Miasma visszatér: Leo Platform kompromisszuma az npm-ben
Megosztás
Összefoglalót olvas. A teljes tartalom itt érhető el: sonatype.com.
A Shai-Hulud Miasma kampány újabb sorozatnyi rosszindulatú csomagot indított a czirker karbantartói fiók kompromittálása után, amely mind az RStreams, mind a Leo Platform ökoszisztémákat érinti. A Sonatype 23 rosszindulatú csomagverziót von be ebbe a kampányba. Ez az új hullám közvetlenül a Sonatype által nemrégiben jelentett Miasma játékkönyvre épít: túllép a nyilvánvaló telepítési és utótelepítési szkripteken, hogy visszaéljen a binding.gyp fájlokkal, ellopja a hitelesítő adatokat, érvényesítse a hozzáférést, és terjedjen a megbízható csomagkiadási munkafolyamatokon keresztül. Azoknak a szervezeteknek, amelyek érintett verziókat telepítettek, az érintett fejlesztői munkaállomásokat, CI/CD futtatókat, build tárolókat és a termeléshez közeli környezeteket potenciálisan kompromittáltként kell kezelniük. Távolítsák el a rosszindulatú verziókat, vizsgálják meg a telepítési idő alatt végrehajtott folyamatokat, és csak akkor rotálják a hitelesítő adatokat, ha a fenntartás már megszűnt.
Hogyan alakította a Leo Platform npm kompromittálása a bizalmat végrehajtási támadássá? A támadók nem csupán gyanús új csomagokat adnak ki, és várják, hogy valaki elírja őket a problémába. Egyre inkább a már megbízható csomagokat kompromittálják. 2026. június 25-én az ipari kutatók újabb npm ellátási lánc kompromittálásáról kezdtek jelentéseket tenni, amely a Shai-Hulud Miasma rosszindulatú csomagkampányhoz kapcsolódik. A korai jelentések egy kompromittált karbantartói fiókra utaltak, amelyet rosszindulatú verziók közzétételére használtak, amelyek a Leo Platform ökoszisztémához kapcsolódtak. Ezt a mintát már korábban is láttuk: egy megbízható karbantartót vagy közzétételi munkafolyamatot kompromittálni, módosítani a legitim csomagokat, és hagyni, hogy az alsóbb automatizálás elvégezze a többit. Amitől ez a hullám különösen fontos, az az, hogy a végrehajtás hol történik. A rosszindulatú szoftverként a binding.gyp fájlok használatát folytatja, amely fájl a natív Node.js bővítményekhez kapcsolódik. Ahelyett, hogy csupán a package.json nyilvánvaló életciklus szkripteire támaszkodna, a malware a telepítés során a node-gyp segítségével is végrehajtható. A csomag metaadatainak puszta vizsgálata nem fogja észlelni az ilyen típusú támadást. Egy csomag elsőre tisztának tűnhet, megtarthatja a legitim nevét, és mégis rosszindulatú kódot végrehajthat ahelyett, hogy az alkalmazás valaha is importálná. Ez a kampány nagyobb leckéje: egy megbízható csomag csak olyan megbízható, mint a legutóbbi kiadása.
A Leo Platform kompromittálása: Amit a Sonatype lát A köztudatban elterjedt jelentések eltérnek a pontos számú rosszindulatú Leo ökoszisztéma csomagokról. Néhány korai jelentés 23 csomagot sorolt fel, míg más műszaki írások 20 megerősített rosszindulatú csomagot említettek, és három előzetes kiadási vagy kiadás-jelölt Leo csomagot kihagytak. Annak érdekében, hogy a biztonsági csapatok elkerüljék a hamis riasztások üldözését, és hatékonyan tartsák fenn a helyreállítási munkafolyamatokat, a Sonatype mélyreható elemzése a kezdeti metaadat zászlókon túl vizsgált. Előzetes elemzésünk megállapította, hogy három csomag, amelyet néhány korai nyilvános jelentés tartalmazott, nem tűnik rosszindulatú kódot tartalmazónak: leo-connector-common@4.0.11-rc leo-connector-postgres@4.0.19-beta leo-connector-entity-table@3.0.22-rc.
Ezeket a csomagokat azonban még mindig át kell nézni az érintett csapatok által, mivel a környező incidens tevékenységének részei. Azonban a Sonatype jelenlegi elemzése alapján úgy tűnik, hogy nem tartalmazzák a megerősített Leo és RStreams csomagokban megfigyelt rosszindulatú terhelést. A Sonatype további csomagokat azonosított, amelyek nem szerepeltek a nyilvános jelentésekben, de ugyanazt az elhomályosított terhelést tartalmazzák, a binding.gyp végrehajtási módszert használják, és mindet egy valószínűleg kompromittált fiók publikálta: hexo-deployer-wrangler@1.0.4 hexo-shoka-swiper@0.1.10 prism-silq@1.0.1.
A Sonatype biztonsági kutatása folytatja a kampány nyomon követését, és frissíti megállapításait, ha szükséges.
Mit keres a Miasma? A Sonatype jelenlegi elemzése és a korábbi Miasma-jelentések alapján az érintett szervezeteknek át kell nézniük a környezeteket a következő kockázatokra: GitHub tokenek és GitHub Actions titkok npm közzétételi tokenek Felhőhitelesítők CI/CD környezeti változók Csomagregisztrációs hitelesítők SSH kulcsok Shell előzmény és fejlesztő konfigurációs fájlok Tárhely konfiguráció IDE és AI kódoló asszisztens konfigurációs fájlok Build ügynök és futtató titkok.
