Olayın Özeti
Red Hat bulut hizmetlerine yönelik yeni bir tedarik zinciri saldırısı olan Miasma, geliştirici makinelerden kimlik bilgilerini çalmayı hedefliyor ve kendini yayabilen bir solucan dağıtıyor. Bu saldırı, yazılım tedarik zincirinin güvenliğini tehdit eden önemli bir adım olarak değerlendirilmektedir.
Saldırı Nasıl Çalışıyor?
Miasma saldırısı, Mini Shai-Hulud kampanyasının bir uzantısı olarak, aşağıdaki taktikleri kullanmaktadır:
- Kurulum aşamasında yürütme
- Kimlik bilgisi toplama
- CI/CD sistemlerine saldırı
- Şifreli veri dışa akışı
- Potansiyel alt akış yayılımı
Aynı zamanda, TeamPCP adlı siber suç grubunun açık kaynak hale getirdiği saldırı araçları nedeniyle bu saldırıların kimler tarafından yapıldığı kesin olarak bilinmemektedir.
Etkilenen Sistemler
Aşağıda, saldırıdan etkilenen bazı paketler listelenmiştir:
- @redhat-cloud-services/vulnerabilities-client
- @redhat-cloud-services/tsc-transform-imports
- @redhat-cloud-services/topological-inventory-client
- @redhat-cloud-services/sources-client
- @redhat-cloud-services/rule-components
- @redhat-cloud-services/remediations-client
- @redhat-cloud-services/rbac-client
Analizlere göre, bu npm paketleri, GitHub Actions gizli anahtarlarını, npm token’larını, bulut kimlik bilgilerini ve diğer hassas dosyaları toplamak için tasarlanmış obfuscate edilmiş bir preinstall hook içerir.
Çözüm ve Korunma
Bu tür tehditlerle başa çıkmak için önerilen adımlar aşağıdadır:
- Etki altında kalmış cihazları izole edin.
- Kötü amaçlı sürümleri kaldırın.
- İfşa olmuş kimlik bilgilerini yenileyin.
- Dikkatli bir biçimde GitHub ve npm aktivitesini inceleyin.
- Yapılandırma dosyalarında (örneğin ~/.claude/settings.json, .vscode/tasks.json) herhangi bir kalıcı unsur olup olmadığını denetleyin.
- Güçlü erişim kontrollerini zorunlu hale getirin.
Ayrıca, npm paketlerini kaldırmak veya node_modules dizinini silmek yeterli bir temizleme yöntemi olmadığı için, bu süreçte dikkatli olunmalıdır.
Aksiyon
Okuyucuların, etkilenen sistemlerde güncellemeleri yapması, kuşkulu aktiviteleri gözden geçirmesi ve CI/CD sistemlerinde saldırıya uğrayan iş akışlarını durdurması önerilmektedir. Ayrıca, saldırı sırasında üretilen her türlü yapım artefaktını inceleyip geçersiz hale getirmeleri önemlidir.
