サプライチェーン攻撃を通じてオープンソースエコシステムを標的にしてきた認証情報窃取型の攻撃フレームワーク「Miasma」のソースコードが、GitHubに一時的に公開されました。
Miasmaは、以前GitHubに流出した「Shai-Hulud」ワームを進化させたものとみられており、機能・手法・コードの多くを共有しています。
このマルウェアは開発者のマシンに感染した後、ビルド環境やクラウドの認証情報を窃取します。そして盗んだ情報を悪用して正規のリポジトリやパッケージを侵害し、トロイの木馬化したバージョンを公開することで下流の開発者へと感染を広げ、このサイクルを繰り返します。
このようなワーム型の自律的な自己増殖メカニズムにより、感染は急速に拡大し、一度の侵害が大規模なサプライチェーン攻撃へと発展する可能性があります。
このマルウェアはこれまでに、Red Hat npmパッケージへの注目度の高い攻撃や、最近ではGitHub上の73件のMicrosoftリポジトリへの攻撃との関連が指摘されています。
SafeDepの研究者らは昨日報告し、Miasmaのソースコードが多数の侵害された開発者アカウントを通じてGitHubに流出したことを明らかにしました。攻撃者はそれぞれのアカウントで「Miasma-Open-Source-Release」という名前のリポジトリにソースコードを公開していました。
これは以前のShai-Huludコード公開と同様に、偶発的な流出ではなく、脅威アクターが意図的にソースコードを公開したことを示しています。
コードの分析により、このツールキットはC2(コマンド&コントロール)インフラを必要とせず、その役割をGitHubで代替していることが明らかになりました。
攻撃者より先に、すべての層をテスト
セキュリティチームが把握できる攻撃の成功は54%にとどまり、アラートを発するのはわずか14%です。残りは検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションがSIEMやEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。
翻訳元: https://www.bleepingcomputer.com/news/security/the-miasma-worm-source-code-briefly-leaked-on-github/
