Skip to content

Miasma-üritus nakatat npm-pakette ja GitHub Actions’i andmete varastamisega

Kokkuvõte: Üritus kasutab kompromisseeritud npm-pakette ja manipuleeritud GitHub-tavasid tokende ja juurdepääsuandmeid CI/CD-keskkondadest ja arendajate säilitutest otse välja tooma.

Socket’i turvalisuse uurijad on dokumenteerinud Mini Shai-Hulud, Miasma ja Hades üritusteperekondade koordineeritud kampaaniat, mis infiltreeruvad npm-pakettidesse, GitHub-töövoogudesse ja Go-moodulitesse, et varastada arendajate juurdepääsuandmeid ja pilvekaitse-saladusi.

npm-registrit sisestati LeoPlatformi ja RStreamsi pahatahtlike pakettversioonidega. Socket’i uurijad määrasid kindlaks, et arendaja konto „czirker” võeti üle varastatud sisselogimise andmetega ja kallarid saatsid seega sekundite jooksul manipuleeritud versioonid üles. Üritus kasutab sidumise konfiguratsiooni binding.gyp, et käivitada pahakodeeritud koodi juba paketi paigaldamise ajal. Seejärel laadida alla Bun-käituskeskkond ja käivitata nõiakaart, mis loeb välja juurdepääsuandmed ja tokend.

Keskne rünnaku vektor Google Actions sihtimisele on töövoog „Run Copilot”, mis eraldab CI/CD-keskkonnast tundlikud andmed otse tööpinnast ja laadib need seejärel üles avalike GitHub-hoidlate. StepSecurity dokumentaalis ka laialt kasutatava GitHub-tegevuse codfish/semantic-release-action kompromisseerimist: 24. juunil 2026 kell 15:39:06 UTC sundisid kallarid pahatahtliku komitoosimise sisse ja suunasid mitu versiooni silti sellele. Iga süsteem, mis pärast selle ajahetke täitis need sildid, nakas pahakoodiga, mis röövus muuhulgas GitHub-OIDC-tokenda.

Kampaania ei piiranud end JavaScripti ökosüsteemidega: üritusmutandid infiltreeruvad ka Verana Blockchain-projekti Go-mooduleid. Erinevalt npm-pakettidest ei kasutata siin installatsioonikrunde; selle asemel käivitatakse pahakood projektikonfiguratsioonide kaudu, niipea kui arendaja klooni hoidla või avab selle IDE või tehisintellektiga varustatud programmeerimisassistendis.

Endor Labs’i ja OX Security’i analüüsid näitavad, et Hades-mutant otsib GitHub’ist tunni jooksul spetsiifiliste komitoosete mustreid, et ennast uuendada. CISO-de jaoks eriti kriitiline on JFrogi tuvastamine, et kompromisseeritud pakettikogumid on tihedalt seotud pilveomase ja serveritava töövooga. Kompromisseerumine sellel tasemel ohustab seega ka järgnevi tarkvarakasutajaid tarneahelas.


Allikas: www.it-daily.net · Avaldatud 29. juunil 2026
Lumi AI News — tehisintellekti abil kurateeritud kooskõlas EU AI Acti art. 50-ga. Parafraas ja klassifikatsioon Lumi News Pipeline v1.7.2 kaudu.

Share on: