Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости» » Интернет технологии
sitename

В конце прошлой недели исследователи обнаружили новую волну атак малвари семейства Shai-Hulud, Miasma и Hades. Все началось с того, что злоумышленники взломали npm-аккаунт мейнтейнера LeoPlatform, после чего опубликовали вредоносные версии 20 пакетов в экосистемах LeoPlatform и RStreams, а также скомпрометировали блокчейн-проект Verana.


По информации специалистов из компаний Socket, StepSecurity, JFrog и SafeDep, атака началась 24 июня 2026 года с компрометации аккаунта czirker, связанного с LeoPlatform. Предположительно, хакеры использовали утекшие учетные данные и сумели получить токен npm. Затем, всего за несколько секунд они загрузили с его помощью все вредоносные релизы. В итоге среди пострадавших оказались пакеты leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics и другие.


Аналитики отмечают, что в отличие от ранних версий Miasma, в новой волне атак изменился способ запуска малвари: вредоносные релизы больше не используют lifecycle-хуки в package.json. Вместо этого код выполняется во время установки через файл binding.gyp. Загрузчик проверяет систему и загружает рантайм Bun (если тот отсутствует), после чего запускает стилер. Вероятно, использование Bun вместо Node.js помогает малвари оставаться незамеченной.





Малварь похищает учетные данные AWS, Azure и Google Cloud, токены GitHub и npm, секреты Kubernetes, данные HashiCorp Vault и 1Password. Также вредонос собирает конфигурационные файлы IDE и ИИ-ассистентов для программирования и пытается закрепиться в системе через их хуки. При этом вредонос не активируется, если в системе обнаружена русская локаль.


Для кражи секретов из CI/CD малварь создает workflow с названием Run Copilot и извлекает данные из памяти раннера GitHub Actions. Затем собранная информация шифруется и загружается в публичный GitHub-репозиторий, созданный через аккаунт жертвы. Такие репозитории имеют описание «Alright Lets See If This Works», и исследователи сообщали, что обнаружили более 500 таких совпадений.





Однако после кражи данных атака не заканчивается. Используя похищенные токены, Miasma стремится опубликовать зараженные версии всех пакетов, к которым имеет доступ жертва. Это наделяет вредоноса возможностями червя, позволяет обойти двухфакторную аутентификацию npm и превращает заражение в самораспространяющуюся атаку на цепочку поставок.


По информации экспертов компании StepSecurity, с этой вредоносной кампанией также может быть связана компрометация GitHub Action codfish/semantic-release-action. 24 июня 2026 года атакующие выполнили force push вредоносного коммита в репозиторий и перенаправили на него несколько версионных тегов. При запуске workflow с одним из скомпрометированных тегов вредонос выполнялся внутри раннера GitHub Actions и похищал GitHub OIDC и Personal Access Token. После этого малварь пыталась внедрить бэкдор в другие доступные репозитории.


Также исследователи Socket обнаружили полезную нагрузку Miasma в архиве Go-модуля github.com/verana-labs/verana-blockchain@v0.10.1-dev.20, связанного с криптовалютным проектом Verana Blockchain. В отличие от зараженных npm-пакетов, этот образец не использовал binding.gyp, а обычная загрузка или сборка Go-модуля не запускала вредоносный код.


В этом случае малварь была скрыта в конфигурационных файлах исходного репозитория, а триггером служила задача VS Code, которая срабатывала при открытии папки проекта и запускала node .claude/setup.mjs.


ИБ-специалисты Microsoft, тоже изучившие эти атаки, рекомендовали считать скомпрометированными все машины разработчиков и CI-окружения, где устанавливались зараженные версии пакетов. Перед сменой учетных данных эксперты советуют удалить вредоносные пакеты из lock-файлов, внутренних зеркал, кешей сборки, контейнерных образов и раннеров.


В конце прошлой недели исследователи обнаружили новую волну атак малвари семейства Shai-Hulud, Miasma и Hades. Все началось с того, что злоумышленники взломали npm-аккаунт мейнтейнера LeoPlatform, после чего опубликовали вредоносные версии 20 пакетов в экосистемах LeoPlatform и RStreams, а также скомпрометировали блокчейн-проект Verana. По информации специалистов из компаний Socket, StepSecurity, JFrog и SafeDep, атака началась 24 июня 2026 года с компрометации аккаунта czirker, связанного с LeoPlatform. Предположительно, хакеры использовали утекшие учетные данные и сумели получить токен npm. Затем, всего за несколько секунд они загрузили с его помощью все вредоносные релизы. В итоге среди пострадавших оказались пакеты leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics и другие. Аналитики отмечают, что в отличие от ранних версий Miasma, в новой волне атак изменился способ запуска малвари: вредоносные релизы больше не используют lifecycle-хуки в package.json. Вместо этого код выполняется во время установки через файл binding.gyp. Загрузчик проверяет систему и загружает рантайм Bun (если тот отсутствует), после чего запускает стилер. Вероятно, использование Bun вместо Node.js помогает малвари оставаться незамеченной. Малварь похищает учетные данные AWS, Azure и Google Cloud, токены GitHub и npm, секреты Kubernetes, данные HashiCorp Vault и 1Password. Также вредонос собирает конфигурационные файлы IDE и ИИ-ассистентов для программирования и пытается закрепиться в системе через их хуки. При этом вредонос не активируется, если в системе обнаружена русская локаль. Для кражи секретов из CI/CD малварь создает workflow с названием Run Copilot и извлекает данные из памяти раннера GitHub Actions. Затем собранная информация шифруется и загружается в публичный GitHub-репозиторий, созданный через аккаунт жертвы. Такие репозитории имеют описание «Alright Lets See If This Works», и исследователи сообщали, что обнаружили более 500 таких совпадений. Однако после кражи данных атака не заканчивается. Используя похищенные токены, Miasma стремится опубликовать зараженные версии всех пакетов, к которым имеет доступ жертва. Это наделяет вредоноса возможностями червя, позволяет обойти двухфакторную аутентификацию npm и превращает заражение в самораспространяющуюся атаку на цепочку поставок. По информации экспертов компании StepSecurity, с этой вредоносной кампанией также может быть связана компрометация GitHub Action codfish/semantic-release-action. 24 июня 2026 года атакующие выполнили force push вредоносного коммита в репозиторий и перенаправили на него несколько версионных тегов. При запуске workflow с одним из скомпрометированных тегов вредонос выполнялся внутри раннера GitHub Actions и похищал GitHub OIDC и Personal Access Token. После этого малварь пыталась внедрить бэкдор в другие доступные репозитории. Также исследователи Socket обнаружили полезную нагрузку Miasma в архиве Go-модуля github.com/verana-labs/verana-blockchain@v0.10.1-dev.20, связанного с криптовалютным проектом Verana Blockchain. В отличие от зараженных npm-пакетов, этот образец не использовал binding.gyp, а обычная загрузка или сборка Go-модуля не запускала вредоносный код. В этом случае малварь была скрыта в конфигурационных файлах исходного репозитория, а триггером служила задача VS Code, которая срабатывала при открытии папки проекта и запускала node .claude/setup.mjs. ИБ-специалисты Microsoft, тоже изучившие эти атаки, рекомендовали считать скомпрометированными все машины разработчиков и CI-окружения, где устанавливались зараженные версии пакетов. Перед сменой учетных данных эксперты советуют удалить вредоносные пакеты из lock-файлов, внутренних зеркал, кешей сборки, контейнерных образов и раннеров.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: