كشفت تقارير أمنية حديثة عن حملة جديدة تحمل الاسم الرمزي Miasma، وهي امتداد لهجمات Mini Shai-Hulud التي تستهدف سلاسل توريد البرمجيات. الحملة نجحت في اختراق حزم @redhat-cloud-services على منصة npm، بهدف سرقة بيانات الاعتماد والأسرار من أجهزة المطورين ونشر دودة خبيثة ذاتية الانتشار.
وفقًا لشركة Socket، فإن الهجوم يستخدم نفس التكتيكات الجوهرية: تنفيذ التعليمات الخبيثة أثناء التثبيت، جمع بيانات الاعتماد، استهداف أنظمة CI/CD، التشفير أثناء الإرسال، وإمكانية الانتشار عبر سلاسل توريد أخرى.
الحزم المصابة وآلية الاختراق
من أبرز الحزم المصابة:
- @redhat-cloud-services/vulnerabilities-client
- @redhat-cloud-services/tsc-transform-imports
- @redhat-cloud-services/topological-inventory-client
- @redhat-cloud-services/sources-client
- @redhat-cloud-services/rule-components
- @redhat-cloud-services/remediations-client
- @redhat-cloud-services/rbac-client
التحليلات من شركات مثل Aikido Security وJFrog وMicrosoft وOX Security وSafeDep وStepSecurity وWiz أظهرت أن هذه الحزم تحتوي على preinstall hook مشفر مصمم لجمع أسرار GitHub Actions، رموز npm، بيانات اعتماد السحابة، مفاتيح Kubernetes وVault، مفاتيح SSH، وأسرار Git.
تقنيات التسلل والإخفاء
- التشفير والإرسال: البيانات المسروقة تُرسل إلى نطاق api.anthropic[.]com:443/v1/api مع استخدام GitHub كآلية بديلة.
- رسائل الالتزام الخبيثة: قد تتضمن رسائل مثل: IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner.
- تجنب الأنظمة الروسية: مثلما لوحظ في حملات GlassWorm، يتجنب التنفيذ على الأنظمة ذات اللغة الروسية.
- استغلال CI/CD: يقوم بإنشاء tarball جديد وتوقيعه عبر Sigstore، ثم يرفع النتائج إلى مستودعات عامة على GitHub تحمل وصفًا: Miasma: The Spreading Blight.
- تصعيد الامتيازات: عبر تشغيل حاوية تربط مجلد sudoers وتمنح صلاحيات sudo بدون كلمة مرور.
- التحقق من الحماية: يفحص وجود أدوات مثل CrowdStrike وSentinelOne وCarbon Black قبل التنفيذ.
- الاستمرارية: يضيف إعدادات في ملفات مثل ~/.claude/settings.json و.vscode/tasks.json لضمان التشغيل التلقائي مع كل جلسة.
التركيز على هويات السحابة
أحد التغييرات البارزة في هذا الإصدار هو إضافة مجمعات بيانات جديدة تستهدف هويات GCP وAzure، ما يعكس تركيزًا متزايدًا على الوصول المباشر إلى بيئات السحابة، وليس مجرد سرقة الأسرار. كما أن كل إصابة تُنتج حمولة مشفرة بشكل فريد، مما يصعّب عملية الكشف والتتبع.
نقطة البداية والتوصيات الأمنية
تشير الأدلة إلى أن الحساب الأولي المصاب كان حساب موظف في Red Hat على GitHub، حيث تم حقن التعليمات الخبيثة عبر orphan commits في مستودعات RedHatInsights، متجاوزًا مراجعة الكود.
التوصيات الأمنية تشمل:
- عزل الأجهزة التي ثبتت الحزم المصابة.
- إزالة الإصدارات الخبيثة وتدوير بيانات الاعتماد المكشوفة.
- مراجعة أي نشاط مشبوه على GitHub أو npm.
- التدقيق في البيئة بحثًا عن آثار الاستمرارية في ملفات الإعدادات.
- تعليق تشغيل أنظمة CI/CD المتأثرة وإبطال أي مخرجات أو حزم تم إنشاؤها خلال فترة التعرض.
