Миазма червей
Продължаващата кампания за атака срещу самовъзпроизвеждащата се верига за доставки Miasma се разшири отвъд регистрите на пакети и сега пряко засяга хранилищата на GitHub. Според открития на OpenSourceMalware, инцидентът е засегнал 73 хранилища в четири организации на Microsoft GitHub: Azure, Azure-Samples, Microsoft и MicrosoftDocs. В резултат на това GitHub ограничи достъпа до компрометираните хранилища поради нарушаване на Условията за ползване.
Потребителите, които се опитват да получат достъп до засегнатите проекти, включително хранилището на Azure Functions Host, получават известие, че служителите на GitHub са деактивирали достъпа и че собствениците на хранилищата трябва да се свържат с поддръжката на GitHub за допълнителна информация.
Сред хранилищата, засегнати от кампанията, са:
azure-search-openai-demo-purviewdatasecurity,
Конектори-NET-LSP,
Конектори-NET-SDK,
издръжлива задача,
durabletask-dotnet,
издръжлив за работа,
durabletask-js,
durabletask-mssql
функции-контейнер-действие,
функции за домашно приготвяне,
llm-фина настройка,
Документация за драйвери за Windows
Съдържание
Екосистемата за издръжливи задачи претърпява втори компромис
Един от най-значимите аспекти на последната активност е очевидното повторно компрометиране на екосистемата „durabletask“. Пакетът durabletask PyPI беше заразен преди това от TeamPCP през май 2026 г. и използван за разпространение на зловреден софтуер за кражба на информация, насочен към Linux системи.
Месец по-късно въздействието изглежда далеч по-голямо. Не само основното хранилище Azure/durabletask изчезна, но и свързани хранилища в екосистемата на Microsoft също бяха засегнати. Компрометираните проекти включват имплементации за .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf и компонентите за мониторинг на Durable Functions.
Изследователите по сигурността смятат, че връзката между първоначалното компрометиране и настоящото премахване на уязвимостта е малко вероятно да е случайна. Повторяемостта предполага, че компрометираните по време на предишния инцидент идентификационни данни може никога да не са били напълно защитени, което е позволило на атакуващите да си възвърнат или запазят достъпа.
Миазма еволюира от мини червея Шай-Хулуд
Изследователите оценяват Miasma като вариант на червея Mini Shai-Hulud, който TeamPCP пусна публично в средата на май 2026 г. Оттогава зловредният софтуер непрекъснато се развива, усъвършенствайки техниките си за разпространение, като същевременно заразява допълнителни пакети и хранилища.
Кампанията е използвала няколко описания на хранилища при създаването на публични хранилища, които разкриват откраднати тайни, включително „Miasma: Разпространяващата се погибел“, „Miasma: Разпространяващата се погибел“, „Miasma - Разпространяващата се погибел“ и „Hades - Краят за прокълнатите“. Настоящите наблюдения показват, че 13 хранилища носят описанието „Hades“ и 82 хранилища използват една от свързаните с Miasma варианти на именуване.
Директните инфекции на хранилища сигнализират за нова стратегия за атака
В забележителна промяна в тактиката, Miasma е наблюдавана да заобикаля напълно регистъра на npm. Вместо да отравят пакети чрез традиционните канали за разпространение, злонамерените лица директно модифицираха хранилището на GitHub „icflorescu/mantine-datatable“, заедно с четири свързани проекта: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 и mantine-contextmenu-v6.
Злонамереният commit не е въвел допълнителни зависимости, което е затруднило откриването. Вместо това, атакуващите са вградили 4,3 MB payload runner, конфигуриран да се изпълнява автоматично чрез пет широко използвани инструмента за разработчици: Claude Code, Gemini CLI, Cursor, Visual Studio Code и npm test script. Инфекцията се активира, когато разработчиците клонират засегнато хранилище и го отворят в среда за кодиране, подпомагана от изкуствен интелект. Изследователите са идентифицирали payload като същия staged Bun loader, използван преди това при атаки, фокусирани върху системния регистър, но адаптиран за дългосрочно запазване в хранилищата с изходен код.
Използване на доверие, а не на уязвимости
Кампанията „Миазма“ подчертава фундаментални слабости в модела на доверие, който е в основата на съвременното разпространение на софтуер с отворен код. За разлика от много атаки срещу веригата за доставки, които разчитат на използване на софтуерни недостатъци, тази операция успява чрез злоупотреба с легитимни механизми за разработване и публикуване.
Способността му да се разпространява рекурсивно чрез потребителите надолу по веригата и многократно да компрометира нови цели го прави една от най-значимите и устойчиви заплахи за веригата за доставки на софтуер, наблюдавани до момента. Ефективността на кампанията произтича от способността ѝ да се разпространява експоненциално в цялата екосистема, превръщайки заразените потребители в нови вектори на компрометиране.
Основната методология на Shai-Hulud не е насочена към уязвимости в платформи като npm или GitHub. Вместо това, тя подкопава основното предположение, че софтуерът, публикуван от удостоверени поддържащи потребители и подписан с валидни идентификационни данни, може да бъде надежден. Чрез компрометиране както на акаунтите на поддържащите потребители, така и на свързаните с тях ключове за подписване, нападателите могат да извършват злонамерени дейности по публикуване, които изглеждат напълно легитимни.
От гледна точка на регистрите на пакети и платформите за хранилища, тези злонамерени версии са практически неразличими от рутинните софтуерни актуализации. Тази способност да работят изцяло в рамките на надеждни работни процеси обяснява защо много конвенционални контроли за сигурност са се затруднили да открият и спрат кампанията.
