کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی چهار بسته آلوده در فضای نام @asyncapi در مخزن npm خبر دادند که برای توزیع بدافزار چندمرحلهای Miasma مورد استفاده قرار گرفتهاند.
به گزارش کمیته رکن چهارم، به نقل از The Hacker News، پژوهشگران شرکتهای OX Security، Socket، SafeDep و StepSecurity اعلام کردند نسخههای آلوده چهار بسته AsyncAPI هنگام بارگذاری توسط Node.js، بدون نیاز به اسکریپتهای نصب، یک بارگذار مخفی را اجرا کرده و مرحله دوم بدافزار را از شبکه IPFS دانلود میکنند. این بدافزار با ایجاد پردازشی در پسزمینه، چارچوب فرماندهی Miasma را فعال کرده و امکان سرقت اطلاعات، اجرای دستورات، انتقال فایل، حرکت جانبی در شبکه و ایجاد ماندگاری روی سیستم را فراهم میکند.
بررسیها نشان میدهد Miasma از شش کانال ارتباطی مختلف برای ارتباط با سرور فرماندهی و کنترل استفاده میکند و همچنین قابلیت آلودهسازی رجیستریهای npm، PyPI و Cargo را نیز دارد. پژوهشگران تأکید کردهاند این حمله ناشی از نفوذ به خط لوله CI/CD و سوءاستفاده از فرآیند رسمی انتشار پروژه بوده و نه سرقت توکن npm.
تمام نسخههای آلوده از مخزن npm حذف شدهاند، اما کارشناسان هشدار میدهند هر سیستمی که این نسخهها را بارگذاری یا اجرا کرده است باید بهعنوان یک سیستم بالقوه آلوده بررسی شود.



