Miasma Kampanyası npm Güveninin CI/CD Üzerinden Nasıl Suistimal Edilebildiğini Gösteriyor

Yeni duyurulan npm tedarik zinciri olayı, paket güveninin artık sadece paket adına veya yayıncı namespace'ine bakarak anlaşılamayacağını kanıtlıyor. Wiz Research'e göre @redhat-cloud-services npm kapsamındaki birden fazla sürüm, kaynak depolarla eşleşmeyecek şekilde değiştirilmiş. Etkilenen paketlerin geliştirici ekosisteminde yaygın kullanımı, dependency kurulumundan geliştirici cihazlarına ve CI/CD ortamlarına kadar uzanan gerçek bir risk hattı yarattı.

Miasma adıyla izlenen kampanya, kurulum esnasında preinstall davranışı üzerinden çalışan kötü niyetli JavaScript kullandı. Wiz, payload'ın yoğun şekilde obfuscate edildiğini ve Mini Shai-Hulud malware ailesiyle bağlantılı olduğunu belirtiyor. İsimlendirme ve temada kozmetik farklar olsa da temel teknik yaklaşım aynı. En dikkat çekici fark ise GCP ve Azure üzerinde erişilebilen cloud identity verilerini toplamaya odaklanması.

Paylaşılan kök neden analizine göre saldırıda ele geçirilmiş bir Red Hat çalışanına ait GitHub hesabı kullanıldı ve RedHatInsights depolarına kötü niyetli orphan commit'ler gönderildi. Bu commit'ler OIDC token isteyen minimal bir GitHub Actions workflow'u ve ardından obfuscate edilmiş bir script çalıştıran yapı içeriyordu. Bu akış, saldırganın geçerli SLSA provenance attestations ile kötü niyetli npm paketleri yayınlamasına imkan verdi; yani yayınlar basit bir sahte upload'dan daha güvenilir görünebildi.

Güvenlik ekipleri için pratik müdahale önce dependency maruziyetini görmekle başlamalı, ardından hızla credential hijyenine geçmelidir. Geliştirici cihazları, build runner'ları, GitHub aktiviteleri, workflow çalışmaları, paket sürümleri ve yeni oluşturulan repository'ler incelenmeli. Malware'in secret ve cloud identity erişimi etrafında çalıştığı düşünüldüğünde GitHub token'ları, SSH anahtarları, cloud credential'ları ve CI/CD secret'ları sadece paket temizliğiyle yetinmeden rotate edilmelidir.

Miasma'nın daha geniş dersi şu: provenance önemli bir kontrol, fakat provenance üreten workflow ele geçirildiğinde tek başına yeterli değil. Allowlist, SBOM görünürlüğü, paket doğrulama, build ortamlarında runtime monitoring ve beklenmeyen repository ya da workflow aktivitesine yönelik alarm mekanizmaları birlikte çalışmalı.