Miasma कृमि

मियास्मा द्वारा जारी स्व-प्रतिकृति आपूर्ति श्रृंखला हमले का अभियान अब पैकेज रजिस्ट्री से आगे बढ़कर GitHub रिपॉजिटरी को भी सीधे प्रभावित कर रहा है। ओपनसोर्समालवेयर के निष्कर्षों के अनुसार, इस घटना ने Microsoft GitHub के चार संगठनों - Azure, Azure-Samples, Microsoft और MicrosoftDocs - में फैली 73 रिपॉजिटरी को प्रभावित किया है। इसके परिणामस्वरूप, GitHub ने अपनी सेवा शर्तों का उल्लंघन करने के कारण प्रभावित रिपॉजिटरी तक पहुंच प्रतिबंधित कर दी है।

Azure Functions Host रिपॉजिटरी सहित प्रभावित प्रोजेक्ट्स तक पहुंचने का प्रयास करने वाले उपयोगकर्ताओं को एक सूचना मिलती है जिसमें बताया गया है कि GitHub स्टाफ ने पहुंच को अक्षम कर दिया है और रिपॉजिटरी मालिकों को आगे की जानकारी के लिए GitHub सपोर्ट से संपर्क करना होगा।

इस अभियान से प्रभावित होने वाले डेटाबेस में निम्नलिखित शामिल हैं:

एज़्योर-सर्च-ओपनएआई-डेमो-परव्यूडेटासिक्योरिटी,
कनेक्टर्स-नेट-एलएसपी,
कनेक्टर्स-नेट-एसडीके,
टिकाऊ कार्य,
ड्यूरेबलटास्क-डॉटनेट,
टिकाऊ कार्य-जाओ,
ड्यूरेबलटास्क-जेएस,
टिकाऊ कार्य-एमएसएसक्यूएल
फ़ंक्शन-कंटेनर-क्रिया,
होमब्रू-फ़ंक्शंस,
एलएलएम-फाइन-ट्यूनिंग,
विंडोज-ड्राइवर-दस्तावेज़

टिकाऊ कार्य पारिस्थितिकी तंत्र को दूसरी बार नुकसान उठाना पड़ा

हालिया गतिविधियों का एक सबसे महत्वपूर्ण पहलू 'ड्यूरेबलटास्क' इकोसिस्टम का स्पष्ट रूप से पुनः असुरक्षित हो जाना है। ड्यूरेबलटास्क PyPI पैकेज मई 2026 में TeamPCP द्वारा संक्रमित किया गया था और इसका उपयोग लिनक्स सिस्टम को निशाना बनाने वाले सूचना-चोरी मैलवेयर को वितरित करने के लिए किया गया था।

एक महीने बाद, इसका प्रभाव कहीं अधिक व्यापक प्रतीत होता है। न केवल प्राथमिक Azure/durabletask रिपॉजिटरी गायब हो गई है, बल्कि Microsoft के पूरे इकोसिस्टम में संबंधित रिपॉजिटरी भी प्रभावित हुई हैं। प्रभावित परियोजनाओं में .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf और Durable Functions मॉनिटरिंग कंपोनेंट्स के कार्यान्वयन शामिल हैं।

सुरक्षा शोधकर्ताओं का मानना है कि पहले हुए हमले और मौजूदा कार्रवाई के बीच का संबंध संयोगवश नहीं हो सकता। इस पुनरावृत्ति से संकेत मिलता है कि पिछली घटना के दौरान लीक हुए क्रेडेंशियल्स को पूरी तरह से सुरक्षित नहीं किया गया था, जिससे हमलावरों को पुनः प्राप्त करने या पहुंच बनाए रखने का मौका मिल गया।

मियास्मा मिनी शाई-हुलुद वर्म से विकसित होता है।

शोधकर्ताओं का मानना है कि मियास्मा, मिनी शाई-हुलुद वर्म का एक प्रकार है जिसे टीमपीसीपी ने मई 2026 के मध्य में सार्वजनिक रूप से जारी किया था। तब से, मैलवेयर लगातार विकसित हो रहा है, अपने प्रसार तकनीकों को परिष्कृत कर रहा है और साथ ही अतिरिक्त पैकेज और रिपॉजिटरी को संक्रमित कर रहा है।

इस अभियान ने चोरी किए गए रहस्यों को उजागर करने वाले सार्वजनिक रिपॉजिटरी बनाते समय कई रिपॉजिटरी विवरणों का उपयोग किया है, जिनमें 'मियास्मा: द स्प्रेडिंग ब्लाइट', 'मियास्मा : द स्प्रेडिंग ब्लाइट', 'मियास्मा - द स्प्रेडिंग ब्लाइट' और 'हेड्स - द एंड फॉर द डैम्ड' शामिल हैं। वर्तमान अवलोकन से पता चलता है कि 13 रिपॉजिटरी में 'हेड्स' विवरण है और 82 रिपॉजिटरी में मियास्मा से संबंधित नामकरण के विभिन्न रूपों का उपयोग किया गया है।

