이전에 NPM 생태계 공급망 공격에 중점을 두었던 해커 조직인 TeamPCP는 Mini Shai-Hulud(Mini Sandworm) 웜을 오픈 소스로 공개했습니다. 이 유형의 웜은 자가 복제 특성을 가지고 있습니다. 개발 환경에서 민감한 자격 증명을 훔치는 데 성공한 후 자격 증명을 직접 호출하여 원격 리소스에 연결하고 계속해서 감염 및 확산됩니다. 처음에 Mini Shai-Hulud는 주로 NPM 생태계를 목표로 삼았습니다.
이제 Miasma 웜의 변종 버전도 오픈 소스로 출시되었습니다.
Miasma는 Mini Sandworm을 기반으로 한 웜의 변종 버전입니다. 이 웜은 주로 NPM 생태계와 GitHub를 표적으로 하는 공급망 공격을 실행하는 데에도 사용됩니다. 핵심 동작에는 설치 후 로컬 및 클라우드 환경을 자동으로 검색하고 AWS, GCP, Azure, GitHub 토큰, SSH 키, NPM 토큰, PyPI 토큰 등과 같은 다양한 민감한 자격 증명을 도용하는 것이 포함됩니다.
자격 증명을 성공적으로 훔친 후 Miasma는 이러한 자격 증명을 따라 계속 감염되고 역방향으로 확산됩니다. 예를 들어 개발자의 NPM 자격 증명을 훔친 후 해당 자격 증명을 사용하여 웜 자체를 포함하는 소프트웨어 패키지를 게시합니다. 다운스트림 소프트웨어가 이러한 바이러스 운반 소프트웨어 패키지를 설치하면 계속해서 웜을 활성화하고 자격 증명을 도용하고 확산시킵니다. 이 웜의 무서운 점은 자가복제 능력이 매우 강해 감염 고리를 완전히 차단하기 어렵다는 점이다.
GitHub에서는 Yang Anyong이라는 개발자가 자신의 개인 계정에 Miasma 웜을 오픈소스로 공개했으며 이는 TeamPCP의 오픈소스 정신을 모방하기 위한 것이라고 말했습니다. 웨어하우스 코드는 다른 해커들이 코드를 다운로드해 직접 사용할 수 있도록 MIT 라이선스로 라이선스됐다. 그러나 창고는 곧 삭제되었고 전체 개발자 계정이 금지되었습니다. 이는 분명히 GitHub에서 수행한 작업이었습니다.
물론 이 개발자 계정을 탈취해 웜을 오픈소스로 퍼블리시하는데 이용됐을 가능성이 높다. 결국 이 개발자는 매우 활동적이며 그의 홈페이지에 개인 웹사이트가 등록되어 있습니다. 이것은 일종의 아첨입니다. 결국 웜이 실제로 오픈 소스라면 실제 계정을 사용하여 게시하는 대신 작은 계정을 등록해야 합니다.