La familia de malware Miasma, junto a Mini Shai-Hulud y Hades, ha evolucionado en un sofisticado ataque a la cadena de suministro, comprometiendo un nuevo conjunto de paquetes npm, incluyendo LeoPlatform y RStreams, así como propagándose al ecosistema Go con el proyecto Verana Blockchain. Este ataque tiene como objetivo principal la sustracción de credenciales de desarrolladores y mantenedores, utilizando la información robada para expandirse a través de registros de paquetes, repositorios y flujos de trabajo de desarrollo de confianza. Entre los paquetes npm afectados se encuentran varias versiones de hexo-deployer-wrangler, leo-auth, leo-sdk y rstreams-metrics.
El ataque se originó, presuntamente, por la filtración de credenciales de una cuenta de desarrollador npm asociada a LeoPlatform, permitiendo la publicación de versiones troyanizadas en cuestión de segundos. La campaña utiliza tácticas ya observadas, como el envenenamiento de registros npm, la ejecución de código en tiempo de instalación mediante archivos binding.gyp, el uso de malware JavaScript a través de Bun, infraestructura de entrega de GitHub, robo de secretos de GitHub Actions, persistencia en IDEs y asistentes de codificación con IA, y exfiltración cifrada de credenciales. Los paquetes maliciosos sin un lifecycle hook incorporan un archivo binding.gyp para ejecutar código arbitrario durante la instalación, descargando el entorno de ejecución Bun y luego un payload que roba secretos y tokens.
Este malware incorpora un “killswitch” basado en la localización rusa y verifica la presencia de software de seguridad de endpoints. Además, despliega un flujo de trabajo denominado “Run Copilot” para capturar secretos del entorno de CI/CD, que luego son subidos a un repositorio público de GitHub con la descripción “Alright Lets See If This Works”. Se ha observado un cambio en el marcador de retransmisión de tokens, ahora usando “RevokeAndItGoesKaboom”, un indicador que también se ha relacionado con el compromiso de la acción de GitHub “codfish/semantic-release-action”. Este compromiso permitió el robo de tokens OIDC de GitHub, Personal Access Tokens (PATs) y la propagación de puertas traseras a otros repositorios. La campaña también busca activamente nuevos comandos a través de commits en GitHub. Un compromiso de este tipo expone estaciones de trabajo de desarrolladores, sistemas CI/CD, aplicaciones en AWS, repositorios de GitHub y credenciales de publicación de paquetes.
Dada la naturaleza de estos ataques a la cadena de suministro, que evaden detecciones obsoletas y se centran en los flujos de trabajo de los desarrolladores, es crucial reforzar las prácticas de seguridad. Esto incluye la implementación rigurosa de la autenticación multifactor (MFA) para todas las cuentas de desarrolladores y sistemas de CI/CD, la revisión periódica de las dependencias de paquetes y la auditoría de los flujos de trabajo de GitHub Actions. Las organizaciones deben asegurar que sus entornos de desarrollo y sistemas de integración continua estén protegidos contra la exfiltración de credenciales y la ejecución de código no autorizado.
Qué significa para tu empresa: Este incidente subraya la criticidad de asegurar la cadena de suministro de software y los entornos de desarrollo. Para protegerse de ataques complejos como Miasma, que explotan las credenciales de desarrolladores y los flujos de trabajo de CI/CD, es fundamental contar con un SOC con monitoreo 24/7. Este servicio permite la detección temprana de actividades anómalas, como intentos de exfiltración de credenciales, modificaciones inusuales en repositorios o ejecuciones de código no autorizadas en sistemas de integración continua, brindando una respuesta proactiva ante amenazas persistentes y cambiantes.
Fuente original: The Hacker News — ver artículo →