Gemstuffer malware
A Socket kutatói a Gemstuffer malware-kampányt egy új generációs ellátási lánc fenyegetésként írják le, amely fejlesztői környezeteket és CI/CD folyamatokat céloz kompromittált csomagokon keresztül. A támadók legitimnek tűnő open source csomagokat és fejlesztői eszközöket használtak arra, hogy hitelesítő adatokat, API-kulcsokat és környezeti változókat lopjanak ki fertőzött rendszerekről.
A kampány egyik fő jellemzője a többlépcsős, memóriában végrehajtott payloadok használata, amelyek minimális nyomot hagynak a lemezen. A malware rejtett letöltő komponensekkel és obfuszkált kóddal dolgozik, miközben legitim fejlesztői workflow-kba ágyazódik be. A Socket szerint a cél elsősorban fejlesztői tokenek, cloud hitelesítő adatok és CI/CD titkok megszerzése volt, amelyek később további supply chain kompromittálásokhoz használhatók fel.
A támadók inkább a fejlesztői bizalmi láncot, a dependency-rendszereket és az automatizált buildfolyamatokat használják ki. A védekezés kulcsa a dependency pinning, az integritás-ellenőrzés, a csomagforrások validálása és a fejlesztői környezetek folyamatos monitorozása lehet.
