СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:25
#Dev#ИБ#Облака

Компрометация npm-пакетов в Miasma Mini Shai-Hulud

Кампания по компрометации цепочки поставок Miasma Mini Shai-Hulud продолжает развиваться и теперь затронула пакеты npm в области @immobiliarelabs. Особое внимание атакующих сосредоточено на Backstage-плагинах, которые интегрируются с GitLab и поддерживают аутентификацию LDAP.

По данным отчета, злоумышленники используют доверенные среды разработчиков для публикации вредоносных версий пакетов. Их цель — развертывание JavaScript ВПО, кража учетных данных разработчиков и дальнейшее распространение атаки в рабочих процессах CI/CD.

Что стало целью атаки

Недавняя активность указывает на то, что в ходе всплеска публикаций 26 June 2026 несколько версий пакета @immobiliarelabs/backstage-plugin-gitlab-backend оказались под ударом. При этом были переопубликованы и более ранние версии, чтобы повысить вероятность заражения пользователей, продолжающих использовать старые релизы.

В числе затронутых сценариев —:

  • Backstage-плагины, связанные с интеграцией с GitLab;
  • компоненты, использующие LDAP-аутентификацию;
  • среды разработки, где пакеты npm устанавливаются и обновляются из доверенных источников;
  • потоки CI/CD и GitHub Actions, потенциально подверженные дальнейшему распространению вредоносной нагрузки.

Как работает вредоносный пакет

Применяемая схема построена на обманчивой структуре пакета: внешне безобидный основной входной файл маскирует наличие вредоносного index.js на корневом уровне. Именно он запускает полезную нагрузку, способную расшифровывать и выполнять дополнительные скрипты.

Этот подход продолжает характерную для Miasma тенденцию — скрывать вредоносные пути выполнения внутри систем управления пакетами и использовать доверие к привычным инструментам разработчика.

Что крадёт ВПО

Согласно отчету, вредоносное ПО эффективно эксфильтрирует широкий спектр конфиденциальных данных разработчиков и секретов CI/CD. Среди них:

  • API tokens;
  • SSH keys;
  • учетные данные облачных сервисов;
  • другие секреты, используемые в процессе разработки и развертывания.

Обход традиционных проверок

Отдельного внимания заслуживает новая техника выполнения, сочетающая Phantom Gyp и Bun. Она позволяет обходить традиционные preinstall и postinstall hooks, которые обычно проверяются при анализе пакетов.

Это дает атакующим возможность запускать вредоносные скрипты в рамках легитимных процессов развертывания, в том числе в рабочих процессах GitHub Actions. При этом атака может быть реализована без прямого изменения файлов workflow.

Компрометация GitHub Actions

Кампания также включает скомпрометированный компонент GitHub Actions, происходящий из codfish/semantic-release-action. Он использовался для внедрения вредоносных workflow, способных наносить ущерб проектам, которые полагаются на изменяемые tags версий.

Таким образом, ландшафт атаки расширяется: GitHub deployments становятся не только средством запуска workflow, но и потенциальным вектором кражи секретов.

Экспфильтрация через GitHub репозитории

Еще один элемент стратегии Miasma — быстрое создание автоматизированных репозиториев GitHub для целей эксфильтрации. Для сокрытия активности используются запутанные и рандомизированные схемы именования, что затрудняет обнаружение вредоносной инфраструктуры.

Рекомендации для организаций

В качестве меры предосторожности организациям рекомендуется:

  • выявить все среды разработки, в которых могли быть использованы затронутые пакеты;
  • отозвать и ротировать все раскрытые секреты;
  • тщательно проверить активность GitHub Actions в период компрометации;
  • привязать GitHub Actions к неизменяемым commit SHA;
  • ограничить доступ к чувствительным workflow и минимизировать избыточные права;
  • усилить контроль за публикацией и обновлением зависимостей в цепочке поставок.

Вывод

Miasma Mini Shai-Hulud демонстрирует тревожную тенденцию в атаках на цепочку поставок: злоумышленники используют внешне безобидные инструменты разработчика, чтобы повысить уровень доступа и вывести критические данные из доверенной среды.

В этих условиях командам по безопасности необходимо сохранять бдительность и действовать проактивно, укрепляя защиту от сложных тактик компрометации цепочек поставок и автоматизированных рабочих процессов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: