Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

      
      
  • 24 марта 2016, 16:20
Вчера, 10:30
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Рейтинг:
Категория: Новости

В конце прошлой недели исследователи обнаружили новую волну атак малвари семейства Shai-Hulud, Miasma и Hades. Все началось с того, что злоумышленники взломали npm-аккаунт мейнтейнера LeoPlatform, после чего опубликовали вредоносные версии 20 пакетов в экосистемах LeoPlatform и RStreams, а также скомпрометировали блокчейн-проект Verana.


По информации специалистов из компаний Socket, StepSecurity, JFrog и SafeDep, атака началась 24 июня 2026 года с компрометации аккаунта czirker, связанного с LeoPlatform. Предположительно, хакеры использовали утекшие учетные данные и сумели получить токен npm. Затем, всего за несколько секунд они загрузили с его помощью все вредоносные релизы. В итоге среди пострадавших оказались пакеты leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics и другие.


Аналитики отмечают, что в отличие от ранних версий Miasma, в новой волне атак изменился способ запуска малвари: вредоносные релизы больше не используют lifecycle-хуки в package.json. Вместо этого код выполняется во время установки через файл binding.gyp. Загрузчик проверяет систему и загружает рантайм Bun (если тот отсутствует), после чего запускает стилер. Вероятно, использование Bun вместо Node.js помогает малвари оставаться незамеченной.





Малварь похищает учетные данные AWS, Azure и Google Cloud, токены GitHub и npm, секреты Kubernetes, данные HashiCorp Vault и 1Password. Также вредонос собирает конфигурационные файлы IDE и ИИ-ассистентов для программирования и пытается закрепиться в системе через их хуки. При этом вредонос не активируется, если в системе обнаружена русская локаль.


Для кражи секретов из CI/CD малварь создает workflow с названием Run Copilot и извлекает данные из памяти раннера GitHub Actions. Затем собранная информация шифруется и загружается в публичный GitHub-репозиторий, созданный через аккаунт жертвы. Такие репозитории имеют описание «Alright Lets See If This Works», и исследователи сообщали, что обнаружили более 500 таких совпадений.





Однако после кражи данных атака не заканчивается. Используя похищенные токены, Miasma стремится опубликовать зараженные версии всех пакетов, к которым имеет доступ жертва. Это наделяет вредоноса возможностями червя, позволяет обойти двухфакторную аутентификацию npm и превращает заражение в самораспространяющуюся атаку на цепочку поставок.


По информации экспертов компании StepSecurity, с этой вредоносной кампанией также может быть связана компрометация GitHub Action codfish/semantic-release-action. 24 июня 2026 года атакующие выполнили force push вредоносного коммита в репозиторий и перенаправили на него несколько версионных тегов. При запуске workflow с одним из скомпрометированных тегов вредонос выполнялся внутри раннера GitHub Actions и похищал GitHub OIDC и Personal Access Token. После этого малварь пыталась внедрить бэкдор в другие доступные репозитории.


Также исследователи Socket обнаружили полезную нагрузку Miasma в архиве Go-модуля github.com/verana-labs/verana-blockchain@v0.10.1-dev.20, связанного с криптовалютным проектом Verana Blockchain. В отличие от зараженных npm-пакетов, этот образец не использовал binding.gyp, а обычная загрузка или сборка Go-модуля не запускала вредоносный код.


В этом случае малварь была скрыта в конфигурационных файлах исходного репозитория, а триггером служила задача VS Code, которая срабатывала при открытии папки проекта и запускала node .claude/setup.mjs.


ИБ-специалисты Microsoft, тоже изучившие эти атаки, рекомендовали считать скомпрометированными все машины разработчиков и CI-окружения, где устанавливались зараженные версии пакетов. Перед сменой учетных данных эксперты советуют удалить вредоносные пакеты из lock-файлов, внутренних зеркал, кешей сборки, контейнерных образов и раннеров.


В конце прошлой недели исследователи обнаружили новую волну атак малвари семейства Shai-Hulud, Miasma и Hades. Все началось с того, что злоумышленники взломали npm-аккаунт мейнтейнера LeoPlatform, после чего опубликовали вредоносные версии 20 пакетов в экосистемах LeoPlatform и RStreams, а также скомпрометировали блокчейн-проект Verana. По информации специалистов из компаний Socket, StepSecurity, JFrog и SafeDep, атака началась 24 июня 2026 года с компрометации аккаунта czirker, связанного с LeoPlatform. Предположительно, хакеры использовали утекшие учетные данные и сумели получить токен npm. Затем, всего за несколько секунд они загрузили с его помощью все вредоносные релизы. В итоге среди пострадавших оказались пакеты leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics и другие. Аналитики отмечают, что в отличие от ранних версий Miasma, в новой волне атак изменился способ запуска малвари: вредоносные релизы больше не используют lifecycle-хуки в package.json. Вместо этого код выполняется во время установки через файл binding.gyp. Загрузчик проверяет систему и загружает рантайм Bun (если тот отсутствует), после чего запускает стилер. Вероятно, использование Bun вместо Node.js помогает малвари оставаться незамеченной. Малварь похищает учетные данные AWS, Azure и Google Cloud, токены GitHub и npm, секреты Kubernetes, данные HashiCorp Vault и 1Password. Также вредонос собирает конфигурационные файлы IDE и ИИ-ассистентов для программирования и пытается закрепиться в системе через их хуки. При этом вредонос не активируется, если в системе обнаружена русская локаль. Для кражи секретов из CI/CD малварь создает workflow с названием Run Copilot и извлекает данные из памяти раннера GitHub Actions. Затем собранная информация шифруется и загружается в публичный GitHub-репозиторий, созданный через аккаунт жертвы. Такие репозитории имеют описание «Alright Lets See If This Works», и исследователи сообщали, что обнаружили более 500 таких совпадений. Однако после кражи данных атака не заканчивается. Используя похищенные токены, Miasma стремится опубликовать зараженные версии всех пакетов, к которым имеет доступ жертва. Это наделяет вредоноса возможностями червя, позволяет обойти двухфакторную аутентификацию npm и превращает заражение в самораспространяющуюся атаку на цепочку поставок. По информации экспертов компании StepSecurity, с этой вредоносной кампанией также может быть связана компрометация GitHub Action codfish/semantic-release-action. 24 июня 2026 года атакующие выполнили force push вредоносного коммита в репозиторий и перенаправили на него несколько версионных тегов. При запуске workflow с одним из скомпрометированных тегов вредонос выполнялся внутри раннера GitHub Actions и похищал GitHub OIDC и Personal Access Token. После этого малварь пыталась внедрить бэкдор в другие доступные репозитории. Также исследователи Socket обнаружили полезную нагрузку Miasma в архиве Go-модуля github.com/verana-labs/verana-blockchain@v0.10.1-dev.20, связанного с криптовалютным проектом Verana Blockchain. В отличие от зараженных npm-пакетов, этот образец не использовал binding.gyp, а обычная загрузка или сборка Go-модуля не запускала вредоносный код. В этом случае малварь была скрыта в конфигурационных файлах исходного репозитория, а триггером служила задача VS Code, которая срабатывала при открытии папки проекта и запускала node .claude/setup.mjs. ИБ-специалисты Microsoft, тоже изучившие эти атаки, рекомендовали считать скомпрометированными все машины разработчиков и CI-окружения, где устанавливались зараженные версии пакетов. Перед сменой учетных данных эксперты советуют удалить вредоносные пакеты из lock-файлов, внутренних зеркал, кешей сборки, контейнерных образов и раннеров.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
Просмотров: 0
Комментариев: 0:   Вчера, 10:30
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: