மியாஸ்மா விநியோகச் சங்கிலித் தாக்குதல்
மியாஸ்மா எனப் பெயரிடப்பட்ட, புதிதாகக் கண்டறியப்பட்ட மென்பொருள் விநியோகச் சங்கிலித் தாக்குதல் பிரச்சாரம், @redhat-cloud-services-இன் பல npm தொகுப்புகளைப் பாதித்துள்ளது. இந்தச் செயல்பாடு, மென்பொருள் மேம்பாட்டுச் சூழல் அமைப்புகள் முழுவதும் மேலும் பரவக்கூடிய, தானாகவே பெருகும் ஒரு புழுவை நிலைநிறுத்தும் அதே வேளையில், உருவாக்குநர் சூழல்களிலிருந்து நற்சான்றிதழ்கள் மற்றும் முக்கியமான தகவல்களைச் சேகரிக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது.
இந்த பிரச்சாரமானது, நிறுவல் நேரச் செயலாக்கம், நற்சான்றிதழ் திருட்டு, CI/CD சமரசம், மறைகுறியாக்கப்பட்ட தரவு கசிவு மற்றும் கீழ்நிலை பரவலை செயல்படுத்தும் வழிமுறைகள் ஆகியவற்றைப் பயன்படுத்தி, முன்னர் மினி ஷாய்-ஹுலுட் உடன் தொடர்புடைய தந்திரங்களை நெருக்கமாகப் பிரதிபலிக்கிறது.
பொருளடக்கம்
காரணம் என்னவென்று உறுதியாகத் தெரியவில்லை.
மியாஸ்மா தாக்குதலுக்குக் காரணமான அச்சுறுத்தல் காரணி இன்னும் திட்டவட்டமாக அடையாளம் காணப்படவில்லை. ரெப்ளிகேட்டிங் மராடர், TGR-CRI-1135, மற்றும் UNC6780 என்றும் அறியப்படும் டீம்பிசிபி (TeamPCP), ஷாய்-ஹுலுட் புழுவுடன் தொடர்புடைய தாக்குதல் கருவிகளை முன்னர் திறந்த மூலத் திட்டங்களாக வெளியிட்டிருந்தது என்ற உண்மையால், குற்றத்தை யார் மீது சுமத்துவது என்பது சிக்கலாகியுள்ளது. இந்த முன்னேற்றம், மற்ற இணையக் குற்றக் குழுக்கள் இதேபோன்ற நுட்பங்களைப் பிரதிபலிக்க வழிவகுத்துள்ளது, இதனால் குற்றத்தை யார் மீது சுமத்துவது என்பதைத் திட்டவட்டமாகக் கண்டறிவது கணிசமாகக் கடினமாகியுள்ளது.
சமரசம் செய்யப்பட்ட npm தொகுப்புகள்
பின்வரும் npm தொகுப்புகள் பாதிக்கப்பட்டுள்ளதாக அடையாளம் காணப்பட்டுள்ளன:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
தெளிவற்ற நிறுவல் தர்க்கத்தின் மூலம் நற்சான்றிதழ் சேகரிப்பு
தீங்கிழைக்கும் தொகுப்புகள், தொகுப்பு நிறுவலின் போது தானாகவே செயல்படும் வகையில் வடிவமைக்கப்பட்ட, தெளிவற்ற ஒரு முன்நிறுவல் இணைப்பை (preinstall hook) கொண்டிருப்பதை பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். இந்த தீம்பொருள், பாதிக்கப்பட்ட கணினிகளில் சேமிக்கப்பட்டுள்ள GitHub Actions இரகசியங்கள், npm அங்கீகார டோக்கன்கள், கிளவுட் நற்சான்றுகள், Kubernetes மற்றும் HashiCorp Vault இரகசியங்கள், SSH சாவிகள், Git நற்சான்றுகள் மற்றும் பிற இரகசியக் கோப்புகள் உள்ளிட்ட பலதரப்பட்ட முக்கியமான சொத்துக்களைக் குறிவைக்கிறது.
