“Miasma” 供应链攻击:借窃取凭证的蠕虫入侵红帽 npm 软件包
- 浏览次数 110
- 喜欢 0
一场新的 “Mini Shai - Hulud” 供应链攻击行动,代号为 “Miasma”,入侵了 @redhat - cloud - services 软件包,旨在从开发者机器上窃取凭证和机密信息,并传播一种自我复制的蠕虫病毒。
Socket 公司表示:“这实际上是一场‘Mini Shai - Hulud’攻击行动,它采用了相同的核心策略,包括在安装时执行恶意代码、收集凭证、瞄准 CI/CD(持续集成 / 持续交付)流程、加密渗出数据以及潜在的下游传播。”
鉴于臭名昭著的网络犯罪组织 TeamPCP 已将与 “Shai - Hulud” 蠕虫相关的攻击工具开源,使得其他威胁行为者也能实施类似攻击,从而加大了溯源难度,目前尚不清楚此次攻击活动的幕后黑手究竟是谁。
根据 Aikido Security、JFrog、微软、OX Security、SafeDep、StepSecurity 和 Wiz 等机构的分析,这些 npm 软件包包含一个经过混淆处理的预安装钩子,其设计目的是收集 GitHub Actions 机密信息、npm 令牌、云凭证、Kubernetes 和 Vault 相关资料、SSH 密钥、Git 凭证以及其他敏感文件。
与之前观察到的 “Mini Shai - Hulud” 攻击类似,该恶意软件还包含加密渗出逻辑,将 GitHub 作为备用机制。这表明攻击者试图窃取凭证,并利用这些凭证进一步污染软件供应链。
该恶意软件的另一个值得注意的行为是避免在俄语系统上执行,这一模式在 “玻璃蠕虫”(GlassWorm)供应链攻击行动中也曾出现。
SafeDep 公司表示:“对于 npm,该恶意负载会调用 OIDC 令牌交换和 whoami 端点,重新打包压缩文件,并通过 Sigstore 对制品进行签名。窃取的凭证会渗出到攻击者创建的公共 GitHub 存储库中,每个存储库的描述均为‘Miasma: The Spreading Blight’。”
OX Security 指出,首个包含 “Miasma: The Spreading Blight” 字符串的提交出现在 2026 年 5 月 29 日,这表明要么该变种从那时起就已活跃,要么威胁行为者在那时左右开始进行测试。
至于在 GitHub 上,该恶意软件会枚举令牌可写入的存储库,通过 GraphQL 读取 action.yml/action.yaml 文件,并通过 createCommitOnBranch 变异提交一个工作流程,使得该提交看起来像是经过验证和签名的更改。
Wiz 的研究人员表示:“这个新变种的主要变化之一是增加了专注于云身份的数据收集器。具体来说,添加了用于收集受感染机器可访问的所有 GCP 和 Azure 身份的收集器。虽然该恶意软件的早期版本主要侧重于从这些环境中提取机密信息,但这个变种表明攻击者更加注重获取并利用对云环境本身的访问权限。”
与早期版本不同的是,该恶意软件为每次感染生成唯一加密的有效负载,这大大增加了检测和版本追踪的难度。
有证据表明,一名红帽员工的 GitHub 账户被入侵是此次事件的源头,攻击者利用该账户将恶意孤立提交注入这些软件包,绕过了代码审查。
建议隔离已安装受影响版本的主机,删除恶意版本,轮换暴露的凭证,检查是否存在可疑的 GitHub 或 npm 活动迹象,审计环境中涉及配置文件更改的持久化痕迹,并实施严格的访问控制。
Socket 公司解释称:“由于该恶意软件包含后台执行和潜在的开发者工具持久化机制,因此仅卸载 npm 软件包或删除 node_modules 文件夹不足以清除恶意程序。”
“对于 CI/CD 系统,应暂停受影响的工作流程运行,使在暴露窗口期间生成的构建制品无效,并检查在恶意软件包安装后是否创建了任何发布版本、容器镜像、npm 软件包或部署制品。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文