Miasma Σκουλήκι
Η συνεχιζόμενη εκστρατεία επίθεσης αυτοαναπαραγόμενης αλυσίδας εφοδιασμού Miasma έχει επεκταθεί πέρα από τα μητρώα πακέτων και πλέον επηρεάζει άμεσα τα αποθετήρια GitHub. Σύμφωνα με ευρήματα από το OpenSourceMalware, το περιστατικό επηρέασε 73 αποθετήρια σε τέσσερις οργανισμούς Microsoft GitHub: Azure, Azure-Samples, Microsoft και MicrosoftDocs. Ως αποτέλεσμα, το GitHub περιόρισε την πρόσβαση στα παραβιασμένα αποθετήρια λόγω παραβίασης των Όρων Παροχής Υπηρεσιών του.
Οι χρήστες που επιχειρούν πρόσβαση σε επηρεαζόμενα έργα, συμπεριλαμβανομένου του αποθετηρίου Azure Functions Host, λαμβάνουν μια ειδοποίηση που υποδεικνύει ότι το προσωπικό του GitHub έχει απενεργοποιήσει την πρόσβαση και ότι οι κάτοχοι των αποθετηρίων πρέπει να επικοινωνήσουν με την Υποστήριξη GitHub για περισσότερες πληροφορίες.
Μεταξύ των αποθετηρίων που επηρεάστηκαν από την καμπάνια είναι:
azure-search-openai-demo-purviewdatasecurity,
Συνδέσεις-NET-LSP,
Συνδέσεις-NET-SDK,
ανθεκτικό έργο,
durabletask-dotnet,
ανθεκτικό,
durabletask-js,
durabletask-mssql
συναρτήσεις-περιέκτη-ενέργεια,
λειτουργίες οικιακής ζυθοποίησης,
llm-fine-tuning,
Έγγραφα-οδηγού-των-Windows
Πίνακας περιεχομένων
Το οικοσύστημα ανθεκτικών εργασιών υφίσταται μια δεύτερη παραβίαση
Μία από τις πιο σημαντικές πτυχές της τελευταίας δραστηριότητας είναι η εμφανής εκ νέου παραβίαση του οικοσυστήματος «durabletask». Το πακέτο durabletask PyPI είχε μολυνθεί προηγουμένως από το TeamPCP τον Μάιο του 2026 και χρησιμοποιήθηκε για τη διανομή ενός κακόβουλου λογισμικού που κλέβει πληροφορίες και στοχεύει συστήματα Linux.
Ένα μήνα αργότερα, ο αντίκτυπος φαίνεται πολύ ευρύτερος. Όχι μόνο έχει εξαφανιστεί το κύριο αποθετήριο Azure/durabletask, αλλά έχουν επηρεαστεί και σχετικά αποθετήρια σε όλο το οικοσύστημα της Microsoft. Τα παραβιασμένα έργα περιλαμβάνουν υλοποιήσεις για .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf και τα στοιχεία παρακολούθησης Durable Functions.
Οι ερευνητές ασφαλείας πιστεύουν ότι η σύνδεση μεταξύ της αρχικής παραβίασης και της τρέχουσας κατάργησης είναι απίθανο να είναι τυχαία. Η επανάληψη υποδηλώνει ότι τα διαπιστευτήρια που παραβιάστηκαν κατά τη διάρκεια του προηγούμενου περιστατικού ενδέχεται να μην είχαν ποτέ ασφαλιστεί πλήρως, επιτρέποντας στους εισβολείς να ανακτήσουν ή να διατηρήσουν την πρόσβαση.
Το Μίασμα Εξελίσσεται από το Μίνι Σκουλήκι Shai-Hulud
Οι ερευνητές αξιολογούν το Miasma ως μια παραλλαγή του ιού τύπου worm Mini Shai-Hulud που κυκλοφόρησε δημόσια η TeamPCP στα μέσα Μαΐου 2026. Έκτοτε, το κακόβουλο λογισμικό εξελίσσεται συνεχώς, βελτιώνοντας τις τεχνικές διάδοσής του, ενώ παράλληλα μολύνει πρόσθετα πακέτα και αποθετήρια.
Η καμπάνια έχει χρησιμοποιήσει αρκετές περιγραφές αποθετηρίων κατά τη δημιουργία δημόσιων αποθετηρίων που εκθέτουν κλεμμένα μυστικά, συμπεριλαμβανομένων των «Miasma: The Spreading Blight», «Miasma: The Spreading Blight», «Miasma - The Spreading Blight» και «Hades - The End for the Damned». Οι τρέχουσες παρατηρήσεις δείχνουν 13 αποθετήρια που φέρουν την περιγραφή «Hades» και 82 αποθετήρια που χρησιμοποιούν μία από τις παραλλαγές ονομασίας που σχετίζονται με το Miasma.