Ez nemcsak fejlesztői munkaállomások problémája. A függőség telepítése gyakran a CI/CD rendszerekben történik, amelyek hozzáféréssel rendelkeznek titkokhoz, telepítési kulcsokhoz, regisztrációs tokenekhez és felhőhitelesítésekhez.
Hogyan reagáljanak a szervezetek a Shai-Hulud Miasma npm támadásra? Azok a szervezetek, amelyeket érinthet a legújabb Miasma kampány, vizsgálják meg, hogy a megerősített érintett verziók telepítve voltak-e a fejlesztői munkaállomásokon, CI/CD futtatókon, build ügynökökben, belső csomagmásolatokon, függőség gyorsítótárakon, tárolóképeken, zárolási fájlokon vagy a termeléshez közeli rendszerekben. Kezdje az alábbiak áttekintésével: package.json és package-lock.json yarn.lock pnpm-lock.yaml CI/CD függőség telepítési és tároló build naplók Csomagkezelő gyorsítótárak Belső tárolókezelő naplók SBOM-ok és függőségi nyilatkozatok npm proxy vagy tűzfal telemetria.
Ha egy megerősített rosszindulatú csomagverziót telepítettek, ne egyszerűen távolítsa el a csomagot és lépjen tovább. Őrizze meg a naplókat, izolálja az érintett rendszereket, távolítsa el a rosszindulatú verziókat a nyilatkozatokból és gyorsítótárakból, regenerálja a zárolási fájlokat a legitim verziókból, és ellenőrizze a telepítési naplókat node-gyp, binding.gyp, obfuszkált JavaScript végrehajtás, váratlan ideiglenes fájlok és kimenő hálózati tevékenység után. A hitelesítő adatok rotációja elengedhetetlen, de a időzítés fontos. Rotálja a GitHub, npm, felhő, CI/CD, csomagregisztrációs, SSH és más megszorított hitelesítő adatokat csak azután, hogy az érintett környezeteket megvizsgálták és megtisztították. Ha a fenntartás megmarad, az újonnan rotált hitelesítő adatok ismét kitéve lehetnek.
Mit árul el az npm ellátási lánc kockázatáról? Ez az incidens megerősíti azt a mintát, amelyet a Sonatype folytat nyomon az npm támadások során: a támadók nem csupán gyanús új csomagokat adnak ki. Kompromittálják a megbízható csomagokat, megbízható karbantartókat és megbízható munkafolyamatokat. Egy csomagnev lehet legitim, míg egy adott verzió rosszindulatú. Egy karbantartói fiók megbízható lehet, amíg a tokenját el nem lopják. Egy csomagnak lehet évek óta tiszta története, és egyetlen kiadásban veszélyessé válhat. A Leo Platform kompromittálása azt is megmutatja, hogy a kampányok milyen gyorsan fejlődnek a biztonsági közösség válaszai körül. Amint a védők megtanulnak egy jelzőt, a támadók változtatnak. Amint a védők megvizsgálják az utótelepítést, a támadók a binding.gyp-ra helyezik a végrehajtást. Amint a kutatók észleléseket közzétesznek, zajos csalik és szállítókat hivatkozó csomagok jelenhetnek meg. A biztonsági csapatoknak a viselkedést kell keresniük, nem a márkát.
A bizalom az támadási vektor; a fejlesztők a célpontok. A Leo Platform kompromittálása újabb emlékeztető arra, hogy az open source kockázat már nem csak a gyanús új csomagokra vagy a nyilvánvaló elírásokra korlátozódik. Egyre inkább a támadók a már megbízható csomagokat, karbantartókat és közzétételi munkafolyamatokat célozzák meg. Ez megváltoztatja, hogyan kell a szervezeteknek gondolkodniuk a függőségi biztonságról. Egy legitim nevű, tiszta múlttal és jól bevált felhasználói bázissal rendelkező csomag is rosszindulatúvá válhat egyetlen kompromittált kiadás során. A biztonsági csapatoknak áttekintést kell nyújtaniuk arról, hogy az egyes verziók mit csinálnak telepítéskor, nemcsak azt, hogy a csomagot korábban megbízhatónak tekintették-e. A Sonatype biztonsági kutatása továbbra is elemzi a Leo Platform kompromittálását, a kapcsolódó Shai-Hulud Miasma tevékenységet, és azokat a csomagokat, amelyeket esetleg kihagytak vagy tévesen osztályoztak a korai nyilvános jelentésekben. A szervezeteknek a megerősített telepítéseket potenciális kompromittálási eseményeként kell kezelniük, át kell nézniük a függőségi és build telemetriát, és a hitelesítő adatokat csak az érintett környezetek vizsgálata és tisztítása után rotálják.
Külső link: sonatype.com
Kapcsolódó cikkek
cybersecurity
A JadePuffer zsarolóvírus mesterséges intelligencia ügynököt használt az egész támadás automatizálására.
cybersecurity
Az Egyesült Államok kormánya 1 millió dollárt fizetett a Kairosnak adatlopási zsarolási ügyben.
cybersecurity
