Mayıs ayı sonlarında siber suçlular, mini Shai Hulud klonunu kullanarak bir tedarik zinciri saldırısında npm paketlerinin kötü amaçlı sürümlerini dağıttı. Kendisine Miasma adını veren kötü amaçlı yazılım, Red Hat'in yönetilen bulut hizmetlerini hedef aldı. Artık dolaşımda kötü amaçlı paket sürümü yok. Güvenlik uzmanları hâlâ kimlik bilgilerinin döndürülmesini öneriyor.
Reklamdan sonra devamını okuyun
Miasma, Shai Hulud solucanının bir çeşididir. Socket güvenlik araştırmacılarına göre, ad alanında bulunan 32 npm paketinin 96 kötü amaçlı sürümünü dağıttı @redhat-cloud-services atanmak. Her biri proje sahiplerinin ele geçirilen hesaplarına kadar takip edilebilen toplam üç saldırı dalgası yaşandı.
Red Hat'e göre üç dalga da artık durduruldu. Sağlayıcı, etkilenen paketlerin yalnızca dahili geliştirme amaçlı olduğunu vurguladı. Müşteri ortamları veya üretim sistemleri üzerindeki etkisi henüz belirlenmemiştir.
Etkilenen paketler şunları içerir: @redhat-cloud-services/vulnerabilities-client, @redhat-cloud-services/tsc-transform-imports, @redhat-cloud-services/topological-inventory-client, @redhat-cloud-services/sources-client Ve @redhat-cloud-services/rule-components. OX Security, her hafta 100.000'den fazla indirme işlemi gerçekleştirdiklerini saydı.
README.md'de imza
Miasma, klasik Mini-Shai-Hulud planını takip ediyor: Kötü amaçlı yazılım, hazırlanmış npm paketlerini CI/CD tedarik zincirine yerleştirmek için çalıntı kimlik bilgilerini kullanıyor. Daha sonra Amazon Web Hizmetlerine (AWS) erişim verilerinin yanı sıra SSH anahtarları, kripto cüzdanları, npm ve GitHub belirteçleri de dahil olmak üzere çeşitli hassas bilgileri çıkarırlar. Çalınan veriler, kötü amaçlı yazılımın oluşturduğu yeni bir GitHub deposunda şifrelenir. Miasma tarafından ele geçirilen GitHub hesapları, README.md dosyasındaki “Miasma: The Spreading Blight” metin satırından tanımlanabilir.
Miasma siber saldırısı, Mini Shai-Hulud adı altında gerçekleştirilen ve Nisan ayının sonundan bu yana diğerlerinin yanı sıra SAP ve TanStack'ın npm paketlerini hedef alan diğer tedarik zinciri saldırılarının enfeksiyon modelini takip ediyor. Ve npm Shai-Hulud solucanının kaynak kodunu Mayıs ayının ortasında GitHub'da yayınlayan ve aynı zamanda en büyük tedarik zinciri saldırısı için bir yarışma çağrısında bulunan siber çete TeamPCP ile bağlantısı olabilir. Kısa bir süre sonra ilk klonlar ortaya çıktı ve bunlardan biri yakın zamanda AntV'yi hedef aldı.
Reklamdan sonra devamını okuyun
(mro)
Bir yanıt yazın