Сесурити, ага, опять
Jun. 3rd, 2026 01:38 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
mdmxДобрый день 😂
https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/
Microsoft Threat Intelligence обнаружила масштабную атаку на цепочку поставок в npm: 32 вредоносных пакета (более 90 версий) в скоупеredhat_cloud_services. Компрометация началась с CI/CD-пайплайна RedHatInsights/javascript-clients, что позволило публиковать троянизированные пакеты через легитимный механизм GitHub Actions OIDC — с подлинными подписями provenance и маркером кампании «Miasma: The Spreading Blight». При установке срабатывал npm preinstall-хук, запускавший обфусцированный дроппер index.js размером 4.29 МБ: через несколько слоёв обфускации (ROT-XX → AES-128-GCM → obfuscator.io → кастомный PBKDF2-шифр) он скачивал рантайм Bun и исполнял основную нагрузку цепочкой node → sh → bun, чтобы уходить от детектов, ориентированных на Node.
Зловред крадёт учётные данные из GitHub, npm, AWS, Azure, GCP, HashiCorp Vault, Kubernetes и CircleCI, выскребая секреты прямо из памяти процесса Runner.Worker в CI/CD, повышает привилегии через passwordless sudo и распространяется как червь, переопубликовывая чужие пакеты с поддельным SLSA/Sigstore provenance. Эксфильтрация идёт по трём каналам (включая создание публичных репозиториев в аккаунте жертвы и неактивный путь на api.anthropic.com), а при срабатывании honeytoken-ловушки запускается деструктивная команда rm -rf ~/. Рекомендации: проверить деревья зависимостей наredhat_cloud_services, ставить npm install с --ignore-scripts, закрепить заведомо чистые версии, ротировать все потенциально утёкшие токены и облачные секреты, а также проверить GitHub-аккаунты на репозитории с описанием «Miasma: The Spreading Blight».
https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/
Microsoft Threat Intelligence обнаружила масштабную атаку на цепочку поставок в npm: 32 вредоносных пакета (более 90 версий) в скоупе
redhat_cloud_services. Компрометация началась с CI/CD-пайплайна RedHatInsights/javascript-clients, что позволило публиковать троянизированные пакеты через легитимный механизм GitHub Actions OIDC — с подлинными подписями provenance и маркером кампании «Miasma: The Spreading Blight». При установке срабатывал npm preinstall-хук, запускавший обфусцированный дроппер index.js размером 4.29 МБ: через несколько слоёв обфускации (ROT-XX → AES-128-GCM → obfuscator.io → кастомный PBKDF2-шифр) он скачивал рантайм Bun и исполнял основную нагрузку цепочкой node → sh → bun, чтобы уходить от детектов, ориентированных на Node.Зловред крадёт учётные данные из GitHub, npm, AWS, Azure, GCP, HashiCorp Vault, Kubernetes и CircleCI, выскребая секреты прямо из памяти процесса Runner.Worker в CI/CD, повышает привилегии через passwordless sudo и распространяется как червь, переопубликовывая чужие пакеты с поддельным SLSA/Sigstore provenance. Эксфильтрация идёт по трём каналам (включая создание публичных репозиториев в аккаунте жертвы и неактивный путь на api.anthropic.com), а при срабатывании honeytoken-ловушки запускается деструктивная команда rm -rf ~/. Рекомендации: проверить деревья зависимостей на
redhat_cloud_services, ставить npm install с --ignore-scripts, закрепить заведомо чистые версии, ротировать все потенциально утёкшие токены и облачные секреты, а также проверить GitHub-аккаунты на репозитории с описанием «Miasma: The Spreading Blight».
