మియాస్మా సరఫరా గొలుసు దాడి

మియాస్మా అని పిలవబడే, కొత్తగా కనుగొనబడిన ఒక సాఫ్ట్‌వేర్ సప్లై చైన్ దాడి ప్రచారం, అనేక @redhat-cloud-services npm ప్యాకేజీలను దెబ్బతీసింది. ఈ ఆపరేషన్, డెవలపర్ పరిసరాల నుండి ఆధారాలను మరియు సున్నితమైన సమాచారాన్ని సేకరిస్తూ, సాఫ్ట్‌వేర్ అభివృద్ధి పర్యావరణ వ్యవస్థలలో మరింతగా వ్యాపించగల స్వీయ-వ్యాప్తి చెందే వార్మ్‌ను మోహరించడానికి రూపొందించబడింది.

ఈ ప్రచారం, ఇన్‌స్టాలేషన్ సమయంలోనే అమలు చేయడం, క్రెడెన్షియల్స్ దొంగిలించడం, CI/CDని దెబ్బతీయడం, ఎన్‌క్రిప్ట్ చేసిన డేటాను బయటకు తరలించడం, మరియు తదుపరి వ్యాప్తికి వీలు కల్పించే యంత్రాంగాలను ఉపయోగించుకుంటూ, గతంలో మినీ షాయ్-హులుద్‌తో ముడిపడి ఉన్న వ్యూహాలను చాలా దగ్గరగా పోలి ఉంది.

ఆపాదించడంపై అనిశ్చితి కొనసాగుతోంది

మియాస్మాకు బాధ్యత వహించే ముప్పు కారకుడిని ఇంకా నిశ్చయంగా గుర్తించలేదు. రెప్లికేటింగ్ మారాడర్, TGR-CRI-1135, మరియు UNC6780 అని కూడా పిలువబడే టీమ్‌పీసీపీ, గతంలో షాయ్-హులుడ్ వార్మ్‌కు సంబంధించిన దాడి సాధనాలను ఓపెన్-సోర్స్ ప్రాజెక్ట్‌లుగా విడుదల చేయడం వల్ల, ఈ ముప్పు కారకుడిని గుర్తించడం సంక్లిష్టంగా మారింది. ఈ పరిణామం ఇతర సైబర్ నేర సమూహాలకు ఇలాంటి పద్ధతులను అనుకరించడానికి వీలు కల్పించింది, దీనివల్ల ఈ ముప్పు కారకుడిని కచ్చితంగా గుర్తించడం గణనీయంగా కష్టతరమైంది.

రాజీపడిన npm ప్యాకేజీలు

కింది npm ప్యాకేజీలు ప్రభావితమైనవిగా గుర్తించబడ్డాయి:

@redhat-cloud-services/vulnerabilities-client

@redhat-cloud-services/tsc-transform-imports

@redhat-cloud-services/topological-inventory-client

@redhat-cloud-services/sources-client

@redhat-cloud-services/rule-components

@redhat-cloud-services/remediations-client

@redhat-cloud-services/rbac-client

అస్పష్టమైన ఇన్‌స్టాలేషన్ లాజిక్ ద్వారా క్రెడెన్షియల్ హార్వెస్టింగ్

ప్యాకేజీ ఇన్‌స్టాలేషన్ సమయంలో స్వయంచాలకంగా అమలు అయ్యేలా రూపొందించబడిన, అస్పష్టమైన ప్రీఇన్‌స్టాల్ హుక్‌ను ఈ హానికరమైన ప్యాకేజీలు కలిగి ఉన్నాయని భద్రతా పరిశోధకులు కనుగొన్నారు. ఈ మాల్వేర్, హ్యాక్ చేయబడిన సిస్టమ్‌లలో నిల్వ చేయబడిన గిట్‌హబ్ యాక్షన్స్ సీక్రెట్స్, ఎన్‌పిఎం అథెంటికేషన్ టోకెన్‌లు, క్లౌడ్ క్రెడెన్షియల్స్, క్యూబర్నెటెస్ మరియు హాషికార్ప్ వాల్ట్ సీక్రెట్స్, ఎస్‌ఎస్‌హెచ్ కీలు, గిట్ క్రెడెన్షియల్స్ మరియు ఇతర గోప్యమైన ఫైళ్లతో సహా అనేక రకాల సున్నితమైన ఆస్తులను లక్ష్యంగా చేసుకుంటుంది.

