Miasma uss
Käimasolev Miasma ennastpaljundav tarneahela rünnakukampaania on laienenud paketiregistritest kaugemale ja mõjutab nüüd otseselt GitHubi repositooriume. OpenSourceMalware'i leidude kohaselt mõjutas intsident 73 repositooriumi neljas Microsofti GitHubi organisatsioonis: Azure, Azure-Samples, Microsoft ja MicrosoftDocs. Selle tulemusel piiras GitHub juurdepääsu ohustatud repositooriumidele oma teenusetingimuste rikkumise tõttu.
Kasutajad, kes üritavad juurdepääsu mõjutatud projektidele, sealhulgas Azure Functions Host repositooriumile, saavad teate, mis näitab, et GitHubi töötajad on juurdepääsu keelanud ja repositooriumi omanikud peavad lisateabe saamiseks võtma ühendust GitHubi toega.
Kampaaniast mõjutatud hoidlate hulgas on:
azure-search-openai-demo-purviewandmesecurity
Pistikud-NET-LSP,
Pistikud-NET-SDK,
vastupidav ülesanne,
vastupidavast ülesandest koosnev punktvõrk,
vastupidav ülesanne-minek
durabletask-js,
durabletask-mssql
funktsioonid-konteiner-toiming,
kodupruulimise funktsioonid,
llm-peenhäälestamine,
Windowsi draiveri dokumentatsioon
Sisukord
Vastupidav ülesannete ökosüsteem kannatab teise kompromissi all
Üks olulisemaid aspekte viimases tegevuses on „durabletask” ökosüsteemi ilmne taaskompromiteerimine. Durabletask PyPI pakett nakatati varem TeamPCP poolt 2026. aasta mais ja seda kasutati Linuxi süsteemidele suunatud teabe varastava pahavara levitamiseks.
Kuu aega hiljem tundub mõju palju laiem. Lisaks esmasele Azure/durabletask repositooriumile on kadunud ka kõik sellega seotud repositooriumid kogu Microsofti ökosüsteemis. Ohustatud projektide hulka kuuluvad .NET, Go, Java, JavaScripti, MSSQL, Netherite, protobuf ja Durable Functionsi jälgimiskomponentide implementatsioonid.
Turvauurijad usuvad, et seos algse ohustamise ja praeguse eemaldamise vahel ei ole tõenäoliselt juhuslik. See kordumine viitab sellele, et varasema intsidendi ajal ohtu sattunud volitusi ei pruukinud kunagi täielikult kaitsta, mis võimaldas ründajatel juurdepääsu taastada või säilitada.
Miasma areneb Mini Shai-Hulud ussist
Teadlased hindavad Miasmat Mini Shai-Hulud ussi variandiks, mille TeamPCP avalikustas 2026. aasta mai keskel. Sellest ajast alates on pahavara pidevalt arenenud, täiustades oma levimistehnikaid, nakatades samal ajal täiendavaid pakette ja repositooriume.
Kampaania on varastatud saladusi paljastavate avalike hoidlate loomisel kasutanud mitmeid hoidla kirjeldusi, sealhulgas „Miasma: The Spreading Blight”, „Miasma: The Spreading Blight”, „Miasma - The Spreading Blight” ja „Hades - The End for the Damned”. Praegused vaatlused näitavad 13 hoidlat, mis kannavad kirjeldust „Hades”, ja 82 hoidlat, mis kasutavad ühte Miasmaga seotud nimetamise variatsiooni.
Otsesed repositooriumi nakkused viitavad uuele rünnakustrateegiale
Märkimisväärse taktikalise muutusena on täheldatud, et Miasma on npm-registrist täielikult mööda hiilinud. Traditsiooniliste levituskanalite kaudu pakettide mürgitamise asemel muutsid ohutegelased otse GitHubi repositooriumi 'icflorescu/mantine-datatable' koos nelja seotud projektiga: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 ja mantine-contextmenu-v6.
Pahatahtlik muudatus ei toonud kaasa täiendavaid sõltuvusi, mis muutis tuvastamise raskemaks. Selle asemel manustasid ründajad 4,3 MB suuruse kasuliku koormuse käivitaja, mis on konfigureeritud automaatselt käivituma viie laialdaselt kasutatava arendustööriista kaudu: Claude Code, Gemini CLI, Cursor, Visual Studio Code ja npm testskript. Nakkus aktiveerub siis, kui arendajad kloonivad nakatunud repositooriumi ja avavad selle tehisintellekti abil loodud kodeerimiskeskkonnas. Teadlased tuvastasid kasuliku koormuse sama etapiviisilise Bun-laadurina, mida varem kasutati registripõhistes rünnakutes, kuid mis on kohandatud pikaajaliseks püsimiseks lähtekoodi repositooriumides.
Usalduse ärakasutamine haavatavuste asemel
Miasma kampaania toob esile tänapäevase avatud lähtekoodiga tarkvara levitamise aluseks oleva usaldusmudeli põhimõttelised nõrkused. Erinevalt paljudest tarneahela rünnakutest, mis tuginevad tarkvaravigade ärakasutamisele, õnnestub see operatsioon seaduslike arendus- ja avaldamismehhanismide kuritarvitamise teel.
Selle võime levida rekursiivselt allkasutajate kaudu ja korduvalt uusi sihtmärke ohtu seada on teinud sellest ühe olulisema ja püsivaima tarkvara tarneahela ohu, mida seni on täheldatud. Kampaania tõhusus tuleneb selle võimest levida eksponentsiaalselt kogu ökosüsteemis, muutes nakatunud kasutajad uuteks ohtude vektoriteks.
Selle aluseks olev Shai-Huludi metoodika ei ole suunatud selliste platvormide nagu npm või GitHub haavatavustele. Selle asemel õõnestab see põhieeldust, et autentitud hooldajate avaldatud ja kehtivate volitustega allkirjastatud tarkvara on usaldusväärne. Nii hooldajate kontosid kui ka nendega seotud allkirjastamisvõtmeid kahjustades saavad ründajad teostada pahatahtlikke avaldamistegevusi, mis tunduvad täiesti legitiimsed.
Pakettregistrite ja hoidlaplatvormide vaatenurgast on need pahatahtlikud versioonid praktiliselt eristamatud tavapärastest tarkvarauuendustest. See võime toimida täielikult usaldusväärsete töövoogude raames selgitab, miks paljudel tavapärastel turvakontrollidel on olnud raskusi kampaania avastamisel ja peatamisel.