Οι άμεσες μολύνσεις από αποθετήρια σηματοδοτούν μια νέα στρατηγική επίθεσης
Σε μια αξιοσημείωτη αλλαγή τακτικής, έχει παρατηρηθεί ότι το Miasma παρακάμπτει εντελώς το μητρώο npm. Αντί να δηλητηριάζουν πακέτα μέσω των παραδοσιακών καναλιών διανομής, οι απειλητικοί παράγοντες τροποποίησαν απευθείας το αποθετήριο GitHub 'icflorescu/mantine-datatable' μαζί με τέσσερα σχετικά έργα: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 και mantine-contextmenu-v6.
Η κακόβουλη δέσμευση δεν εισήγαγε πρόσθετες εξαρτήσεις, καθιστώντας την ανίχνευση πιο δύσκολη. Αντ' αυτού, οι εισβολείς ενσωμάτωσαν έναν εκτελεστή ωφέλιμου φορτίου 4,3 MB που είχε ρυθμιστεί να εκτελείται αυτόματα μέσω πέντε ευρέως χρησιμοποιούμενων εργαλείων προγραμματιστών: Claude Code, Gemini CLI, Cursor, Visual Studio Code και το σενάριο δοκιμής npm. Η μόλυνση ενεργοποιείται όταν οι προγραμματιστές κλωνοποιούν ένα επηρεασμένο αποθετήριο και το ανοίγουν σε ένα περιβάλλον κωδικοποίησης με υποβοήθηση τεχνητής νοημοσύνης. Οι ερευνητές αναγνώρισαν το ωφέλιμο φορτίο ως το ίδιο σταδιακό φορτωτή Bun που χρησιμοποιήθηκε προηγουμένως σε επιθέσεις που επικεντρώνονται στο μητρώο, αλλά προσαρμοσμένο για μακροπρόθεσμη παραμονή εντός των αποθετηρίων πηγαίου κώδικα.
Εκμετάλλευση της εμπιστοσύνης αντί των ευπαθειών
Η καμπάνια Miasma αναδεικνύει θεμελιώδεις αδυναμίες στο μοντέλο εμπιστοσύνης που διέπει τη σύγχρονη διανομή λογισμικού ανοιχτού κώδικα. Σε αντίθεση με πολλές επιθέσεις στην εφοδιαστική αλυσίδα που βασίζονται στην εκμετάλλευση ελαττωμάτων λογισμικού, αυτή η επιχείρηση επιτυγχάνει κάνοντας κατάχρηση νόμιμων μηχανισμών ανάπτυξης και δημοσίευσης.
Η ικανότητά της να εξαπλώνεται αναδρομικά μέσω των μεταγενέστερων χρηστών και να θέτει επανειλημμένα σε κίνδυνο νέους στόχους την έχει καταστήσει μία από τις σημαντικότερες και πιο επίμονες απειλές στην αλυσίδα εφοδιασμού λογισμικού που έχουν παρατηρηθεί μέχρι σήμερα. Η αποτελεσματικότητα της καμπάνιας πηγάζει από την ικανότητά της να εξαπλώνεται εκθετικά σε όλο το οικοσύστημα, μετατρέποντας τους μολυσμένους χρήστες σε νέους φορείς παραβίασης.
Η υποκείμενη μεθοδολογία Shai-Hulud δεν στοχεύει σε ευπάθειες σε πλατφόρμες όπως το npm ή το GitHub. Αντίθετα, υπονομεύει τη βασική υπόθεση ότι το λογισμικό που δημοσιεύεται από πιστοποιημένους συντηρητές και υπογράφεται με έγκυρα διαπιστευτήρια μπορεί να είναι αξιόπιστο. Παραβιάζοντας τόσο τους λογαριασμούς των συντηρητών όσο και τα σχετικά κλειδιά υπογραφής τους, οι εισβολείς μπορούν να εκτελέσουν κακόβουλες δραστηριότητες δημοσίευσης που φαίνονται απολύτως νόμιμες.
Από την οπτική γωνία των μητρώων πακέτων και των πλατφορμών αποθετηρίων, αυτές οι κακόβουλες κυκλοφορίες είναι ουσιαστικά αδιακρίτως διακριτές από τις συνήθεις ενημερώσεις λογισμικού. Αυτή η δυνατότητα λειτουργίας εξ ολοκλήρου εντός αξιόπιστων ροών εργασίας εξηγεί γιατί πολλά συμβατικά στοιχεία ελέγχου ασφαλείας δυσκολεύονται να εντοπίσουν και να σταματήσουν την καμπάνια.
