Slevová nabídka pro více licencí
Databáze hrozeb Malware Miasmatický červ

Miasmatický červ

V roce Mezo v roce Malware, Červi
Přeložit do:

Probíhající kampaň útoků na dodavatelský řetězec s využitím samoreplikujících se virů Miasma se rozšířila za hranice registrů balíčků a nyní přímo ovlivňuje repozitáře GitHub. Podle zjištění společnosti OpenSourceMalware incident postihl 73 repozitářů ve čtyřech organizacích Microsoft GitHub: Azure, Azure-Samples, Microsoft a MicrosoftDocs. V důsledku toho GitHub omezil přístup k napadeným repozitářům z důvodu porušení svých Podmínek služby.

Uživatelé, kteří se pokoušejí o přístup k dotčeným projektům, včetně repozitáře Azure Functions Host, jsou uvítáni oznámením, že pracovníci GitHubu zakázali přístup a že vlastníci repozitářů musí kontaktovat podporu GitHubu, kde získají další informace.

Mezi repozitáře ovlivněné kampaní patří:

azure-search-openai-demo-purviewdatasecurity,
Konektory-NET-LSP,
Konektory-NET-SDK,
trvanlivý úkol,
durabletask-dotnet,
odolný/á/é na cesty,
durabletask-js,
durabletask-msql
akce-kontejneru-funkcí,
funkce pro domácí vaření,
jemné doladění llm,
Dokumentace k ovladačům pro Windows

Ekosystém odolných úkolů trpí druhým kompromisem

Jedním z nejvýznamnějších aspektů nejnovější aktivity je zjevné opětovné narušení ekosystému „durabletask“. Balíček durabletask PyPI byl dříve infikován virem TeamPCP v květnu 2026 a použit k distribuci malwaru kradoucího informace, který cílil na linuxové systémy.

O měsíc později se dopad jeví mnohem širší. Nejenže zmizel primární repozitář Azure/durabletask, ale ovlivněny byly i související repozitáře v ekosystému Microsoftu. Mezi napadené projekty patří implementace pro .NET, Go, Javu, JavaScript, MSSQL, Netherite, protobuf a monitorovací komponenty Durable Functions.

Bezpečnostní experti se domnívají, že souvislost mezi původním narušením bezpečnosti a současným zastavením útoku pravděpodobně není náhodná. Opakování incidentu naznačuje, že přihlašovací údaje ohrožené během předchozího incidentu nemusely být nikdy plně zabezpečeny, což útočníkům umožnilo znovu získat nebo si udržet přístup.

Miasma se vyvíjí z miniaturního červa Shai-Hulud

Výzkumníci hodnotí Miasmu jako variantu červa Mini Shai-Hulud, kterého TeamPCP veřejně zveřejnil v polovině května 2026. Od té doby se malware neustále vyvíjí, zdokonaluje své techniky šíření a zároveň infikuje další balíčky a repozitáře.

Kampaň při vytváření veřejných repozitářů, které odhalují ukradená tajemství, použila několik popisů repozitářů, včetně „Miasma: Šířící se nákaza“, „Miasma: Šířící se nákaza“, „Miasma - Šířící se nákaza“ a „Hades - Konec zatracených“. Současná pozorování naznačují, že 13 repozitářů nese popis „Hades“ a 82 repozitářů používá jednu z variant pojmenování souvisejících s Miasmou.

Přímé infekce repozitářů signalizují novou strategii útoku

V rámci pozoruhodné změny taktiky bylo pozorováno, že Miasma zcela obchází registr npm. Místo otravování balíčků prostřednictvím tradičních distribučních kanálů útočníci přímo upravili repozitář GitHub s názvem „icflorescu/mantine-datatable“ spolu se čtyřmi souvisejícími projekty: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 a mantine-contextmenu-v6.

Škodlivý commit nezavedl žádné další závislosti, což ztěžovalo detekci. Místo toho útočníci vložili 4,3 MB velký běhový program nakonfigurovaný pro automatické spouštění prostřednictvím pěti široce používaných vývojářských nástrojů: Claude Code, Gemini CLI, Cursor, Visual Studio Code a testovacího skriptu npm. Infekce se aktivuje, když vývojáři naklonují postižený repozitář a otevřou ho v kódovacím prostředí s podporou umělé inteligence. Výzkumníci identifikovali datový program jako stejný zavaděč Bun, který byl dříve používán při útocích zaměřených na registr, ale byl upraven pro dlouhodobou perzistenci v rámci zdrojového repozitáře.

Zneužívání důvěry spíše než zranitelností

Kampaň Miasma zdůrazňuje zásadní slabiny modelu důvěry, který je základem moderní distribuce softwaru s otevřeným zdrojovým kódem. Na rozdíl od mnoha útoků v dodavatelském řetězci, které se spoléhají na zneužívání softwarových chyb, tato operace uspěje díky zneužívání legitimních mechanismů vývoje a publikování.

Jeho schopnost rekurzivně se šířit prostřednictvím následných uživatelů a opakovaně ohrožovat nové cíle z něj učinila jednu z nejvýznamnějších a nejtrvalejších hrozeb pro dodavatelský řetězec softwaru, které byly dosud pozorovány. Účinnost kampaně pramení z její schopnosti exponenciálně se šířit v celém ekosystému a měnit infikované uživatele v nové vektory ohrožení.

Základní metodologie Shai-Hulud se nezaměřuje na zranitelnosti v platformách, jako je npm nebo GitHub. Místo toho podkopává základní předpoklad, že softwaru publikovanému ověřenými správci a podepsanému platnými přihlašovacími údaji lze důvěřovat. Narušením účtů správců i s nimi spojených podpisových klíčů mohou útočníci provádět škodlivé publikační aktivity, které se zdají být zcela legitimní.

Z pohledu registrů balíčků a platforem repozitářů jsou tyto škodlivé verze prakticky nerozeznatelné od běžných aktualizací softwaru. Tato schopnost fungovat výhradně v rámci důvěryhodných pracovních postupů vysvětluje, proč mnoho konvenčních bezpečnostních kontrol mělo potíže s detekcí a zastavením této kampaně.

Trendy

Chyba ověření e-mailu – podvod s e-mailem

Phishing, Spam
E-mailový podvod s názvem „Chyba ověření e-mailu“ je phishingová kampaň, která se maskuje jako automatické oznámení od služby hostingu e-mailů. Podvodná zpráva tvrdí, že několik příchozích e-mailů bylo zablokováno kvůli problému s ověřováním e-mailů a jsou uloženy v karanténě. Prezentací zdánlivě technického problému ovlivňujícího doručování e-mailů se podvodníci snaží přimět příjemce k...

Nejvíce shlédnuto

Načítání...