గతంలో జరిగిన మినీ షాయ్-హులుడ్ దాడులలో గమనించినట్లుగా, ఈ మాల్వేర్ ఎన్‌క్రిప్టెడ్ ఎక్స్‌ఫిల్ట్రేషన్ పద్ధతులను కలిగి ఉంది. దొంగిలించిన సమాచారం api.anthropic.com:443/v1/api కి పంపబడుతుంది, అదే సమయంలో గిట్‌హబ్ ఒక ప్రత్యామ్నాయ ఎక్స్‌ఫిల్ట్రేషన్ మార్గంగా పనిచేస్తుంది. ఈ ద్వంద్వ ప్రయోజన వ్యూహం, క్రెడెన్షియల్స్‌ను దొంగిలించడమే కాకుండా, సాఫ్ట్‌వేర్ సప్లై చైన్‌ను మరింతగా దెబ్బతీయడానికి వాటిని ఆయుధాలుగా మార్చే ప్రయత్నాన్ని కూడా ప్రదర్శిస్తుంది.

ఎన్‌క్రిప్ట్ చేయబడిన డేటా ప్యాకేజీలు గిట్‌హబ్ API ద్వారా కమిట్ చేయబడతాయి మరియు కమిట్ సందేశాలు ఈ స్ట్రింగ్‌ను కలిగి ఉండవచ్చు:

'మీరు ఈ టోకెన్‌ను చెల్లుబాటు కానిదిగా చేస్తే, అది దాని యజమాని యొక్క కంప్యూటర్‌ను నాశనం చేస్తుంది:'

రహస్య పద్ధతులు మరియు వ్యాప్తి యంత్రాంగాలు

ఈ మాల్వేర్‌లో, దాని ఉనికిని గరిష్ఠం చేయడానికి, గుర్తింపును తప్పించుకోవడానికి, మరియు ప్రాప్యతను విస్తరించుకోవడానికి ఉద్దేశించిన అనేక చర్యలు ఉన్నాయి. దీనిలోని ఒక ముఖ్యమైన లక్షణం ఏమిటంటే, రష్యన్ భాషా సిస్టమ్‌లలో అమలు కాకుండా ఉద్దేశపూర్వకంగా తప్పించుకోవడం. గతంలో గ్లాస్‌వార్మ్ సప్లై చైన్ క్యాంపెయిన్‌లలో కూడా ఇలాంటి ప్రవర్తన గమనించబడింది.

npm ఎన్విరాన్‌మెంట్‌ల కోసం, హానికరమైన కోడ్ OIDC టోకెన్ ఎక్స్ఛేంజ్ మరియు whoami ఎండ్‌పాయింట్‌లతో సంకర్షణ చెందుతుంది, సాఫ్ట్‌వేర్ ఆర్కైవ్‌లను అప్‌డేట్ చేయబడిన టార్‌బాల్స్‌గా రీప్యాకేజ్ చేస్తుంది, మరియు Sigstore ఉపయోగించి మార్పు చేయబడిన ఆర్టిఫ్యాక్ట్‌లపై సంతకం చేస్తుంది. ఆ తర్వాత దొంగిలించబడిన క్రెడెన్షియల్స్, 'Miasma: The Spreading Blight' అనే వివరణతో దాడి చేసేవారి నియంత్రణలో ఉన్న పబ్లిక్ GitHub రిపోజిటరీలకు బయటకు పంపబడతాయి.

పరిశోధకులు ఈ వివరణను కలిగి ఉన్న మొట్టమొదటి కమిట్‌ను మే 29, 2026న గుర్తించారు, ఇది ఆ తేదీ నాటికి క్రియాశీల కార్యకలాపాలు ప్రారంభం కావడాన్ని లేదా ప్రాథమిక పరీక్షా దశను సూచిస్తుంది.