முந்தைய மினி ஷாய்-ஹுலுட் தாக்குதல்களில் காணப்பட்டதைப் போலவே, இந்த மால்வேர் குறியாக்கம் செய்யப்பட்ட தரவு கசிவு வழிமுறைகளைக் கொண்டுள்ளது. திருடப்பட்ட தகவல்கள் api.anthropic.com:443/v1/api என்ற முகவரிக்கு அனுப்பப்படுகின்றன, அதே நேரத்தில் கிட்ஹப் ஒரு மாற்றுத் தரவு கசிவு வழியாகச் செயல்படுகிறது. இந்த இரட்டை நோக்க உத்தியானது, நற்சான்றிதழ்களைத் திருடுவது மட்டுமல்லாமல், மென்பொருள் விநியோகச் சங்கிலியை மேலும் சீர்குலைக்க அவற்றை ஒரு ஆயுதமாகப் பயன்படுத்தும் முயற்சியையும் வெளிப்படுத்துகிறது.
மறைகுறியாக்கப்பட்ட தரவுத் தொகுப்புகள் GitHub API வழியாகச் சமர்ப்பிக்கப்படுகின்றன, மேலும் சமர்ப்பிப்புச் செய்திகளில் பின்வரும் சரம் இடம்பெறலாம்:
நீங்கள் இந்த டோக்கனைச் செல்லாததாக்கினால், அது உரிமையாளரின் கணினியை அழித்துவிடும்.
மறைமுக நுட்பங்கள் மற்றும் பரவல் வழிமுறைகள்
இந்த மால்வேர், தனது நிலைத்தன்மையை அதிகரிக்கவும், கண்டறிதலில் இருந்து தப்பிக்கவும், அணுகலை விரிவுபடுத்தவும் நோக்கம் கொண்ட பல நடவடிக்கைகளைக் கொண்டுள்ளது. இதன் ஒரு குறிப்பிடத்தக்க அம்சம், ரஷ்ய மொழி அமைப்புகளில் செயல்படுவதை இது வேண்டுமென்றே தவிர்ப்பதாகும்; இந்த நடத்தை இதற்கு முன்னர் கிளாஸ்வோர்ம் விநியோகச் சங்கிலித் தாக்குதல்களில் காணப்பட்டது.
npm சூழல்களில், தீங்கிழைக்கும் குறியீடானது OIDC டோக்கன் பரிமாற்றம் மற்றும் whoami எண்ட்பாயிண்ட்களுடன் ஊடாடி, மென்பொருள் காப்பகங்களைப் புதுப்பிக்கப்பட்ட டார்பால்களாக மீண்டும் தொகுத்து, Sigstore-ஐப் பயன்படுத்தி மாற்றியமைக்கப்பட்ட ஆர்டிஃபேக்டுகளில் கையொப்பமிடுகிறது. பின்னர் திருடப்பட்ட நற்சான்றுகள், 'Miasma: The Spreading Blight' என்ற விளக்கத்துடன், தாக்குபவரால் கட்டுப்படுத்தப்படும் பொதுவான GitHub களஞ்சியங்களுக்குக் கசியவிடப்படுகின்றன.
இந்த விளக்கத்தைக் கொண்ட, அறியப்பட்டதிலேயே மிக முந்தைய கமிட்டை புலனாய்வாளர்கள் மே 29, 2026 அன்று அடையாளம் கண்டனர். இது, அந்தத் தேதியைச் சுற்றி தீவிரமான செயல்பாடுகள் தொடங்கியிருக்கலாம் அல்லது ஒரு ஆரம்பகட்ட சோதனைக் கட்டம் இருந்திருக்கலாம் என்பதைக் குறிக்கிறது.
GitHub சூழல்களில், அந்த மால்வேர், பாதிக்கப்பட்ட டோக்கன்களால் அணுகக்கூடிய ரெப்போசிட்டரிகளைப் பட்டியலிட்டு, GraphQL வினவல்கள் மூலம் பணிப்பாய்வு வரையறைகளைப் பகுப்பாய்வு செய்து, createCommitOnBranch மியூடேஷனைப் பயன்படுத்தி தீங்கிழைக்கும் பணிப்பாய்வுகளைச் செலுத்துகிறது. இந்த அணுகுமுறை, தீங்கிழைக்கும் மாற்றங்கள் சரிபார்க்கப்பட்ட மற்றும் கிரிப்டோகிராஃபிக்கலாக கையொப்பமிடப்பட்ட கமிட்களாகத் தோன்ற அனுமதிக்கிறது.
