Miasma Worm
توسّعت حملة هجمات Miasma ذاتية التكاثر على سلاسل التوريد لتشمل مواقع أخرى غير سجلات الحزم، وتؤثر الآن بشكل مباشر على مستودعات GitHub. ووفقًا لنتائج OpenSourceMalware، فقد أثرت هذه الهجمات على 73 مستودعًا ضمن أربع مؤسسات تابعة لمايكروسوفت على GitHub: Azure وAzure-Samples وMicrosoft وMicrosoftDocs. ونتيجةً لذلك، قيّدت GitHub الوصول إلى المستودعات المخترقة لمخالفتها شروط الخدمة.
يتم استقبال المستخدمين الذين يحاولون الوصول إلى المشاريع المتأثرة، بما في ذلك مستودع Azure Functions Host، بإشعار يشير إلى أن موظفي GitHub قد قاموا بتعطيل الوصول وأنه يجب على مالكي المستودع الاتصال بدعم GitHub للحصول على مزيد من المعلومات.
ومن بين المستودعات المتأثرة بالحملة ما يلي:
azure-search-openai-demo-purviewdatasecurity,
موصلات الشبكة - بروتوكول LSP،
Connectors-NET-SDK,
Durabletask,
Durabletask-dotnet،
Durabletask-go,
Durabletask-js،
Durabletask-mssql
وظائف-حاوية-إجراء،
وظائف البرامج المنزلية،
ضبط دقيق لـ llm،
وثائق برامج تشغيل ويندوز
جدول المحتويات
نظام المهام الدائم يعاني من تنازل ثانٍ
من أبرز جوانب النشاط الأخير إعادة اختراق نظام "durabletask" البيئي. وكانت حزمة "durabletask" على موقع PyPI قد أصيبت سابقًا من قبل فريق TeamPCP في مايو 2026، واستُخدمت لتوزيع برمجية خبيثة لسرقة المعلومات تستهدف أنظمة لينكس.
بعد شهر، بدا التأثير أوسع بكثير. لم يقتصر الأمر على اختفاء مستودع Azure/durabletask الرئيسي، بل تأثرت أيضًا المستودعات ذات الصلة في جميع أنحاء منظومة مايكروسوفت. تشمل المشاريع المخترقة تطبيقات لـ .NET وGo وJava وJavaScript وMSSQL وNetherite وprotobuf ومكونات مراقبة Durable Functions.
يعتقد باحثو الأمن أن الصلة بين الاختراق الأصلي وعملية الإيقاف الحالية من غير المرجح أن تكون عرضية. يشير تكرار الحادثة إلى أن بيانات الاعتماد التي تم اختراقها خلال الحادثة السابقة ربما لم تكن مؤمنة بشكل كامل، مما يسمح للمهاجمين باستعادة الوصول أو الحفاظ عليه.
يتطور المياسما من دودة شاي هولود الصغيرة
يصنف الباحثون برنامج Miasma على أنه نوع مختلف من دودة Mini Shai-Hulud التي أصدرها فريق TeamPCP علنًا في منتصف مايو 2026. ومنذ ذلك الحين، تطور البرنامج الخبيث باستمرار، حيث قام بتحسين أساليب انتشاره مع إصابة حزم ومستودعات إضافية.
استخدمت الحملة العديد من أوصاف المستودعات عند إنشاء مستودعات عامة تكشف الأسرار المسروقة، بما في ذلك "الميازم: الآفة المنتشرة"، و"الميازم: الآفة المنتشرة"، و"الميازم - الآفة المنتشرة"، و"هاديس - نهاية الملعونين". وتشير الملاحظات الحالية إلى وجود 13 مستودعًا تحمل وصف "هاديس" و82 مستودعًا تستخدم أحد أشكال التسمية المتعلقة بالميازم.
تشير الإصابات المباشرة للمستودعات إلى استراتيجية هجوم جديدة
في تحول ملحوظ في التكتيكات، لوحظ أن برنامج Miasma الخبيث يتجاوز سجل npm تمامًا. فبدلاً من تسميم الحزم عبر قنوات التوزيع التقليدية، قام المهاجمون بتعديل مستودع GitHub 'icflorescu/mantine-datatable' مباشرةً، بالإضافة إلى أربعة مشاريع مرتبطة به: mantine-contextmenu و next-server-actions-parallel و mantine-datatable-v6 و mantine-contextmenu-v6.
لم يُدخل التعديل الخبيث أي تبعيات إضافية، مما صعّب اكتشافه. بدلاً من ذلك، قام المهاجمون بتضمين برنامج تشغيل حمولة بحجم 4.3 ميجابايت، مُهيأ للتنفيذ التلقائي عبر خمس أدوات تطوير شائعة الاستخدام: Claude Code، وGemini CLI، وCursor، وVisual Studio Code، وبرنامج اختبار npm النصي. يتم تفعيل الإصابة عندما يستنسخ المطورون مستودعًا مُصابًا ويفتحونه ضمن بيئة برمجة مدعومة بالذكاء الاصطناعي. حدد الباحثون الحمولة على أنها نفس مُحمّل Bun المُرحّل الذي استُخدم سابقًا في هجمات استهدفت سجل النظام، ولكن تم تعديله لضمان بقائه طويل الأمد داخل مستودعات المصدر.
استغلال الثقة بدلاً من نقاط الضعف
تسلط حملة "ميازما" الضوء على نقاط ضعف جوهرية في نموذج الثقة الذي يقوم عليه توزيع البرمجيات مفتوحة المصدر الحديثة. وعلى عكس العديد من هجمات سلسلة التوريد التي تعتمد على استغلال ثغرات البرمجيات، تنجح هذه العملية من خلال إساءة استخدام آليات التطوير والنشر المشروعة.
إن قدرة هذا البرنامج الخبيث على الانتشار المتكرر بين المستخدمين النهائيين واختراق أهداف جديدة باستمرار جعلته أحد أخطر التهديدات وأكثرها استمرارًا التي رُصدت حتى الآن في سلسلة توريد البرمجيات. وتكمن فعالية هذه الحملة في قدرتها على الانتشار بشكل متسارع في جميع أنحاء النظام البيئي، مما يحول المستخدمين المصابين إلى نقاط ضعف جديدة.
لا تستهدف منهجية شاي هولود الأساسية الثغرات الأمنية في منصات مثل npm أو GitHub، بل تقوض الافتراض الجوهري القائل بإمكانية الوثوق بالبرامج المنشورة من قِبل مطورين موثقين وموقعة ببيانات اعتماد صحيحة. فمن خلال اختراق حسابات المطورين ومفاتيح التوقيع المرتبطة بها، يستطيع المهاجمون تنفيذ أنشطة نشر خبيثة تبدو مشروعة تمامًا.
من منظور سجلات الحزم ومنصات المستودعات، يصعب التمييز بين هذه الإصدارات الخبيثة وتحديثات البرامج الروتينية. هذه القدرة على العمل ضمن سير العمل الموثوق به تفسر سبب صعوبة اكتشاف العديد من ضوابط الأمان التقليدية لهذه الحملة وإيقافها.
