Kodi fillestar i quajtur Miazma, që doli për pak kohë në GitHub
Kuadri i sulmit Miasma kredencial-stealing, i cili ka synuar kohët e fundit ekosistemet me burim të hapur nëpërmjet sulmeve të furnizimit, ishte i hapur për pak kohë në GitHub.
Miasma duket të jetë një evolucion i krimbit të mëparshëm Shai-Hulud, i cili më parë doli në GitHub dhe ndau shumë nga të njëjtat karakteristika, teknika e madje edhe kodin.
Moalware infekton një makinë zhvilluese, vjedh mjedisin dhe kredencialet e reve, dhe pastaj i përdor ato për të bërë kompromis me depot dhe paketat e ligjshme, duke botuar versione të trojanizuara për të infektuar zhvilluesit e rrymës dhe për të përsëritur ciklin.
Ky mekanizëm autonome, si krimbat, mund të zgjerojë shpejt arritjen e tij, duke e kthyer një shkelje të vetme në një sulm të gjerë zinxhiri furnizimi.
Moalware është lidhur më parë me sulmet e profilit të lartë kundër paketave Red Hat npm dhe, më së fundmi, 73 magazina Microsoft në GitHub.
Kërkuesit në SafeDep raportuan dje se kodi i burimit të Miasmës u zbulua në GitHub nëpërmjet llogarive të shumta të komprometuara të zhvilluesve. Në secilin nga këto llogari, aktorët e kërcënimit dolën nga kodi i burimit në një repo të quajtur “Miasma-Hap-Hap-Release.”
Kjo tregon se aktorët kërcënues me qëllim e publikuan kodin burimor, në vend se të ishte një rrjedhje aksidentale, e ngjashme me atë se si u botua kodi Shai-Hulud më parë.
Analiza e kodit tregoi se instrumenti nuk kërkon infrastrukturë komande dhe kontrolli (C2) për të vepruar, pasi përdor GitHub për këtë qëllim.
Kredencialet në kuadrin e të korrave nga ofruesit e reve, sistemet CI/CD, administratorët e fjalëkalimit, Kubernetet, dyqanet e fshehta dhe i keqtrajton ata për të bërë kompromis me paketat e Ppm, PI dhe RubyGems, si dhe me refarat e GitHub, me hyrjet e punës dhe me rastet e artit të JFrog.
Gjithashtu mund të lëvizë më vonë përmes Menaxhuesit të Sistemit SSH dhe AWS (SSM) dhe konfigurimeve të helmit të mjeteve të kodimit AI, si Claude, Gemini, Kursori, Bashkëpiloti, Kiro dhe Cline.
Një veçori interesante e zbuluar në kodin burim Miasma të zbuluar është një “hapës i vdekur-njeri” që është instaluar kur malware përdor shenjën e vjedhur të viktimës GitHub si një kanal filtrimi.
Komponenti monitoron vlefshmërinë e shenjës çdo minutë dhe, nëse anullohet, ekzekuton një komandë shkatërruese (rrm-f ~/; rm-rf ~/Dokumente) duke fshirë automatikisht skedarët dhe directories në shtëpinë dhe kartelat e dokumenteve të përdoruesit.
Monitori funksionon si një shërbim i sistemit të përdoruesit në Linux ose si një launtAgent nëmacOS dhe mbetet aktiv për deri në 72 orë.
Një tjetër aspekt interesant i zbuluar është një tubacion pesë-faqesh që prodhon ngarkesa unike për secilin ndërtesë.
SafeDep raporton se procesi kombinon një kodim për-file AES-256-GCM të pasurive të mishëruara, obfuscation të rastit, transformimet e burimit, obfuscation JavaScript dhe një ngarkues vetë-hapës që mbyll ngarkesën përfundimtare në tre nivele të kodimit.
Çelësat e zakonshëm dhe një shtresë e re e rastësishme e kodifikimit të jashtëm sigurojnë që çdo mostër e gjeneruar të ndryshojë nga ndërtimet e mëparshme, duke e bërë zbulimin e bazuar në firmën dhe analizën statike më të vështirë.
Rrjedhja e Shai Huludit çoi në lëshimin e varianteve më të përparuara, si Miasma, dhe në rritjen e numrit të sulmeve. Në mënyrë të ngjashme, rrjedhja e kodit burimor të Miasmës pritet të ketë një efekt të ngjashëm ndërsa aktorët kërcënues miratojnë kodin dhe e përshtatin më tej atë.
Kjo mund të ketë pasoja të rëndësishme për sigurinë e ekosistemit të burimeve të hapura, pasi sulmet e furnizimit vazhdojnë të synojnë atë me një ritëm të pashembullt.
Zhvilluesit e programeve janë këshilluar të ndjekin vartësitë e projektit, të futin vonesa shumë-ditore përpara miratimit të përditësimeve të paketës së re të lëshuar dhe të vleftësojnë ndërtime të reja në mjedise të izoluara prove.
Kontrollo çdo shtresë para se sulmuesit të bëjnë
Ekipet e sigurisë arrijnë në 54% të sulmeve të suksesshme dhe paralajmërojnë vetëm 14%. Pjesa tjetër lëviz nëpër mjedisin tuaj të padukshëm.
Letra e bardhë e Picus tregon se si shkelja dhe simulimi i sulmit teston SIM-in dhe rregullat e EDR-së në mënyrë që kërcënimet të ndalen së rrëshqituri duke zbuluar.
Makware e re e Hekurt godet 36 paketa në sulmin e furnizimit npm
GitHub ç’aktivon riposton Microsoft për të shtyrë falsifikimin e fjalëkalimit
Sulmi i ri Shai-Hulud trojanizon 19 paketa të PyPI-së të zhvilluara nga shkenca
Paketat e Red Hat npm komprometuan për të vjedhur kredencialet e zhvilluesve
Vala e re Shai-Hulud malware rrezikon 600 paketa npm