Новый червь Miasma и его предшественник Shai-Hulud используют GitHub для управления без отдельного C2-сервера. Команды прячутся в публичных коммитах с метками. Службам безопасности приходится анализировать поведенческие аномалии на уровне протоколов приложений.
TeamPCP первой опубликовала код червя Shai-Hulud. Miasma заразил более сотни проектов Red Hat и Microsoft, а затем распространился на 473 пакета. Исходный код опубликован от имени взломанных пользователей, но активных атак с его использованием пока не зафиксировано.
Управляющие команды скрыты за метками: «DontRevokeOrItGoesBoom» (с PAT, зашифрованным AES-256-CBC), «TheBeautifulSandsOfTime» (JavaScript, выполняемый через eval()) и «firedalazer» (URL Python-скриптов). Все каналы доступны без авторизации через публичный API поиска коммитов GitHub.
Вредоносные репозитории «Miasma-Open-Source-Release» удаляются администрацией GitHub. Однако эксперты выяснили, что червь позволяет красть учётные данные и атаковать PyPI, npm, RubyGems, GitHub Actions, а также отравлять конфигурации AI-инструментов и осуществлять горизонтальное перемещение по SSH.
0 комментариев