73 пакета запускают самовоспроизводящийся стилер, как только их открывает ИИ-агент. Атака на цепочку поставок Microsoft нацелена на учетные данные в облаке. — arstechnica.com
На прошлой неделе десятки криптографически верифицированных пакетов с открытым исходным кодом от Microsoft были скомпрометированы с целью внедрения продвинутого кода для кражи учетных данных, который активировался, когда разработчики открывали их в агентах для кодирования на базе ИИ.
В общей сложности, как сообщилинесколько исследователей, 73 пакета были помечены как вредоносные, когда автоматизированные системы на GitHub заблокировали их на платформе. Вместо того чтобы указать на их вредоносный характер — и на то, что разработчики, использовавшие ИИ-агенты для работы с ними, должны считать свои системы скомпрометированными — принадлежащий Microsoft GitHub заявил, что отключил пакеты «в связи с нарушением условий обслуживания GitHub». Далее в сообщении содержался призыв к владельцу пакета связаться с GitHub.
Разработчикам: Считайте, что произошла компрометация, и действуйте соответственно
Только в понедельник Microsoft впервые подняла вопрос о том, что пакеты могли быть заражены. В электронном письме компания заявила: «Мы временно удалили некоторые репозитории, пока расследуем потенциальный вредоносный контент».
Этот инцидент стал второй атакой на цепочку поставок за два месяца, которая затронула официальный репозиторий Microsoft. В середине мая фирма StepSecurity задокументировала компрометацию пакета durabletask от Microsoft для Python в PyPI. Этот пакет представляет собой фреймворк для создания отказоустойчивых рабочих процессов и оркестраций для автоматизации распределенных транзакций и других рабочих процессов. Он получает 400 000 загрузок в месяц.
Скомпрометированные пакеты выполняли полезную нагрузку размером 28 КБ, которая крадет учетные данные из AWS, Azure, GCP, Kubernetes, менеджеров паролей и более 90 конфигураций инструментов разработчика. Затем она распространяется по облачным инфраструктурам для заражения других машин разработчиков. Атака, которую связывают с угрожающим актором, отслеживаемым как TeamPCP, отравила пакет durabletask после компрометации учетных данных Microsoft для публикации пакета. Эта техника позволяет злоумышленникам полностью обойти конвейер сборки репозитория.
Вредоносное ПО, использованное в атаке, отслеживается как Miasma. По сути, это клон инструментария Mini Shai-Hulud от TeamPCP, который угрожающий актор недавно выложил в открытый доступ. Фирма безопасности Cloudsmith сообщила, что вредоносное ПО собирает токены учетных данных OIDC (OpenID-Connect), которые используются в SLSA (Supply-chain Levels for Software Artifacts) provenance attestation — методе предоставления криптографически подписанных гарантий целостности программного обеспечения.
Как и в случае с компрометацией durabletask от Microsoft в мае, атака на прошлой неделе использовала функциональность для кражи легитимного токена OIDC от Microsoft. Она также была использована в отдельной атаке на цепочку поставок, отравившей десятки пакетов Red Hat.
,
«Гениальность этого червя Miasma заключается в том, как он следовал законным рабочим процессам», — заявила Cloudsmith. «Он не использует никаких уязвимостей программного обеспечения в GitHub или npm. Вместо этого он использует лежащую в основе модель доверия современной инженерной экосистемы». Компания продолжила:
Компрометация учетных данных разработчиков привела к запросу легитимного токена OIDC GitHub. За этим последовала публикация вредоносной сборки с действительным SLSA provenance, что в конечном итоге привело к тому, что обычные сканеры восприняли это как обычное доверенное обновление. Крадя учетные данные легитимных сопровождающих, червь смог действовать в точности как аутентифицированный издатель.Более того, Miasma генерирует уникально зашифрованную полезную нагрузку для каждого отдельного заражения. Это означает, что традиционные IOC на основе хешей функционально бесполезны для широкого обнаружения, поскольку сигнатура файла меняется с каждой версией пакета. Эндрю Макнамара из Red Hat объяснил в специальном блоге пределы возможностей SLSA.В то время как предыдущие итерации вредоносного ПО Mini Shai-Hulud фокусировались исключительно на локальном сборе секретов, червь Miasma, по-видимому, имеет усовершенствованные сборщики данных, специально разработанные для облачных идентификаторов в GCP и Azure. Он пытается собрать все облачные идентификаторы, к которым имеют доступ зараженная машина разработчика и раннеры CI/CD, что доказывает явное намерение злоумышленников использовать доступ вне кодовой базы и напрямую в работающих облачных средах.
Функция кражи учетных данных в черве Miasma, заразившем пакеты Microsoft, активировалась, как только разработчик открывал их в ИИ-агентах, включая Claude Code, Gemini CLI, Cursor и VS Code. Последующие атаки вероятны в весьма реальном случае успешного сбора учетных данных с машин, открывших пакеты в одном из затронутых ИИ-агентов.
Учетная запись Microsoft GitHub, скомпрометированная в атаке в мае, та же самая, что была использована на прошлой неделе. Объяснение этой двойной компрометации на данный момент неизвестно. Это может означать, что Microsoft не смогла полностью сменить учетные данные для этой учетной записи. Это также может быть результатом неизвестного пакета, запущенного на машине разработчика Microsoft, который украл новые учетные данные. Microsoft пока не предоставляет подробностей.
Самовоспроизводящаяся криптографическая проверка вредоносных пакетов и способность обходить обнаружение на основе хешей затрудняют обнаружение атак. И как показывает последующая компрометация той же учетной записи Microsoft, эти взломы трудно полностью устранить. Любой, кто имел дело с любым из 73 пакетов — список здесь — должен немедленно прекратить все остальные дела и провести тщательное расследование, чтобы избежать наличия скомпрометированных учетных данных, которые могут быть использованы в будущих атаках.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Goodin