloud-services. Operacioni është projektuar për të mbledhur kredencialet dhe informacione të ndjeshme nga mjediset e zhvilluesve, ndërsa vendos një krimb vetëpërhapës i aftë të përhapet më tej përmes ekosistemeve të zhvillimit të softuerëve.
Fushata pasqyron nga afër taktikat e lidhura më parë me Mini Shai-Hulud , duke shfrytëzuar ekzekutimin në kohën e instalimit, vjedhjen e kredencialeve, kompromentimin e CI/CD, nxjerrjen e të dhënave të enkriptuara dhe mekanizmat që mundësojnë përhapjen në rrjedhën e poshtme.
Tabela e Përmbajtjes
Atribuimi mbetet i pasigurt
Aktori kërcënues përgjegjës për Miasma-n nuk është identifikuar ende përfundimisht. Atribuimi është i ndërlikuar nga fakti se TeamPCP, i njohur edhe si Replicating Marauder, TGR-CRI-1135 dhe UNC6780, më parë publikoi mjetet e sulmit të lidhura me krimbin Shai-Hulud si projekte me burim të hapur. Ky zhvillim u ka mundësuar grupeve të tjera kiberkriminale të replikojnë teknika të ngjashme, duke e bërë atribuimin përfundimtar shumë më të vështirë.
Paketa npm të kompromentuara
Paketat e mëposhtme npm janë identifikuar si të prekura:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
Mbledhja e kredencialeve përmes logjikës së instalimit të turbullt
Studiuesit e sigurisë zbuluan se paketat keqdashëse përmbajnë një grep të paqartë para-instalim të projektuar për t'u ekzekutuar automatikisht gjatë instalimit të paketës. Malware synon një gamë të gjerë të aseteve të ndjeshme, duke përfshirë sekretet e GitHub Actions, tokenët e vërtetimit npm, kredencialet e cloud, sekretet e Kubernetes dhe HashiCorp Vault, çelësat SSH, kredencialet e Git dhe skedarë të tjerë konfidencialë të ruajtur në sisteme të kompromentuara.
Siç është vërejtur në fushatat e mëparshme Mini Shai-Hulud, malware përfshin rutina të enkriptuara të nxjerrjes jashtë sistemit. Informacioni i vjedhur transmetohet te api.anthropic.com:443/v1/api, ndërsa GitHub shërben si një kanal alternativ i nxjerrjes jashtë sistemit. Kjo strategji me qëllim të dyfishtë tregon një përpjekje jo vetëm për të vjedhur kredencialet, por edhe për t'i përdorur ato si armë për kompromentim të mëtejshëm të zinxhirit të furnizimit të softuerëve.
Paketat e të dhënave të enkriptuara kryhen përmes API-t GitHub, dhe mesazhet e kryerjes mund të përmbajnë vargun:
'Nëse e zhvlerësoni këtë shenjë, do ta shkatërrojë kompjuterin e pronarit:'
Teknikat e fshehta dhe mekanizmat e përhapjes
Malware përfshin disa masa që synojnë të maksimizojnë qëndrueshmërinë, të shmangin zbulimin dhe të zgjerojnë aksesin. Një karakteristikë e dukshme është shmangia e qëllimshme e ekzekutimit në sistemet në gjuhën ruse, një sjellje e vërejtur më parë në fushatat e zinxhirit të furnizimit GlassWorm.
Për mjediset npm, kodi keqdashës bashkëvepron me shkëmbimin e tokenëve OIDC dhe pikat fundore whoami, ripaketon arkivat e softuerit në tarball-e të përditësuara dhe nënshkruan artefakte të modifikuara duke përdorur Sigstore. Kredencialet e vjedhura më pas nxirren në depo publike të GitHub të kontrolluara nga sulmuesit që mbajnë përshkrimin 'Miasma: The Spreading Blight'.
Hetuesit identifikuan angazhimin më të hershëm të njohur që përmbante këtë përshkrim më 29 maj 2026, duke sugjeruar ose fillimin e operacioneve aktive ose një fazë fillestare testimi rreth asaj date.
Brenda mjediseve GitHub, malware numëron depo të arritshme për tokenët e kompromentuar, analizon përkufizimet e rrjedhës së punës përmes pyetjeve GraphQL dhe injekton rrjedha pune keqdashëse duke përdorur mutacionin createCommitOnBranch. Kjo qasje lejon që ndryshimet keqdashëse të shfaqen si commit-e të verifikuara dhe të nënshkruara kriptografikisht.