डायरेक्ट रिपॉजिटरी इन्फेक्शन्स एक नई आक्रमण रणनीति का संकेत देते हैं।

रणनीति में एक उल्लेखनीय बदलाव करते हुए, मियास्मा को एनपीएम रजिस्ट्री को पूरी तरह से दरकिनार करते हुए देखा गया है। पारंपरिक वितरण चैनलों के माध्यम से पैकेजों को दूषित करने के बजाय, हमलावरों ने सीधे GitHub रिपॉजिटरी 'icflorescu/mantine-datatable' और इससे संबंधित चार प्रोजेक्ट्स: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 और mantine-contextmenu-v6 को संशोधित किया।

इस दुर्भावनापूर्ण कमिट ने कोई अतिरिक्त निर्भरताएँ नहीं जोड़ीं, जिससे इसका पता लगाना और भी मुश्किल हो गया। इसके बजाय, हमलावरों ने 4.3 MB का एक पेलोड रनर एम्बेड किया, जिसे पाँच व्यापक रूप से उपयोग किए जाने वाले डेवलपर टूल्स - क्लाउड कोड, जेमिनी CLI, कर्सर, विजुअल स्टूडियो कोड और npm टेस्ट स्क्रिप्ट - के माध्यम से स्वचालित रूप से निष्पादित करने के लिए कॉन्फ़िगर किया गया था। यह संक्रमण तब सक्रिय होता है जब डेवलपर प्रभावित रिपॉजिटरी को क्लोन करते हैं और इसे AI-सहायता प्राप्त कोडिंग वातावरण में खोलते हैं। शोधकर्ताओं ने पेलोड की पहचान उसी स्टेज्ड बन लोडर के रूप में की है जिसका उपयोग पहले रजिस्ट्री-केंद्रित हमलों में किया गया था, लेकिन इसे स्रोत रिपॉजिटरी में लंबे समय तक बने रहने के लिए अनुकूलित किया गया था।

कमजोरियों के बजाय भरोसे का फायदा उठाना

मियास्मा अभियान आधुनिक ओपन-सोर्स सॉफ़्टवेयर वितरण के आधारभूत विश्वास मॉडल में मौजूद मूलभूत कमज़ोरियों को उजागर करता है। सॉफ़्टवेयर की खामियों का फायदा उठाने वाले कई सप्लाई चेन हमलों के विपरीत, यह ऑपरेशन वैध विकास और प्रकाशन तंत्रों का दुरुपयोग करके सफल होता है।

डाउनस्ट्रीम उपयोगकर्ताओं के माध्यम से पुनरावर्ती रूप से फैलने और बार-बार नए लक्ष्यों को प्रभावित करने की इसकी क्षमता ने इसे अब तक देखे गए सबसे महत्वपूर्ण और लगातार बने रहने वाले सॉफ़्टवेयर आपूर्ति श्रृंखला खतरों में से एक बना दिया है। इस अभियान की प्रभावशीलता इसकी पूरे पारिस्थितिकी तंत्र में तेजी से फैलने की क्षमता से उत्पन्न होती है, जिससे संक्रमित उपयोगकर्ता नए खतरे के वाहक बन जाते हैं।

शाई-हुलुद पद्धति का मूल उद्देश्य npm या GitHub जैसे प्लेटफॉर्मों में मौजूद कमियों को निशाना बनाना नहीं है। इसके बजाय, यह इस बुनियादी धारणा को ही चुनौती देती है कि प्रमाणित मेंटेनर्स द्वारा प्रकाशित और वैध क्रेडेंशियल्स से हस्ताक्षरित सॉफ़्टवेयर पर भरोसा किया जा सकता है। मेंटेनर खातों और उनसे जुड़ी हस्ताक्षर कुंजियों को हैक करके, हमलावर ऐसे दुर्भावनापूर्ण प्रकाशन कार्य कर सकते हैं जो पूरी तरह से वैध प्रतीत होते हैं।

पैकेज रजिस्ट्री और रिपॉजिटरी प्लेटफॉर्म के दृष्टिकोण से, ये दुर्भावनापूर्ण रिलीज़ नियमित सॉफ़्टवेयर अपडेट से लगभग अप्रभेद्य हैं। विश्वसनीय वर्कफ़्लो के भीतर पूरी तरह से काम करने की यह क्षमता बताती है कि क्यों कई पारंपरिक सुरक्षा नियंत्रण इस अभियान का पता लगाने और इसे रोकने में विफल रहे हैं।