Miasma-malware richt zich op npm-pakketten en GitHub-acties bij supply chain-aanvallen

Cyberbeveiliging
Miasma-malware richt zich op npm-pakketten en GitHub-acties bij supply chain-aanvallen

Cybersecurity-onderzoekers hebben wederom een ​​nieuwe evolutie van de supply chain-aanval opgemerkt die verband houdt met de Mini Shai-Hulud-, Miasma- en Hades-malwarefamilie, die een nieuwe reeks npm-pakketten in gevaar heeft gebracht, zelfs terwijl deze zich heeft verspreid naar het Go-ecosysteem.

“De nieuwste activiteiten omvatten kwaadaardige npm-releases die LeoPlatform- en RStreams-pakketten beïnvloeden, misbruik van de GitHub Actions-workflow en een gerelateerd Go-modulecompromis met betrekking tot het Verana Blockchain-project”, aldus Socket.

Het einddoel van de campagne is, net als voorheen, het verzamelen van inloggegevens van ontwikkelaars of beheerders en het bewapenen van de gestolen gegevens om zich te verspreiden over pakketregisters, opslagplaatsen en vertrouwde ontwikkelaarsworkflows.

De lijst met getroffen pakketten vindt u hieronder:

Er wordt vermoed dat een npm-ontwikkelaarsaccount geassocieerd met het LeoPlatform (“czirker”) werd geschonden, waarschijnlijk via gelekte inloggegevens, om de aanval mogelijk te maken, waardoor de bedreigingsactoren een npm-token van de onderhouder konden gebruiken om getrojaniseerde versies binnen een tijdsbestek van zes seconden te pushen.

De nieuwe golf maakt gebruik van veel van de tactieken die in eerdere campagnes zijn waargenomen, waaronder npm-registervergiftiging, uitvoering van binding.gyp tijdens installatie, Bun-staged JavaScript-malware, GitHub dead-drop-infrastructuur, geheime diefstal van GitHub Actions, persistentie van IDE- en AI-coderingsassistenten en gecodeerde exfiltratie van inloggegevens.

Hoewel de kwaadaardige npm-pakketten geen levenscyclushaak hebben die doorgaans aan het package.json-bestand wordt toegevoegd, bevatten ze een binding.gyp-bestand om tijdens de installatie willekeurige code uit te voeren, wat resulteert in de lancering van een JavaScript-lader die de Bun-runtime downloadt en installeert als deze niet aanwezig is, en vervolgens de stealer-payload initieert die verantwoordelijk is voor het verzamelen van geheimen, inloggegevens en tokens.

De malware beschikt niet alleen over een Russische locale killswitch en controleert op de aanwezigheid van eindpuntbeveiligingssoftware, maar laat ook een workflow achter met de naam “Run Copilot” om CI/CD-omgevingsgeheimen uit het runner-geheugen te halen. De informatie wordt vervolgens geüpload naar een openbare GitHub-repository met de beschrijving “Oké, laten we eens kijken of dit werkt.” Op het moment van schrijven zijn er 559 repositories die aan de beschrijving voldoen.

De token-estafettemarkering is ook getuige geweest van een verandering in de laatste iteratie. Terwijl eerdere golven strings als “IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner” gebruikten, gebruikt het huidige artefact “RevokeAndItGoesKaboom”, een string die is gebruikt als GitHub dead drop-resolver in verband met de recente compromis van de “codfish/semantic-release-action” GitHub Action.

“Op 24 juni 2026 om 15:39:06 UTC heeft een aanvaller een kwaadaardige commit met kracht naar codfish/semantic-release-action gepusht en verschillende versietags omgeleid om naar de kwaadaardige commit te verwijzen”, aldus StepSecurity.

“Elke workflow die na dat tijdstempel tegen een van deze tags aanliep, voerde de payload van de aanvaller rechtstreeks uit in de GitHub Actions-runner. De payload steelt GitHub OIDC-tokens, verzamelt Personal Access Tokens die overeenkomen met bekende GitHub-tokenpatronen, codeert het verzamelde materiaal met AES-128-GCM en probeert een achterdeur te verspreiden naar andere repository’s die toegankelijk zijn met de gestolen inloggegevens.”

Dit geeft aan dat al deze gebeurtenissen verband houden met dezelfde operationele cluster of toolinglijn. Volgens Endor Labs en OX Security ondervraagt ​​de malware GitHub ook elk uur voor commits die overeenkomen met de string “firedalazer” om de Hades-variant van de malware op te halen en uit te voeren.

“De Leo/RStreams-pakketset is gekoppeld aan cloud-native en serverloze workloads”, aldus JFrog. “Een compromis hier kan ontwikkelaarswerkstations, CI/CD-systemen, door AWS ondersteunde applicaties, GitHub-repository’s, inloggegevens voor het publiceren van pakketten en downstream-pakketconsumenten blootleggen.”

“Het opmerkelijke verhaal is niet dat de lading radicaal nieuw is. Het is dat Shai-Hulud doorgaat met het doorkruisen van legitieme pakketecosystemen, terwijl hij net genoeg indicatoren verandert om verouderde detecties minder effectief te maken.”

Bovendien breidt de vergiftiging van de Verana GitHub de reikwijdte van de campagne uit tot voorbij npm. Dat gezegd hebbende, maakt de aanval gebruik van hetzelfde Miasma-uitvoeringspatroon dat wordt waargenomen in kwaadaardige npm-pakketten, zonder te vertrouwen op de native Go-moduleresolutie of build-logica.

“In tegenstelling tot de npm-pakketten is dit voorbeeld niet afhankelijk van binding.gyp”, legt Socket uit. “Het risico is de uitvoering van de bronrepository: een ontwikkelaar die de repository kloont of opent in een vertrouwde IDE- of AI-coderingsassistentomgeving kan de payload activeren via projectconfiguratie.”

“Dit versterkt het grotere campagnethema: Miasma beweegt zich over pakket-ecosystemen door zich te richten op de workflows van ontwikkelaars, en niet alleen op de installatiehaken van pakketbeheerders.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Microsoft waarschuwt voor Photo ZIP Phishing-campagne gericht op hotels met Node.js-implantaat

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]