Karakteristikat e Avancuara të Përhershmërisë dhe Përshkallëzimit të Privilegjit
Analiza zbuloi disa aftësi shtesë të ngulitura brenda malware-it:
Përpiqet të përshkallëzojë privilegjet duke nisur kontejnerë që lidhin-montojnë direktorinë /etc/sudoers.d të hostit dhe u japin akses sudo pa fjalëkalim ekzekutuesve CI.
Zbulimi i zgjidhjeve të sigurisë së pikave fundore, duke përfshirë CrowdStrike, SentinelOne, Carbon Black dhe StepSecurity Harden-Runner, përpara fillimit të aktivitetit dashakeq.
Mekanizma të qëndrueshmërisë që injektojnë një goditje SessionStart në Anthropic Claude Code dhe krijojnë skedarë dashakeqë tasks.json të konfiguruar me 'runOn': 'folderOpen' për projektet e Microsoft Visual Studio Code, duke siguruar ekzekutimin gjatë seancave të ardhshme të zhvillimit.
Fokus i shtuar në kompromentimin e identitetit të reve
Një evolucion i madh në variantin Miasma është fokusi i tij i zgjeruar në mbledhjen e identiteteve të cloud-it. Modulet e reja që synojnë mjediset Google Cloud Platform (GCP) dhe Microsoft Azure mbledhin informacion në lidhje me të gjitha identitetet e cloud-it të arritshme nga një makinë e infektuar.
Variantet e mëparshme përqendroheshin kryesisht në nxjerrjen e sekreteve nga mjediset cloud. Shtimi i mbledhësve të fokusuar në identitet tregon një ndryshim strategjik drejt marrjes së aksesit të drejtpërdrejtë në cloud dhe shfrytëzimit të identiteteve të privilegjuara brenda infrastrukturave cloud.
Duke i komplikuar më tej përpjekjet e zbulimit, çdo infeksion gjeneron një ngarkesë të enkriptuar në mënyrë unike. Ky personalizim pengon ndjeshëm zbulimin e bazuar në nënshkrime, gjurmimin e programeve keqdashëse dhe korrelacionin e versioneve në të gjitha incidentet.
Kompromisi Fillestar dhe Infiltrimi i Zinxhirit të Furnizimit
Provat e disponueshme sugjerojnë se fushata filloi nëpërmjet kompromentimit të llogarisë GitHub të një punonjësi të Red Hat. Hetuesit besojnë se llogaria shërbeu si pika fillestare e infeksionit, duke u mundësuar sulmuesve të injektonin kod të dëmshëm në paketat e prekura.
Llogaria e kompromentuar thuhet se i ka futur të dhënat keqdashëse jetime në dy depo të Red Hat Insights, duke anashkaluar procedurat e përcaktuara të rishikimit të kodit dhe duke e futur ngarkesën keqdashëse në zinxhirin e furnizimit të softuerit.
Udhëzime për Reagimin ndaj Incidenteve dhe Riparimin
Organizatat që instaluan versionet e paketave të prekura duhet të izolojnë menjëherë sistemet e prekura, të heqin paketat keqdashëse, të rrotullojnë të gjitha kredencialet potencialisht të ekspozuara, të hetojnë aktivitetin e GitHub dhe npm për shenja të aksesit të paautorizuar dhe të rishikojnë mjediset për mekanizmat e qëndrueshmërisë. Vëmendje e veçantë duhet t'u kushtohet modifikimeve të paautorizuara që përfshijnë:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml dhe .github/setup.js.
Kontrolle të forta aksesi duhet të zbatohen gjithashtu në të gjitha mjediset e zhvillimit dhe ato në cloud.
Meqenëse programi keqdashës krijon aftësi ekzekutimi në sfond dhe qëndrueshmëri brenda mjeteve të zhvilluesit, thjesht çinstalimi i paketave npm të prekura ose fshirja e direktorisë node_modules nuk duhet të konsiderohet si korrigjim i mjaftueshëm.
Për mjediset CI/CD, ekzekutimet e fluksit të punës të prekura duhet të pezullohen menjëherë. Organizatat duhet të pavlefshëmrojnë artefaktet e ndërtimit të krijuara gjatë periudhës së ekspozimit dhe të shqyrtojnë me kujdes nëse lëshimet, imazhet e kontejnerëve, paketat npm, artefaktet e vendosjes ose komponentë të tjerë të softuerit u gjeneruan pasi paketa keqdashëse u fut në mjedis.
