Nieuwe malware Miasma treft software-supply chain
Er is een nieuwe, agressieve vorm van malware actief onder de naam 'Miasma'. De malware verspreidt zich in hoog tempo via zogeheten supply-chain aanvallen en richt zich specifiek op software-ontwikkelaars en IT-omgevingen. Door misbruik te maken van het vertrouwen binnen open-source ecosystemen, weet de code legitieme publicatieprocessen te infiltreren. Inmiddels melden diverse bedrijven dat zij door de malware zijn getroffen.
Miasma nestelt zich in veelgebruikte npm-packages, GitHub-repositories, ontwikkelomgevingen en CI/CD-pipelines. De besmetting vindt plaats tijdens alledaagse en ogenschijnlijk normale ontwikkelactiviteiten. Zodra een ontwikkelaar een commando zoals 'npm install' uitvoert, wordt de kwaadaardige code op de achtergrond geactiveerd en uitgevoerd binnen het bedrijfsnetwerk zo meldt cybersecurity specilaist Erik Westhovens (foto) op LinkedIn en in een artikel op amunteh.com.
Jacht op credentials en cloud keys
Wat Miasma volgens cybersecurity-experts uitzonderlijk gevaarlijk maakt, is het specifieke doel van de malware. In plaats van systemen direct te gijzelen of te vernielen, fungeert de code als een diefstalwerktuig voor hooggevoelige toegangsgegevens. Miasma scant systemen gericht af op GitHub-tokens, npm-credentials, cloud-cryptosleutels, SSH-keys, Kubernetes-configuraties en CI/CD-secrets.
Met deze buitgemaakte gegevens krijgen aanvallers langdurig toegang tot bedrijfskritische cloudomgevingen en broncode. Bovendien stelt het hen in staat om de aanvalsketen uit te breiden door namens het slachtoffer weer nieuwe, besmette updates en packages te publiceren naar andere partijen.
Alleen verwijderen is onvoldoende
Cybersecurity-ondernemer Erik Westhovens waarschuwt voor de impact van deze dreiging en benadrukt dat bedrijven hun monitoring moeten aanscherpen. Organisaties moeten extra alert zijn op verdachte of onverwachte package-updates, afwijkende GitHub Actions-workflows, onverklaarbare wijzigingen in repositories en ongebruikelijk dataverkeer binnen cloud- of ontwikkelomgevingen.
Mocht een organisatie onverhoopt besmet raken met Miasma, dan waarschuwen experts dat het louter opschonen of verwijderen van het geïnfecteerde softwarepakket absoluut onvoldoende is. Omdat de malware direct op zoek gaat naar inloggegevens, moeten alle tokens, certificaten en credentials binnen de getroffen omgeving direct grondig worden onderzocht, ingetrokken en vervangen om verdere verplaatsing van de aanvallers te stoppen.
