СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:29
#ИБ

Miasma: open source-фреймворк атакует цепочки поставок ПО

Miasma — это новый набор инструментов для атак на software supply chain, опубликованный в виде open source и нацеленный на эксплуатацию как скомпрометированных developer accounts, так и популярных программных ecosystem в злонамеренных целях. По данным отчета, framework сочетает несколько векторов атаки и делает ставку не на традиционную серверную C2-инфраструктуру, а на злоупотребление легитимными сервисами, прежде всего GitHub.

Что делает Miasma

Архитектура Miasma охватывает сразу несколько operational layers — от credential harvesting до распространения и exfiltration конфиденциальной информации. Инструмент способен взаимодействовать с:

  • public software registries, включая PyPI, npm и RubyGems;
  • repositories and actions в GitHub;
  • tooling на базе AI, которое используется для дальнейшего закрепления в среде разработки.

Основной упор делается на использование украденных учетных данных, прежде всего GitHub Personal Access Tokens (PAT). Это позволяет обходить традиционные механизмы защиты и управлять средами без привычной централизованной инфраструктуры.

Ключевые возможности и техника атаки

Согласно отчету, Miasma поддерживает несколько каналов для выполнения команд и вывода данных, при этом стремится сохранить операционную скрытность, используя GitHub как транспортный и координационный слой. Такой подход затрудняет обнаружение, поскольку активность злоумышленников маскируется под обычную разработческую работу.

Среди отмеченных техник:

  • dead man switch, который при отзыве token может очищать home directory жертвы;
  • генерация valid Sigstore provenance для публикации trojanized npm packages;
  • встраивание в существующие project files или использование orphaned commits, выглядящих clean;
  • typosquatting-режим для рассылки вредоносных packages;
  • перехват GitHub Actions и обход repository protection rules;
  • использование OIDC для публикации зараженных пакетов.

Два маршрута распространения: fast path и slow path

Архитектура Miasma предусматривает два режима распространения. Fast path предназначен для быстрой exfiltration учетных данных, тогда как slow path использует менее заметные методы для закрепления в repositories и package managers.

Именно slow path делает Miasma особенно опасным для команд разработки: он может внедряться в уже существующие артефакты проекта, а также использовать commits, которые внешне выглядят безупречно. Это снижает вероятность визуального обнаружения и осложняет последующий аудит.

Credential harvesting и orchestration

Важной частью набора инструментов является модуль сбора учетных данных. Он формирует категоризированное хранилище tokens и запускает процесс exfiltration либо при достижении определенного порога, либо по explicit trigger. Далее orchestrator анализирует собранные credentials на предмет возможных путей вывода данных и расширения доступа.

Таким образом, Miasma выстраивает самораспространяющийся механизм, который опирается на легитимные developer tools и инфраструктуру, уже присутствующую в среде жертвы.

Почему это усложняет обнаружение

Отчет подчеркивает, что Miasma делает ставку на automation, persistence и strategic evasion. Это отражает более широкий тренд: злоумышленники все чаще используют платформы вроде GitHub как инфраструктуру для атак, а не разворачивают классические серверные C2-схемы.

Такой сдвиг повышает сложность выявления компрометации. Защитным решениям приходится ориентироваться не только на аномалии network traffic, но и на отклонения в application protocols, действия в репозиториях, изменения в workflows и подозрительную активность в developer accounts.

«Широкие возможности этого набора инструментов сигнализируют о заметной эволюции угроз software supply chain», — следует из выводов отчета.

Что это означает для защиты

Появление Miasma демонстрирует, что угроза уже не ограничивается компрометацией одного репозитория или одного token. Речь идет о взаимосвязанных уязвимостях, где скомпрометированные учетные записи, CI/CD, package registries и developer tooling могут работать как единая точка входа для атакующего.

Для организаций это означает необходимость уделять повышенное внимание:

  • защите PAT и других sensitive credentials;
  • контролю действий в GitHub Actions;
  • проверке provenance и целостности пакетов;
  • мониторингу изменений в repositories и workflows;
  • выявлению нетипичной активности в developer accounts и AI-based tooling.

В целом Miasma отражает эволюцию угроз software supply chain: атаки становятся более автоматизированными, скрытными и глубоко встроенными в привычные процессы разработки. Именно поэтому защита должна выходить за рамки традиционного network security и учитывать весь жизненный цикл кода, учетных данных и публикации пакетов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: