Miasma leveranskedjeattack

Med Mezo år Skadlig programvara, Maskar

Översätt till:

En nyligen upptäckt attackkampanj mot mjukvaruleveranskedjan, kallad Miasma, har komprometterat flera @redhat-cloud-services npm-paket. Operationen är utformad för att samla in autentiseringsuppgifter och känslig information från utvecklarmiljöer samtidigt som en självspridande mask som kan sprida sig vidare genom mjukvaruutvecklingsekosystem distribueras.

Kampanjen speglar nära de taktiker som tidigare förknippats med Mini Shai-Hulud , och utnyttjar exekvering under installationstid, stöld av autentiseringsuppgifter, CI/CD-kompromettering, krypterad dataexfiltrering och mekanismer som möjliggör spridning nedströms.

Innehållsförteckning

Tillskrivningen förblir osäker

Hotaktören som ligger bakom Miasma har ännu inte slutgiltigt identifierats. Tillskrivningen kompliceras av det faktum att TeamPCP, även känt som Replicating Marauder, TGR-CRI-1135 och UNC6780, tidigare släppte attackverktygen som är kopplade till Shai-Hulud-masken som öppen källkodsprojekt. Denna utveckling har gjort det möjligt för andra cyberkriminella grupper att replikera liknande tekniker, vilket gör det betydligt svårare att fastställa en definitiv tillskrivning.

Komprometterade npm-paket

Följande npm-paket har identifierats som berörda:

@redhat-cloud-services/vulnerabilities-client

@redhat-cloud-services/tsc-transform-imports

@redhat-cloud-services/topologisk-inventering-klient

@redhat-cloud-services/sources-client

@redhat-cloud-services/regelkomponenter

@redhat-cloud-services/remediations-client

@redhat-cloud-services/rbac-klient

Insamling av autentiseringsuppgifter genom obfuskerad installationslogik

Säkerhetsforskare upptäckte att de skadliga paketen innehåller en obfuskerad förinstallationskrok som är utformad för att köras automatiskt under paketinstallationen. Skadlig programvara riktar sig mot ett brett spektrum av känsliga tillgångar, inklusive GitHub Actions-hemligheter, npm-autentiseringstokens, molnuppgifter, Kubernetes- och HashiCorp Vault-hemligheter, SSH-nycklar, Git-uppgifter och andra konfidentiella filer som lagras på komprometterade system.

Som observerats i tidigare Mini Shai-Hulud-kampanjer använder sig skadlig kod av krypterade exfiltreringsrutiner. Stulen information överförs till api.anthropic.com:443/v1/api, medan GitHub fungerar som en alternativ exfiltreringskanal. Denna strategi med dubbla syften visar en ansträngning att inte bara stjäla inloggningsuppgifter utan också att beväpna dem för ytterligare intrång i programvaruleveranskedjan.

Krypterade datapaket committas via GitHub API, och commit-meddelanden kan innehålla strängen:

'Om du ogiltigförklarar denna token kommer den att kärnvapenförstöra ägarens dator:'

Smygtekniker och förökningsmekanismer

Skadlig programvara inkluderar flera åtgärder som syftar till att maximera persistens, undvika upptäckt och utöka åtkomst. En anmärkningsvärd egenskap är det avsiktliga undvikandet av exekvering på ryskspråkiga system, ett beteende som tidigare observerats i leveranskedjekampanjerna i GlassWorm.

För npm-miljöer interagerar den skadliga koden med OIDC-tokenutbyte och whoami-slutpunkter, paketerar om programvaruarkiv till uppdaterade tarballs och signerar modifierade artefakter med hjälp av Sigstore. Stulna inloggningsuppgifter exfiltreras sedan till angriparkontrollerade offentliga GitHub-arkiv med beskrivningen "Miasma: The Spreading Blight".

Utredare identifierade den tidigast kända commit som innehåller denna beskrivning den 29 maj 2026, vilket tyder på antingen början av aktiv verksamhet eller en inledande testfas runt det datumet.

Inom GitHub-miljöer räknar den skadliga programvaran upp arkiv som är tillgängliga för komprometterade tokens, analyserar arbetsflödesdefinitioner via GraphQL-frågor och injicerar skadliga arbetsflöden med hjälp av createCommitOnBranch-mutationen. Denna metod gör att skadliga ändringar visas som verifierade och kryptografiskt signerade commits.

Avancerade funktioner för persistens och privilegieskalering

Analysen avslöjade flera ytterligare funktioner inbäddade i skadlig programvara:

Försöker eskalera privilegier genom att starta containrar som binder-monterar värdens /etc/sudoers.d-katalog och ger lösenordsfri sudo-åtkomst till CI-körare.

Detektering av säkerhetslösningar för slutpunkter, inklusive CrowdStrike, SentinelOne, Carbon Black och StepSecurity Harden-Runner, innan skadlig aktivitet initieras.

Persistensmekanismer som injicerar en SessionStart-hook i Anthropic Claude Code och skapar skadliga tasks.json-filer konfigurerade med 'runOn': 'folderOpen' för Microsoft Visual Studio Code-projekt, vilket säkerställer körning under framtida utvecklingssessioner.

Ökat fokus på komprometterade molnidentiteter

En viktig utveckling i Miasma-varianten är dess utökade fokus på insamling av molnidentiteter. Nya moduler riktade mot Google Cloud Platform (GCP) och Microsoft Azure-miljöer samlar in information om alla molnidentiteter som är tillgängliga från en infekterad maskin.

Tidigare varianter fokuserade främst på att extrahera hemligheter från molnmiljöer. Tillägget av identitetsfokuserade samlare indikerar ett strategiskt skifte mot att få direkt molnåtkomst och utnyttja privilegierade identiteter inom molninfrastrukturer.

För att ytterligare komplicera upptäcktsarbetet genererar varje infektion en unikt krypterad nyttolast. Denna anpassning hindrar avsevärt signaturbaserad upptäckt, spårning av skadlig kod och versionskorrelation mellan incidenter.

Initial kompromiss och infiltration i leveranskedjan

Tillgängliga bevis tyder på att kampanjen uppstod genom att en Red Hat-anställds GitHub-konto komprometterades. Utredarna tror att kontot fungerade som den initiala infektionspunkten, vilket gjorde det möjligt för angripare att injicera skadlig kod i drabbade paket.

Det komprometterade kontot ska ha placerat skadliga föräldralösa commits i två Red Hat Insights-databaser, vilket kringgick etablerade kodgranskningsprocedurer och introducerade den skadliga nyttolasten i mjukvaruleveranskedjan.

Vägledning för incidenthantering och åtgärd

Organisationer som installerade berörda paketversioner bör omedelbart isolera berörda system, ta bort skadliga paket, rotera alla potentiellt exponerade inloggningsuppgifter, undersöka GitHub- och npm-aktivitet för tecken på obehörig åtkomst och granska miljöer för persistensmekanismer. Särskild uppmärksamhet bör ägnas åt obehöriga modifieringar som involverar:

~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml och .github/setup.js.

Starka åtkomstkontroller bör också tillämpas i utvecklings- och molnmiljöer.

Eftersom skadlig kod etablerar bakgrundskörningskapacitet och persistens i utvecklarverktyg, bör det inte anses vara tillräcklig åtgärd att bara avinstallera de berörda npm-paketen eller ta bort katalogen node_modules.

För CI/CD-miljöer bör berörda arbetsflödeskörningar omedelbart pausas. Organisationer bör ogiltigförklara byggartefakter som skapats under exponeringsperioden och noggrant granska om utgåvor, containeravbildningar, npm-paket, distributionsartefakter eller andra programvarukomponenter genererades efter att det skadliga paketet introducerades i miljön.

EnigmaSofts betalningsprocessor Digital River GmbH ansöker om konkurs påverkar inte SpyHunter-kundernas skydd mot skadlig programvara

Sök

Ändra region

Miasma leveranskedjeattack

Tillskrivningen förblir osäker

Komprometterade npm-paket

Insamling av autentiseringsuppgifter genom obfuskerad installationslogik

Smygtekniker och förökningsmekanismer

Avancerade funktioner för persistens och privilegieskalering

Ökat fokus på komprometterade molnidentiteter

Initial kompromiss och infiltration i leveranskedjan

Vägledning för incidenthantering och åtgärd

skicka kommentar

Trendigt

GREYVIBE Hotaktör

E-postbedrägeri om samarbete på LinkedIn

Labsgrowthhub.com

Mest sedda

Hur du åtgärdar "Skrivardrivrutinen är inte...

Discord visar svart skärm när skärmen delas

Eporner.com