Cuc Miasma
La campanya d'atac autoreplicant de la cadena de subministrament Miasma s'ha estès més enllà dels registres de paquets i ara està afectant directament els repositoris de GitHub. Segons les conclusions d'OpenSourceMalware, l'incident va afectar 73 repositoris de quatre organitzacions de Microsoft GitHub: Azure, Azure-Samples, Microsoft i MicrosoftDocs. Com a resultat, GitHub va restringir l'accés als repositoris compromesos per violar els seus Termes de servei.
Els usuaris que intenten accedir als projectes afectats, inclòs el repositori de l'amfitrió de les funcions d'Azure, reben un avís que indica que el personal de GitHub ha desactivat l'accés i que els propietaris del repositori han de contactar amb el suport tècnic de GitHub per obtenir més informació.
Entre els repositoris afectats per la campanya hi ha:
azure-search-openai-demo-purviewdatasecurity,
Connectors-NET-LSP,
SDK de Connectors-NET,
tasca duradora,
durabletask-dotnet,
tasca duradora-go,
durabletask-js,
durabletask-mssql
funcions-acció-contenidor,
funcions homebrew,
ajust fi de llm,
Documentació dels controladors de Windows
Taula de continguts
L’ecosistema de tasques duradores pateix un segon compromís
Un dels aspectes més significatius de l'última activitat és l'aparent compromís de l'ecosistema "durabletask". El paquet PyPI durabletask va ser infectat prèviament per TeamPCP el maig de 2026 i utilitzat per distribuir un programari maliciós que robava informació dirigit a sistemes Linux.
Un mes després, l'impacte sembla molt més ampli. No només ha desaparegut el repositori principal d'Azure/durabletask, sinó que també s'han vist afectats els repositoris relacionats de l'ecosistema de Microsoft. Els projectes compromesos inclouen implementacions per a .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf i els components de supervisió de Durable Functions.
Els investigadors de seguretat creuen que és poc probable que la connexió entre el compromís original i l'actual supressió sigui accidental. La recurrència suggereix que les credencials compromeses durant l'incident anterior poden no haver estat mai completament protegides, cosa que permet als atacants recuperar o mantenir l'accés.
El miasma evoluciona del mini cuc Shai-Hulud
Els investigadors avaluen Miasma com una variant del cuc Mini Shai-Hulud que TeamPCP va publicar a mitjans de maig de 2026. Des de llavors, el programari maliciós ha evolucionat contínuament, refinant les seves tècniques de propagació mentre infectava paquets i repositoris addicionals.
La campanya ha utilitzat diverses descripcions de repositoris en crear repositoris públics que exposen secrets robats, com ara "Miasma: The Spreading Blight", "Miasma: The Spreading Blight", "Miasma - The Spreading Blight" i "Hades - The End for the Damned". Les observacions actuals indiquen 13 repositoris amb la descripció "Hades" i 82 repositoris que utilitzen una de les variacions de noms relacionades amb Miasma.
Les infeccions directes de repositoris indiquen una nova estratègia d’atac
En un canvi notable de tàctica, s'ha observat que Miasma ignora completament el registre npm. En lloc d'enverinar paquets a través dels canals de distribució tradicionals, els actors d'amenaces van modificar directament el repositori de GitHub 'icflorescu/mantine-datatable' juntament amb quatre projectes associats: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 i mantine-contextmenu-v6.
El commit maliciós no va introduir dependències addicionals, cosa que va dificultar la detecció. En canvi, els atacants van integrar un executor de càrrega útil de 4,3 MB configurat per executar-se automàticament a través de cinc eines de desenvolupament àmpliament utilitzades: Claude Code, Gemini CLI, Cursor, Visual Studio Code i l'script de prova npm. La infecció s'activa quan els desenvolupadors clonen un repositori afectat i l'obren dins d'un entorn de codificació assistit per IA. Els investigadors van identificar la càrrega útil com el mateix carregador Bun per etapes que s'utilitzava anteriorment en atacs centrats en el registre, però adaptat per a la persistència a llarg termini dins dels repositoris font.
Explotant la confiança en lloc de les vulnerabilitats
La campanya Miasma destaca debilitats fonamentals en el model de confiança que sustenta la distribució moderna de programari de codi obert. A diferència de molts atacs a la cadena de subministrament que es basen en l'explotació de defectes de programari, aquesta operació té èxit abusant dels mecanismes legítims de desenvolupament i publicació.
La seva capacitat de propagar-se recursivament a través d'usuaris descendents i comprometre repetidament nous objectius l'ha convertit en una de les amenaces de la cadena de subministrament de programari més significatives i persistents observades fins ara. L'eficàcia de la campanya prové de la seva capacitat de propagar-se exponencialment per tot l'ecosistema, convertint els usuaris infectats en nous vectors de compromís.
La metodologia subjacent de Shai-Hulud no té com a objectiu vulnerabilitats en plataformes com ara npm o GitHub. En canvi, soscava la suposició bàsica que es pot confiar en el programari publicat per mantenidors autenticats i signat amb credencials vàlides. En comprometre tant els comptes de mantenidor com les seves claus de signatura associades, els atacants poden dur a terme activitats de publicació malicioses que semblen completament legítimes.
Des de la perspectiva dels registres de paquets i les plataformes de repositoris, aquestes versions malicioses són pràcticament indistingibles de les actualitzacions de programari rutinàries. Aquesta capacitat d'operar completament dins de fluxos de treball de confiança explica per què molts controls de seguretat convencionals han tingut dificultats per detectar i aturar la campanya.
