Mayıs ayı sonlarında siber suçlular, mini Shai Hulud klonunu kullanarak bir tedarik zinciri saldırısında npm paketlerinin kötü amaçlı sürümlerini dağıttı. Kendisine Miasma adını veren kötü amaçlı yazılım, Red Hat'in yönetilen bulut hizmetlerini hedef aldı. Artık dolaşımda herhangi bir kötü amaçlı paket sürümü bulunmuyor. Güvenlik uzmanları yine de kimlik bilgilerinizi döndürmenizi öneriyor.
Duyurudan sonra devamını okuyun
Miasma, Shai Hulud solucanının bir çeşididir. Socket güvenlik araştırmacılarına göre, ad alanında bulunan 32npm paketlerinin 96 kötü amaçlı sürümünü dağıttı @redhat-cloud-services atanmak. Toplamda üç saldırı dalgası yaşandı ve bunların her biri proje sahiplerinin ele geçirilen hesaplarına kadar takip edilebiliyor.
Red Hat'e göre üç dalga da artık durduruldu. Satıcı, etkilenen paketlerin yalnızca şirket içi geliştirme amaçlı olduğunu vurguladı. Müşteri ortamları veya üretim sistemleri üzerindeki etkisi henüz belirlenmemiştir.
Etkilenen paketler şunları içerir: @redhat-cloud-services/vulnerabilities-client, @redhat-cloud-services/tsc-transform-imports, @redhat-cloud-services/topological-inventory-client, @redhat-cloud-services/sources-client VE @redhat-cloud-services/rule-components. OX Security, her hafta 100.000'den fazla indirme gerçekleştirdiklerini saydı.
README.md'de imza
Miasma, klasik Mini-Shai-Hulud modelini takip ediyor: Kötü amaçlı yazılım, hazırlanmış npm paketlerini CI/CD tedarik zincirine enjekte etmek için çalıntı kimlik bilgilerini kullanıyor. Daha sonra Amazon Web Services (AWS) oturum açma verilerinin yanı sıra SSH anahtarları, kripto cüzdanları, npm'ler ve GitHub belirteçleri de dahil olmak üzere çeşitli hassas bilgileri çıkarırlar. Çalınan veriler, kötü amaçlı yazılım tarafından oluşturulan yeni bir GitHub deposunda şifrelenir. Miasma tarafından ele geçirilen GitHub hesapları, README.md dosyasındaki “Miasma: The Spreading Blight” metin satırından tanımlanabilir.
Miasma siber saldırısı, Mini Shai-Hulud adı altında gerçekleştirilen ve diğerlerinin yanı sıra Nisan sonundan bu yana SAP ve TanStack npm paketlerini hedef alan diğer tedarik zinciri saldırılarının enfeksiyon modelini takip ediyor. Mayıs ortasında Shai-Hulud npm solucanının kaynak kodunu GitHub'da yayınlayan ve aynı zamanda en büyük tedarik zinciri saldırısı için bir yarışma düzenleyen siber çete TeamPCP ile bağlantılı olabilir. Kısa bir süre sonra ilk klonlar ortaya çıktı ve bunlardan biri yakın zamanda AntV'yi hedef aldı.
Duyurudan sonra devamını okuyun
(mro)
Bir yanıt yazın