గిట్‌హబ్ పరిసరాలలో, ఈ మాల్వేర్ రాజీపడిన టోకెన్‌లకు అందుబాటులో ఉన్న రిపోజిటరీలను జాబితా చేస్తుంది, గ్రాఫ్‌క్యూఎల్ (GraphQL) ప్రశ్నల ద్వారా వర్క్‌ఫ్లో నిర్వచనాలను విశ్లేషిస్తుంది, మరియు createCommitOnBranch మ్యూటేషన్‌ను ఉపయోగించి హానికరమైన వర్క్‌ఫ్లోలను చొప్పిస్తుంది. ఈ విధానం హానికరమైన మార్పులను ధృవీకరించబడిన మరియు క్రిప్టోగ్రాఫికల్‌గా సంతకం చేయబడిన కమిట్‌లుగా కనిపించేలా చేస్తుంది.

అధునాతన పట్టుదల మరియు అధికారాల పెంపు ఫీచర్లు

విశ్లేషణలో మాల్వేర్‌లో పొందుపరిచిన అనేక అదనపు సామర్థ్యాలు వెల్లడయ్యాయి:

హోస్ట్ యొక్క /etc/sudoers.d డైరెక్టరీని బైండ్-మౌంట్ చేసే కంటైనర్‌లను ప్రారంభించడం ద్వారా మరియు CI రన్నర్‌లకు పాస్‌వర్డ్ రహిత సుడో యాక్సెస్‌ను మంజూరు చేయడం ద్వారా అధికారాలను పెంచుకోవడానికి ప్రయత్నాలు.

హానికరమైన చర్యను ప్రారంభించడానికి ముందే CrowdStrike, SentinelOne, Carbon Black, మరియు StepSecurity Harden-Runner వంటి ఎండ్‌పాయింట్ భద్రతా పరిష్కారాలను గుర్తించడం.

ఆంత్రోపిక్ క్లాడ్ కోడ్‌లోకి ఒక SessionStart హుక్‌ను చొప్పించి, మైక్రోసాఫ్ట్ విజువల్ స్టూడియో కోడ్ ప్రాజెక్ట్‌ల కోసం 'runOn': 'folderOpen'తో కాన్ఫిగర్ చేయబడిన హానికరమైన tasks.json ఫైల్‌లను సృష్టించే నిలకడ యంత్రాంగాలు, భవిష్యత్ డెవలప్‌మెంట్ సెషన్‌లలో అమలును నిర్ధారిస్తాయి.

క్లౌడ్ ఐడెంటిటీ కాంప్రమైజ్‌పై పెరిగిన దృష్టి

మియాస్మా వేరియంట్‌లో ఒక ప్రధాన పరిణామం ఏమిటంటే, క్లౌడ్ గుర్తింపుల సేకరణపై దాని దృష్టిని విస్తరించడం. గూగుల్ క్లౌడ్ ప్లాట్‌ఫామ్ (GCP) మరియు మైక్రోసాఫ్ట్ అజూర్ పరిసరాలను లక్ష్యంగా చేసుకున్న కొత్త మాడ్యూల్స్, ఇన్ఫెక్ట్ అయిన మెషిన్ నుండి యాక్సెస్ చేయగల అన్ని క్లౌడ్ గుర్తింపుల గురించిన సమాచారాన్ని సేకరిస్తాయి.

మునుపటి వేరియంట్లు ప్రధానంగా క్లౌడ్ పరిసరాల నుండి రహస్యాలను సంగ్రహించడంపై దృష్టి సారించాయి. గుర్తింపు-కేంద్రీకృత కలెక్టర్ల చేరిక, ప్రత్యక్ష క్లౌడ్ యాక్సెస్ పొందడం మరియు క్లౌడ్ మౌలిక సదుపాయాలలో ప్రత్యేక అధికారాలు గల గుర్తింపులను ఉపయోగించుకోవడం వైపు వ్యూహాత్మక మార్పును సూచిస్తుంది.

గుర్తింపు ప్రయత్నాలను మరింత క్లిష్టతరం చేస్తూ, ప్రతి ఇన్ఫెక్షన్ ఒక ప్రత్యేకమైన ఎన్‌క్రిప్టెడ్ పేలోడ్‌ను ఉత్పత్తి చేస్తుంది. ఈ అనుకూలీకరణ సిగ్నేచర్ ఆధారిత గుర్తింపు, మాల్వేర్ ట్రాకింగ్ మరియు సంఘటనల అంతటా వెర్షన్ సహసంబంధాన్ని గణనీయంగా అడ్డుకుంటుంది.

