Zehirli Madde Tedarik Zinciri Saldırısı
Miasma adı verilen yeni keşfedilen bir yazılım tedarik zinciri saldırı kampanyası, @redhat-cloud-services'in birçok npm paketini tehlikeye attı. Operasyon, geliştirici ortamlarından kimlik bilgilerini ve hassas bilgileri toplamak ve yazılım geliştirme ekosistemlerinde daha da yayılabilen, kendi kendini çoğaltan bir solucan virüsü yaymak üzere tasarlandı.
Bu kampanya, kurulum sırasında gerçekleştirilen saldırılar, kimlik bilgilerinin çalınması, CI/CD güvenliğinin ihlal edilmesi, şifrelenmiş verilerin sızdırılması ve aşağı yönlü yayılmayı sağlayan mekanizmalar gibi daha önce Mini Shai-Hulud ile ilişkilendirilen taktikleri yakından yansıtıyor.
İçindekiler
Suçun kime ait olduğu hâlâ belirsizliğini koruyor.
Miasma'dan sorumlu tehdit aktörü henüz kesin olarak tespit edilemedi. TeamPCP (Replicating Marauder, TGR-CRI-1135 ve UNC6780 olarak da bilinir) adlı grubun, Shai-Hulud solucanıyla ilişkili saldırı araçlarını daha önce açık kaynaklı projeler olarak yayınlamış olması, sorumluluğun belirlenmesini zorlaştırıyor. Bu gelişme, diğer siber suçlu gruplarının benzer teknikleri kopyalamasına olanak tanıyarak kesin sorumluluğun belirlenmesini önemli ölçüde zorlaştırdı.
Güvenliği ihlal edilmiş npm paketleri
Aşağıdaki npm paketlerinin etkilendiği tespit edilmiştir:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
Gizlenmiş Kurulum Mantığı Aracılığıyla Kimlik Bilgisi Toplama
Güvenlik araştırmacıları, kötü amaçlı paketlerin, paket kurulumu sırasında otomatik olarak çalışacak şekilde tasarlanmış gizlenmiş bir ön yükleme kancası içerdiğini keşfetti. Kötü amaçlı yazılım, GitHub Actions sırları, npm kimlik doğrulama belirteçleri, bulut kimlik bilgileri, Kubernetes ve HashiCorp Vault sırları, SSH anahtarları, Git kimlik bilgileri ve ele geçirilen sistemlerde depolanan diğer gizli dosyalar da dahil olmak üzere çok çeşitli hassas varlıkları hedef alıyor.
Daha önceki Mini Shai-Hulud kampanyalarında gözlemlendiği gibi, kötü amaçlı yazılım şifrelenmiş veri sızdırma rutinlerini içeriyor. Çalınan bilgiler api.anthropic.com:443/v1/api adresine iletilirken, GitHub alternatif bir veri sızdırma kanalı olarak hizmet veriyor. Bu çift amaçlı strateji, yalnızca kimlik bilgilerini çalmayı değil, aynı zamanda bunları yazılım tedarik zincirini daha fazla tehlikeye atmak için silah haline getirmeyi de amaçlıyor.
Şifrelenmiş veri paketleri GitHub API'si aracılığıyla kaydedilir ve kayıt mesajları şu dizeyi içerebilir:
'Bu belirteci geçersiz kılarsanız, sahibinin bilgisayarını nükleer bomba ile yok edersiniz:'
Gizlenme Teknikleri ve Yayılma Mekanizmaları
Bu kötü amaçlı yazılım, kalıcılığı en üst düzeye çıkarmayı, tespit edilmekten kaçınmayı ve erişimi genişletmeyi amaçlayan çeşitli önlemler içeriyor. Dikkat çekici özelliklerinden biri, daha önce GlassWorm tedarik zinciri kampanyalarında gözlemlenen bir davranış olan, Rusça sistemlerde çalıştırılmaktan kasıtlı olarak kaçınmasıdır.
NPM ortamlarında, kötü amaçlı kod OIDC token değişimi ve whoami uç noktalarıyla etkileşime girer, yazılım arşivlerini güncellenmiş tarball'lara yeniden paketler ve değiştirilmiş dosyaları Sigstore kullanarak imzalar. Çalınan kimlik bilgileri daha sonra saldırganın kontrolündeki herkese açık GitHub depolarına sızdırılır ve bu depolar 'Miasma: The Spreading Blight' açıklamasını taşır.
Araştırmacılar, bu açıklamayı içeren bilinen en eski commit'i 29 Mayıs 2026'da tespit etti; bu da o tarihler civarında aktif operasyonların başlangıcını veya ilk test aşamasını gösteriyor.
