Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Miasma Malware Targets npm Packages and GitHub Actions in Supply Chain Attack

1 minute de lecture

Mis à jour :

Propagation de la menace Miasma dans les écosystèmes npm et GitHub

La campagne de cyberattaques « Miasma » (associée aux familles Mini Shai-Hulud et Hades) s’intensifie en ciblant désormais une vaste série de paquets npm (notamment liés à LeoPlatform et RStreams) ainsi que des modules Go (projet Verana Blockchain). L’objectif est de voler les identifiants des développeurs et les jetons d’accès pour infiltrer les registres, les dépôts et les workflows CI/CD.

Points clés :

  • Méthode d’infection : Utilisation d’un fichier binding.gyp pour exécuter du code malveillant lors de l’installation, ou via des configurations de projets dans des IDE/assistants IA pour le module Go.
  • Vol de données : Le malware extrait des secrets, des jetons d’identification et des données d’environnement de runner GitHub via un workflow malveillant nommé « Run Copilot ».
  • Infrastructures : Utilisation de dépôts GitHub compromis comme points de relais (« dead-drop ») pour la communication, identifiables par la description : « Alright Lets See If This Works ».
  • Évolution : Le malware adapte ses indicateurs (ex: changement de chaîne de caractère de contrôle de « IfYouInvalidateThisToken… » à « RevokeAndItGoesKaboom ») pour contourner les détections classiques.

Vulnérabilités :

  • Bien qu’aucune CVE spécifique ne soit attribuée à cette campagne, elle repose sur l’abus de fonctionnalités légitimes :
    • Abus d’exécution lors de l’installation (binding.gyp).
    • Compromission de comptes mainteneurs (vol de jetons npm).
    • Détournement de workflows GitHub Actions et exécution malveillante au sein d’environnements de CI/CD.

Recommandations :

  • Audit des dépendances : Vérifier l’intégrité des paquets npm mentionnés (liste complète incluant leo-*, rstreams-*, hexo-*, etc.) et des dépôts Go.
  • Sécurisation des workflows : Restreindre les privilèges des jetons GitHub Actions et surveiller les changements suspects dans les fichiers de configuration (.github/workflows).
  • Gestion des accès : Révoquer immédiatement les jetons npm et GitHub potentiellement compromis en cas de suspicion d’utilisation des paquets touchés.
  • Analyse du code : Être vigilant lors du clonage de dépôts tiers, notamment ceux contenant des fichiers de configuration suspects ou des scripts d’installation automatique.

Source

Vous pourriez aimer