IronWorm dan Varian Miasma Worm Baru Menyerang npm dalam Serangan Rantai Pasokan

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Berbagai serangan rantai pasokan perangkat lunak telah menghantam ekosistem npm, dengan pelaku ancaman menggunakan versi lebih dari 50 paket sah yang berbahaya dan beracun untuk…

Berbagai serangan rantai pasokan perangkat lunak telah menghantam ekosistem npm, dengan pelaku ancaman menggunakan versi lebih dari 50 paket sah yang berbahaya dan beracun untuk mendistribusikan masing-masing pencuri informasi berbasis Rust dan worm yang menyebar sendiri.

Pencuri juga menggunakan kredensial yang dicuri sebagai mekanisme propagasi, sehingga mirip dengan worm Shai-Hulud yang terkenal. Malware baru ini diberi nama kode IronWorm oleh perusahaan keamanan rantai pasokan perangkat lunak. Dengan mempublikasikan dirinya ke registri npm dalam bentuk paket trojan, pendekatan ini menghasilkan serangan yang mereplikasi dirinya sendiri.

JFrog mendeskripsikan IronWorm sebagai "senjata rantai pasokan yang dibuat untuk menemukan rahasia, memodifikasi proyek, dan memasukkan kode berbahaya untuk disebarkan sendiri ke seluruh GitHub." Komitmen jahat, yang mencakup sembilan organisasi GitHub, telah diperkenalkan dengan nama penulis "claude" ("claude@users. noreply. github. com") dalam upaya untuk meniru chatbot kecerdasan buatan (AI) Anthropic.

Pengungkapan ini terjadi ketika Endor Labs dan StepSecurity menjelaskan kampanye serangan rantai pasokan yang berbeda yang telah mengkompromikan 57 paket npm di lebih dari 286 versi berbahaya untuk melayani varian baru dari worm Miasma, yang sebelumnya menginfeksi 32 paket di lebih dari 90 versi di bawah namespace npm @redhat-cloud-services dalam waktu 72 detik awal pekan ini.

OX Security telah menemukan tahapan tambahan dalam rantai serangan Miasma, termasuk pencarian komitmen GitHub yang berisi string "firedalazer" (menggantikan dead drop " FIRESCALE " yang sebelumnya ditandai) untuk mengambil muatan lain, file JavaScript ("index. js") yang berisi versi alternatif dari worm Shai-Hulud, yang secara efektif mengubah infeksi menjadi loop abadi.

"Hal ini mengubah GitHub menjadi sesuatu yang lebih berbahaya daripada dead drop. Ini adalah C2 adaptif - platform yang mendukung platform tepercaya dan masuk daftar putih secara luas, membuat deteksi tingkat jaringan hampir tidak berguna. Sebagian besar alat keamanan tidak dikonfigurasi untuk memperlakukan lalu lintas GitHub sebagai hal yang mencurigakan. Pelaku ancaman mengetahui hal ini."

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com