ప్రారంభ రాజీ మరియు సరఫరా గొలుసు చొరబాటు

అందుబాటులో ఉన్న సాక్ష్యాధారాల ప్రకారం, ఒక రెడ్ హ్యాట్ ఉద్యోగి యొక్క గిట్‌హబ్ ఖాతా హ్యాకింగ్ ద్వారా ఈ దాడి ప్రారంభమైంది. ఈ ఖాతానే తొలి ఇన్ఫెక్షన్ కేంద్రంగా పనిచేసిందని, దీని ద్వారా దాడి చేసేవారు ప్రభావిత ప్యాకేజీలలోకి హానికరమైన కోడ్‌ను చొప్పించగలిగారని దర్యాప్తు అధికారులు భావిస్తున్నారు.

నివేదికల ప్రకారం, హ్యాక్ చేయబడిన ఖాతా, నిర్దేశిత కోడ్ సమీక్షా విధానాలను దాటవేసి, రెండు రెడ్ హాట్ ఇన్‌సైట్స్ రిపోజిటరీలలోకి హానికరమైన ఆర్ఫన్ కమిట్‌లను పంపి, సాఫ్ట్‌వేర్ సరఫరా గొలుసులోకి హానికరమైన పేలోడ్‌ను ప్రవేశపెట్టింది.

సంఘటన ప్రతిస్పందన మరియు నివారణ మార్గదర్శకత్వం

ప్రభావిత ప్యాకేజీ వెర్షన్‌లను ఇన్‌స్టాల్ చేసిన సంస్థలు వెంటనే ప్రభావిత సిస్టమ్‌లను వేరుచేయాలి, హానికరమైన ప్యాకేజీలను తొలగించాలి, బహిర్గతమయ్యే అవకాశం ఉన్న అన్ని క్రెడెన్షియల్‌లను మార్చాలి, అనధికారిక యాక్సెస్ సంకేతాల కోసం GitHub మరియు npm కార్యకలాపాలను పరిశోధించాలి, మరియు నిలకడ యంత్రాంగాల కోసం పరిసరాలను సమీక్షించాలి. కింది వాటికి సంబంధించిన అనధికారిక మార్పులపై ప్రత్యేక శ్రద్ధ వహించాలి:

~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, మరియు .github/setup.js.

డెవలప్‌మెంట్ మరియు క్లౌడ్ పరిసరాలలో కూడా పటిష్టమైన యాక్సెస్ నియంత్రణలను అమలు చేయాలి.

ఈ మాల్వేర్ డెవలపర్ టూల్స్‌లో బ్యాక్‌గ్రౌండ్ ఎగ్జిక్యూషన్ సామర్థ్యాలను మరియు నిలకడను ఏర్పరుచుకుంటుంది కాబట్టి, కేవలం ప్రభావితమైన npm ప్యాకేజీలను అన్‌ఇన్‌స్టాల్ చేయడం లేదా node_modules డైరెక్టరీని తొలగించడం మాత్రమే సరిపోయే పరిష్కారంగా పరిగణించరాదు.

CI/CD పరిసరాలలో, ప్రభావితమైన వర్క్‌ఫ్లో అమలులను వెంటనే నిలిపివేయాలి. సంస్థలు, ఆ ప్రభావ కాలంలో సృష్టించబడిన బిల్డ్ ఆర్టిఫ్యాక్ట్‌లను చెల్లుబాటు కానివిగా ప్రకటించాలి మరియు హానికరమైన ప్యాకేజీని పరిసరాలలోకి ప్రవేశపెట్టిన తర్వాత విడుదలలు, కంటైనర్ ఇమేజ్‌లు, npm ప్యాకేజీలు, డిప్లాయ్‌మెంట్ ఆర్టిఫ్యాక్ట్‌లు లేదా ఇతర సాఫ్ట్‌వేర్ భాగాలు రూపొందించబడ్డాయో లేదో క్షుణ్ణంగా సమీక్షించాలి.