Miasma worm
Az OpenSourceMalware kutatása szerint a korábban AWS- és GitHub-környezeteket célzó Miasma önterjesztő szoftverellátásilánc-féreg új változata már a Microsoft Azure ökoszisztémát is támadja. A kampány során a malware kompromittált GitHub Actions munkafolyamatokon keresztül Azure CLI hitelesítési gyorsítótárakat, Managed Identity tokeneket és fejlesztői hozzáférési adatokat próbál eltulajdonítani.
A kutatók szerint a támadás következtében a Microsoft elővigyázatosságból 73 GitHub-tárolót kapcsolt le négy különböző szervezeti fiók alatt, köztük Azure Functionshez és egyéb fejlesztői projektekhez kapcsolódó repository-kat. A művelet célja a féreg további automatikus terjedésének megakadályozása volt.
A Miasma a fertőzött build-környezetekből GitHub-, npm-, AWS-, Azure-, GCP- és Kubernetes-hitelesítő adatokat gyűjt, majd ezek felhasználásával újabb csomagokat és tárolókat próbál kompromittálni. Az Azure-változat különösen a fejlesztői és CI/CD környezetekben tárolt identitás-tokeneket veszi célba, ami lehetővé teheti felhőerőforrások jogosulatlan elérését anélkül, hogy hagyományos jelszavakat kellene megszerezni.
A modern szoftverellátásilánc-támadások elsődleges célpontjai már nem maguk az alkalmazások, hanem a fejlesztői identitások, CI/CD-folyamatok és felhőalapú hitelesítési mechanizmusok. A védekezés kulcsa a hitelesítő adatok folyamatos rotációja, a minimális jogosultságok alkalmazása, valamint a build-környezetek és GitHub Actions munkafolyamatok fokozott monitorozása.
