Исходный код фреймворка Miasma для кражи учётных данных оказался в открытом доступе на GitHub

Исходный код фреймворка Miasma для кражи учётных данных оказался в открытом доступе на GitHub. Исследователи SafeDep обнаружили его во взломанных аккаунтах разработчиков, где он публиковался в репозиториях с названием Miasma-Open-Source-Release.

Как напоминают в SafeDep, Miasma — это обновлённая версия червя Shai-Hulud. Он заражает устройства разработчиков, похищает данные среды сборки и учётные записи облачных сервисов, а затем использует их для компрометации легитимных проектов. Miasma связывали с атаками на npm-пакеты, в том числе в инфраструктуре Red Hat, а также с компрометацией десятков репозиториев Microsoft на GitHub. 

Анализ кода показал, что Miasma не требует отдельной управляющей инфраструктуры: для управления и передачи данных он использует сам GitHub. Вредоносная программа собирает учётные данные от облачных платформ, CI/CD-систем, менеджеров паролей, Kubernetes и хранилищ, после чего атакует репозитории, пакеты npm, PyPI и RubyGems, а также рабочие процессы GitHub Actions и системы вроде JFrog Artifactory.

Эксперты SafeDep обнаружили в коде несколько интересных особенностей. Одна из них — механизм «аварийного выключателя»: если украденный токен GitHub становится недействительным, вредоносная программа запускает процедуру удаления данных, стирая файлы в домашней директории и папке «Документы». Также в Miasma реализован сложный конвейер сборки уникального вредоносного кода. Он включает многоуровневое шифрование, обфускацию и генерацию случайных ключей. Каждый экземпляр отличается от предыдущего, что снижает эффективность сигнатурных методов защиты.

Эксперты предупреждают, что утечка подобных инструментов уже приводила к росту атак. Аналогичный эффект ожидается и в случае с Miasma: злоумышленники адаптируют код и будут использовать его для своих задач.