Miasma-mato
Jatkuva itseään replikoivan toimitusketjun Miasma-hyökkäyskampanja on laajentunut pakettirekisterien ulkopuolelle ja vaikuttaa nyt suoraan GitHubin arkistoihin. OpenSourceMalwaren havaintojen mukaan tapaus vaikutti 73 arkistoon neljässä Microsoftin GitHub-organisaatiossa: Azuressa, Azure-Samplesissa, Microsoftissa ja MicrosoftDocsissa. Tämän seurauksena GitHub rajoitti pääsyä vaarantuneisiin arkistoihin rikkomalla palveluehtojaan.
Käyttäjät, jotka yrittävät käyttää kyseisiä projekteja, mukaan lukien Azure Functions Host -säilöä, näkevät ilmoituksen, jossa ilmoitetaan, että GitHubin henkilökunta on poistanut pääsyn käytöstä ja että säilön omistajien on otettava yhteyttä GitHub-tukeen saadaksesi lisätietoja.
Kampanjan vaikutuksen alaisina ovat muun muassa:
azure-search-openai-demo-purviewtietoturva
Liittimet-NET-LSP,
Connectors-NET-SDK,
kestävä tehtävä,
durabletask-dotnet,
kestävä tehtävä-meno
durabletask-js,
durabletask-mssql
funktiot-säilö-toiminto,
kotitekoisten oluiden toiminnot,
llm-hienosäätö,
Windows-ajurin dokumentaatio
Sisällysluettelo
Kestävä tehtäväekosysteemi kärsii toisesta kompromissista
Yksi merkittävimmistä näkökohdista viimeisimmässä toiminnassa on 'durabletask'-ekosysteemin ilmeinen uudelleen vaarantuminen. TeamPCP tartutti durabletask PyPI -paketin aiemmin toukokuussa 2026 ja käytti sitä tietoja varastavan haittaohjelman levittämiseen Linux-järjestelmiin.
Kuukautta myöhemmin vaikutus näyttää paljon laajemmalta. Ensisijainen Azure/durabletask-tietovarasto on kadonnut, ja myös siihen liittyvät tietovarastot Microsoftin ekosysteemissä ovat kärsineet. Vaarantuneet projektit sisältävät .NET-, Go-, Java-, JavaScript-, MSSQL-, Netherite- ja protobuf-toteutuksia sekä Durable Functions -valvontakomponentteja.
Tietoturvatutkijat uskovat, että yhteys alkuperäisen vaarantumisen ja nykyisen poiston välillä ei todennäköisesti ole vahinko. Toistuminen viittaa siihen, että aiemman tapauksen aikana vaarantuneet tunnistetiedot eivät ehkä koskaan olleet täysin suojattuja, minkä ansiosta hyökkääjät ovat voineet saada takaisin tai säilyttää pääsyn tietoihin.
Miasma kehittyy Mini Shai-Hulud -madosta
Tutkijat arvioivat Miasman Mini Shai-Hulud -madon variantiksi, jonka TeamPCP julkaisi julkisesti toukokuun puolivälissä 2026. Siitä lähtien haittaohjelma on jatkuvasti kehittynyt ja hionut leviämistekniikoitaan tartuttaen samalla lisää paketteja ja arkistoja.
Kampanja on käyttänyt useita arkistokuvauksia luodessaan julkisia arkistoja, jotka paljastavat varastettuja salaisuuksia, mukaan lukien 'Miasma: The Spreading Blight', 'Miasma : The Spreading Blight', 'Miasma - The Spreading Blight' ja 'Hades - The End for the Damned'. Nykyisten havaintojen mukaan 13 arkistoa kantaa 'Hades'-kuvausta ja 82 arkistoa käyttää jotakin Miasmaan liittyvää nimeämismuunnelmaa.
Suorat arkistotartunnat viestivät uudesta hyökkäysstrategiasta
Merkittävässä taktiikan muutoksessa Miasman on havaittu ohittavan npm-rekisterin kokonaan. Perinteisten jakelukanavien kautta myrkyttäneiden pakettien sijaan uhkatoimijat muokkasivat suoraan GitHub-arkistoa 'icflorescu/mantine-datatable' sekä neljää siihen liittyvää projektia: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 ja mantine-contextmenu-v6.
Haitallinen commit ei tuonut mukanaan lisäriippuvuuksia, mikä vaikeutti havaitsemista. Sen sijaan hyökkääjät upottivat 4,3 megatavun hyötykuorman suorittimen, joka oli konfiguroitu suoritettavaksi automaattisesti viiden laajalti käytetyn kehittäjätyökalun kautta: Claude Code, Gemini CLI, Cursor, Visual Studio Code ja npm-testiskripti. Tartunta aktivoituu, kun kehittäjät kloonaavat tartunnan saaneen tietovaraston ja avaavat sen tekoälyavusteisessa koodausympäristössä. Tutkijat tunnistivat hyötykuorman samaksi vaiheistetuksi Bun-lataajaksi, jota aiemmin käytettiin rekisterikeskeisissä hyökkäyksissä, mutta se oli mukautettu pitkäaikaiseen säilyvyyteen lähdekooditietovarastoissa.
Luottamuksen hyödyntäminen haavoittuvuuksien sijaan
Miasma-kampanja korostaa nykyaikaisen avoimen lähdekoodin ohjelmistojen jakelun perustavanlaatuisia heikkouksia. Toisin kuin monet toimitusketjuhyökkäykset, jotka perustuvat ohjelmistovirheiden hyödyntämiseen, tämä operaatio onnistuu väärinkäyttämällä laillisia kehitys- ja julkaisumekanismeja.
Sen kyky levitä rekursiivisesti jatkokäyttäjien kautta ja vaarantaa toistuvasti uusia kohteita on tehnyt siitä yhden merkittävimmistä ja sitkeimmistä tähän mennessä havaituista ohjelmistojen toimitusketjun uhkista. Kampanjan tehokkuus perustuu sen kykyyn levitä eksponentiaalisesti ekosysteemissä ja muuttaa tartunnan saaneet käyttäjät uusiksi vaaran kohteiksi.
Taustalla oleva Shai-Hulud-metodologia ei kohdista haavoittuvuuksia alustoilla, kuten npm tai GitHub. Sen sijaan se heikentää keskeistä oletusta, että todennettujen ylläpitäjien julkaisemaan ja voimassa olevilla tunnistetiedoilla allekirjoitettuun ohjelmistoon voidaan luottaa. Vaarantamalla sekä ylläpitäjätilit että niihin liittyvät allekirjoitusavaimet hyökkääjät voivat suorittaa haitallisia julkaisutoimia, jotka vaikuttavat täysin laillisilta.
Pakettirekisterien ja arkistoalustojen näkökulmasta näitä haitallisia julkaisuja on käytännössä mahdotonta erottaa rutiininomaisista ohjelmistopäivityksistä. Tämä kyky toimia kokonaan luotettavien työnkulkujen puitteissa selittää, miksi monet perinteiset tietoturvakontrollit ovat kamppailleet kampanjan havaitsemisen ja pysäyttämisen kanssa.
