Giriş
Miasma, açık kaynak ekosistemlerini hedef alan ve tedarik zinciri saldırılarıyla ilişkilendirilen yeni bir kimlik bilgisi çalıma aracıdır. Son zamanlarda GitHub’da açık kaynaklı olarak yayımlanan bu framework, siber güvenlikte büyük riskler oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Miasma, geliştirici makinelerini enfekte ederek, build ortamı ve cloud kimlik bilgilerini çalar. Bu bilgileri kullanarak meşru depo ve paketleri tehlikeye atar, trojanize edilmiş sürümleri yayımlayarak aşağıdaki geliştiricileri enfekte eder ve döngüyü tekrarlar.
Etkilenen Sistemler
Miasma, şu sistemleri tehdit eder:
- Cloud sağlayıcıları
- CI/CD sistemleri
- Şifre yöneticileri
- Kubernetes
- Saklama alanları
- npm, PyPI ve RubyGems paketleri
- GitHub depoları ve Workflow’ları
- JFrog Artifactory
Teknik Analiz
Miasma, komut ve kontrol (C2) altyapısına ihtiyaç duymadan çalışır; GitHub’ı bu amaçla kullanır. Kod analizi, dead-man switch özelliğini ortaya çıkartmıştır. Bu mekanizma, çalınan GitHub token’ının geçerliliğini her dakika kontrol eder. Eğer token iptal edilirse, aşağıdaki tahrip edici komutu çalıştırır:
rm -rf ~/; rm -rf ~/Documents
Bu özelliği, kullanıcı dizinindeki dosyaları silmek için çalışmaktadır.
Şifreleme ve Gizlilik
Miasma, beş aşamalı bir yapı inşa eder ve her kurulum için benzersiz yükler oluşturur. SafeDep’e göre, bu sürecin temel özellikleri şunlardır:
- AES-256-GCM ile dosyaların şifrelenmesi
- Rasgele string obfuscation
- Kaynak dönüşümleri
- JavaScript obfuscation
- Kendini çıkaran yükleyici ile üç katmanlı şifreleme
Rasgele anahtarlar ve dış kodlama katmanı, her bir örneğin önceki yapılardan farklı olmasını sağlar ve imza bazlı tespiti zorlaştırır.
Çözüm ve Korunma
Miasma’nın kaynak kodunun sızdırılması, daha ileri düzey varyantların ortaya çıkmasına ve saldırı oranlarının artmasına neden olabilir. Yazılım geliştiricileri için öneriler:
- Proje bağımlılıklarını sabitleyin.
- Yeni paket güncellemelerini benimsemeden önce birkaç gün bekleyin.
- Yeni yapıların izole test ortamlarında doğrulanmasını sağlayın.
Sonuç
Yazılım geliştiricileri ve siber güvenlik ekipleri, güncellemeleri zamanında gerçekleştirerek ve portlarını kapatarak bu zararlı yazılımların etkilerini minimize etmelidir. Özellikle açık kaynak güvenliği için dikkatli olmak, tedarik zinciri saldırılarına karşı korunmada kritik öneme sahiptir.