மேம்பட்ட நிலைத்தன்மை மற்றும் சிறப்புரிமை அதிகரிப்பு அம்சங்கள்
பகுப்பாய்வில், அந்த தீம்பொருளுக்குள் மேலும் பல திறன்கள் பொதிந்திருப்பது தெரியவந்தது:
ஹோஸ்டின் /etc/sudoers.d கோப்பகத்தை பைண்ட்-மவுண்ட் செய்து, CI ரன்னர்களுக்கு கடவுச்சொல் இல்லாத சூடோ அணுகலை வழங்கும் கண்டெய்னர்களைத் தொடங்குவதன் மூலம் சிறப்புரிமைகளை அதிகரிக்க முயற்சிக்கிறது.
தீங்கிழைக்கும் செயலைத் தொடங்குவதற்கு முன்னர், CrowdStrike, SentinelOne, Carbon Black மற்றும் StepSecurity Harden-Runner உள்ளிட்ட எண்ட்பாயிண்ட் பாதுகாப்புத் தீர்வுகளைக் கண்டறிதல்.
ஆந்த்ரோபிக் கிளாட் கோடில் ஒரு செஷன்ஸ்டார்ட் ஹூக்கைச் செலுத்தி, மைக்ரோசாஃப்ட் விஷுவல் ஸ்டுடியோ கோட் திட்டங்களுக்காக 'runOn': 'folderOpen' என உள்ளமைக்கப்பட்ட தீங்கிழைக்கும் tasks.json கோப்புகளை உருவாக்கும் நிலைத்தன்மை வழிமுறைகள், எதிர்கால மேம்பாட்டு அமர்வுகளின் போது செயல்படுத்தப்படுவதை உறுதிசெய்கின்றன.
கிளவுட் அடையாள சமரசத்தின் மீதான அதிகரித்த கவனம்
மியாஸ்மா வகையின் ஒரு முக்கியப் பரிணாம வளர்ச்சி என்பது, கிளவுட் அடையாளச் சேகரிப்பில் அதன் கவனத்தை விரிவுபடுத்தியிருப்பதாகும். கூகுள் கிளவுட் பிளாட்ஃபார்ம் (GCP) மற்றும் மைக்ரோசாஃப்ட் அஸூர் சூழல்களை இலக்காகக் கொண்ட புதிய தொகுதிகள், பாதிக்கப்பட்ட கணினியிலிருந்து அணுகக்கூடிய அனைத்து கிளவுட் அடையாளங்கள் பற்றிய தகவல்களையும் சேகரிக்கின்றன.
முந்தைய பதிப்புகள் முதன்மையாக கிளவுட் சூழல்களிலிருந்து இரகசியங்களைப் பிரித்தெடுப்பதில் கவனம் செலுத்தின. அடையாளத்தை மையமாகக் கொண்ட சேகரிப்பான்களின் சேர்க்கையானது, நேரடி கிளவுட் அணுகலைப் பெறுவதையும், கிளவுட் உள்கட்டமைப்புகளுக்குள் உள்ள சிறப்புரிமை பெற்ற அடையாளங்களைப் பயன்படுத்துவதையும் நோக்கிய ஒரு மூலோபாய மாற்றத்தைக் குறிக்கிறது.
கண்டறிதல் முயற்சிகளை மேலும் சிக்கலாக்கும் வகையில், ஒவ்வொரு தொற்றும் தனித்துவமாக மறைகுறியாக்கம் செய்யப்பட்ட ஒரு பேலோடை உருவாக்குகிறது. இந்தத் தனிப்பயனாக்கம், கையொப்ப அடிப்படையிலான கண்டறிதல், தீம்பொருள் கண்காணிப்பு மற்றும் சம்பவங்களுக்கு இடையேயான பதிப்புத் தொடர்பு ஆகியவற்றை கணிசமாகத் தடுக்கிறது.
ஆரம்ப சமரசம் மற்றும் விநியோகச் சங்கிலி ஊடுருவல்
கிடைத்துள்ள ஆதாரங்களின்படி, ரெட் ஹேட் நிறுவன ஊழியர் ஒருவரின் கிட்ஹப் கணக்கு ஊடுருவப்பட்டதன் மூலம் இந்தத் தாக்குதல் தொடங்கியது. அந்தக் கணக்கே ஆரம்பகட்டத் தொற்றுப் புள்ளியாகச் செயல்பட்டு, பாதிக்கப்பட்ட தொகுப்புகளில் தீங்கிழைக்கும் குறியீட்டைச் செலுத்தத் தாக்குதல் நடத்தியவர்களுக்கு உதவியதாகப் புலனாய்வாளர்கள் நம்புகின்றனர்.
பாதிக்கப்பட்ட அந்தக் கணக்கு, நிறுவப்பட்ட குறியீட்டு மறுஆய்வு நடைமுறைகளைத் தவிர்த்து, இரண்டு ரெட் ஹேட் இன்சைட்ஸ் களஞ்சியங்களில் தீங்கிழைக்கும் அனாதை கமிட்களைச் செலுத்தியதாகவும், அதன் மூலம் அந்தத் தீங்கிழைக்கும் பேலோடை மென்பொருள் விநியோகச் சங்கிலிக்குள் அறிமுகப்படுத்தியதாகவும் கூறப்படுகிறது.
சம்பவ பதிலளிப்பு மற்றும் சரிசெய்தல் வழிகாட்டுதல்
பாதிக்கப்பட்ட தொகுப்புப் பதிப்புகளை நிறுவிய நிறுவனங்கள், பாதிக்கப்பட்ட கணினிகளை உடனடியாகத் தனிமைப்படுத்த வேண்டும், தீங்கிழைக்கும் தொகுப்புகளை அகற்ற வேண்டும், பாதிப்புக்குள்ளாக வாய்ப்புள்ள அனைத்து அணுகல் சான்றுகளையும் சுழற்சி முறையில் மாற்ற வேண்டும், அங்கீகரிக்கப்படாத அணுகலுக்கான அறிகுறிகளுக்காக GitHub மற்றும் npm செயல்பாடுகளை ஆராய வேண்டும், மேலும் நிலைத்தன்மை வழிமுறைகளுக்காகச் சூழல்களை மதிப்பாய்வு செய்ய வேண்டும். பின்வருவனவற்றை உள்ளடக்கிய அங்கீகரிக்கப்படாத மாற்றங்களுக்குக் குறிப்பாகக் கவனம் செலுத்தப்பட வேண்டும்:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, மற்றும் .github/setup.js.
மேம்பாட்டு மற்றும் கிளவுட் சூழல்கள் முழுவதும் வலுவான அணுகல் கட்டுப்பாடுகளும் அமல்படுத்தப்பட வேண்டும்.
தீம்பொருளானது டெவலப்பர் கருவிகளுக்குள் பின்னணிச் செயலாக்கத் திறன்களையும் நிலைத்தன்மையையும் ஏற்படுத்துவதால், பாதிக்கப்பட்ட npm தொகுப்புகளை வெறுமனே நிறுவல் நீக்குவது அல்லது node_modules கோப்பகத்தை அழிப்பது மட்டும் போதுமான தீர்வாகக் கருதப்படக்கூடாது.
CI/CD சூழல்களில், பாதிக்கப்பட்ட பணிப்பாய்வுச் செயல்பாடுகள் உடனடியாக இடைநிறுத்தப்பட வேண்டும். நிறுவனங்கள், பாதிப்புக் காலத்தில் உருவாக்கப்பட்ட பில்ட் ஆர்டிஃபேக்டுகளைச் செல்லாததாக்க வேண்டும். மேலும், தீங்கிழைக்கும் தொகுப்பு சூழலில் அறிமுகப்படுத்தப்பட்ட பிறகு, வெளியீடுகள், கண்டெய்னர் இமேஜ்கள், npm தொகுப்புகள், டிப்ளாய்மென்ட் ஆர்டிஃபேக்டுகள் அல்லது பிற மென்பொருள் கூறுகள் உருவாக்கப்பட்டனவா என்பதையும் முழுமையாக மதிப்பாய்வு செய்ய வேண்டும்.