GitHub ortamlarında, kötü amaçlı yazılım, ele geçirilmiş token'lar tarafından erişilebilen depoları listeler, GraphQL sorguları aracılığıyla iş akışı tanımlarını analiz eder ve createCommitOnBranch mutasyonunu kullanarak kötü amaçlı iş akışları enjekte eder. Bu yaklaşım, kötü amaçlı değişikliklerin doğrulanmış ve kriptografik olarak imzalanmış commit'ler gibi görünmesini sağlar.
Gelişmiş Kalıcılık ve Ayrıcalık Yükseltme Özellikleri
Analiz, kötü amaçlı yazılımın içine yerleştirilmiş birkaç ek yeteneği daha ortaya çıkardı:
Ana bilgisayarın /etc/sudoers.d dizinini bağlayarak (bind-mount) ve CI çalıştırıcılarına parola gerektirmeyen sudo erişimi sağlayan konteynerler başlatarak ayrıcalıkları yükseltme girişimleri.
Kötü amaçlı faaliyetlere başlamadan önce CrowdStrike, SentinelOne, Carbon Black ve StepSecurity Harden-Runner gibi uç nokta güvenlik çözümlerinin tespit edilmesi.
Anthropic Claude Code'a SessionStart kancası ekleyen ve Microsoft Visual Studio Code projeleri için 'runOn': 'folderOpen' ile yapılandırılmış kötü amaçlı tasks.json dosyaları oluşturan kalıcılık mekanizmaları, gelecekteki geliştirme oturumlarında da yürütülmesini sağlar.
Bulut Kimlik Güvenliğinin Tehlikeye Atılmasına Yönelik Artan Odaklanma
Miasma varyantındaki önemli bir gelişme, bulut kimlik toplama konusuna daha fazla odaklanmasıdır. Google Cloud Platform (GCP) ve Microsoft Azure ortamlarını hedefleyen yeni modüller, virüs bulaşmış bir makineden erişilebilen tüm bulut kimlikleri hakkında bilgi toplar.
Önceki varyantlar öncelikle bulut ortamlarından gizli bilgileri çıkarmaya odaklanmıştı. Kimlik odaklı toplayıcıların eklenmesi, doğrudan bulut erişimi elde etmeye ve bulut altyapıları içindeki ayrıcalıklı kimliklerden yararlanmaya yönelik stratejik bir kaymayı göstermektedir.
Tespit çabalarını daha da karmaşık hale getiren bir diğer faktör ise, her enfeksiyonun benzersiz bir şekilde şifrelenmiş bir zararlı yazılım yükü oluşturmasıdır. Bu özelleştirme, imza tabanlı tespiti, zararlı yazılım takibini ve olaylar arası sürüm korelasyonunu önemli ölçüde engellemektedir.
İlk Uzlaşma ve Tedarik Zincirine Sızma
Elde edilen kanıtlar, saldırının bir Red Hat çalışanının GitHub hesabının ele geçirilmesiyle başladığını gösteriyor. Araştırmacılar, hesabın ilk bulaşma noktası olarak hizmet ettiğine ve saldırganların etkilenen paketlere kötü amaçlı kod enjekte etmelerini sağladığına inanıyor.
Ele geçirilen hesabın, yerleşik kod inceleme prosedürlerini atlayarak ve kötü amaçlı yazılımı yazılım tedarik zincirine bulaştırarak, iki Red Hat Insights deposuna zararlı yetim kod değişiklikleri gönderdiği bildirildi.
Olay Müdahalesi ve Giderme Kılavuzu
Etkilenen paket sürümlerini kuran kuruluşlar, etkilenen sistemleri derhal izole etmeli, kötü amaçlı paketleri kaldırmalı, potansiyel olarak açığa çıkmış tüm kimlik bilgilerini değiştirmeli, yetkisiz erişim belirtileri için GitHub ve npm etkinliklerini araştırmalı ve ortamları kalıcılık mekanizmaları açısından gözden geçirmelidir. Özellikle aşağıdaki yetkisiz değişikliklere dikkat edilmelidir:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml ve .github/setup.js.
Geliştirme ve bulut ortamlarında da güçlü erişim kontrolleri uygulanmalıdır.
Çünkü bu kötü amaçlı yazılım, geliştirici araçları içinde arka planda çalışma yetenekleri ve kalıcılık sağlıyor; bu nedenle etkilenen npm paketlerini kaldırmak veya node_modules dizinini silmek yeterli bir çözüm olarak kabul edilmemelidir.
CI/CD ortamları için, etkilenen iş akışı yürütmeleri derhal askıya alınmalıdır. Kuruluşlar, maruz kalma süresi boyunca oluşturulan derleme yapıtlarını geçersiz kılmalı ve kötü amaçlı paketin ortama sokulmasından sonra sürümlerin, konteyner görüntülerinin, npm paketlerinin, dağıtım yapıtlarının veya diğer yazılım bileşenlerinin oluşturulup oluşturulmadığını kapsamlı bir şekilde incelemelidir.
