Mijazma crv
Tekuća kampanja napada na samoreplicirajući lanac opskrbe Miasma proširila se izvan registara paketa i sada izravno utječe na GitHub repozitorije. Prema nalazima OpenSourceMalwarea, incident je utjecao na 73 repozitorija u četiri Microsoft GitHub organizacije: Azure, Azure-Samples, Microsoft i MicrosoftDocs. Kao rezultat toga, GitHub je ograničio pristup kompromitiranim repozitorijima zbog kršenja Uvjeta pružanja usluge.
Korisnici koji pokušavaju pristupiti pogođenim projektima, uključujući repozitorij Azure Functions Host, dočekat će se obavijest da je osoblje GitHuba onemogućilo pristup i da se vlasnici repozitorija moraju obratiti podršci GitHuba za daljnje informacije.
Među repozitorijima na koje je kampanja utjecala su:
azure-search-openai-demo-purviewdatasecurity,
Konektori-NET-LSP,
Konektori-NET-SDK,
izdržljiv zadatak,
durabletask-dotnet,
izdržljiv-za-go,
durabletask-js,
durabletask-msql
funkcije-spremnik-akcija,
funkcije za kućnu pripremu piva,
llm-fino podešavanje,
dokumentacija za upravljačke programe za Windows
Sadržaj
Ekosustav trajnih zadataka trpi drugi kompromis
Jedan od najznačajnijih aspekata najnovije aktivnosti je očito ponovno kompromitiranje ekosustava 'durabletask'. Paket durabletask PyPI prethodno je zaražen od strane TeamPCP-a u svibnju 2026. i korišten je za distribuciju zlonamjernog softvera za krađu informacija usmjerenog na Linux sustave.
Mjesec dana kasnije, utjecaj se čini daleko širim. Ne samo da je nestao primarni Azure/durabletask repozitoriji, već su pogođeni i povezani repozitoriji u Microsoftovom ekosustavu. Ugroženi projekti uključuju implementacije za .NET, Go, Javu, JavaScript, MSSQL, Netherite, protobuf i komponente za praćenje Durable Functions.
Sigurnosni istraživači vjeruju da je malo vjerojatno da je veza između izvornog kompromitiranja i trenutnog uklanjanja slučajna. Ponavljanje sugerira da vjerodajnice kompromitirane tijekom ranijeg incidenta možda nikada nisu bile u potpunosti osigurane, što je napadačima omogućilo ponovno dobivanje ili održavanje pristupa.
Miazma se razvija iz Mini Shai-Hulud crva
Istraživači procjenjuju Miasmu kao varijantu crva Mini Shai-Hulud kojeg je TeamPCP javno objavio sredinom svibnja 2026. Od tada se zlonamjerni softver kontinuirano razvijao, usavršavajući svoje tehnike širenja i istovremeno zaražavajući dodatne pakete i repozitorije.
Kampanja je koristila nekoliko opisa repozitorija prilikom stvaranja javnih repozitorija koji otkrivaju ukradene tajne, uključujući 'Miasma: Širenje pošasti', 'Miasma: Širenje pošasti', 'Miasma - Širenje pošasti' i 'Had - Kraj prokletih'. Trenutna zapažanja pokazuju da 13 repozitorija nosi opis 'Had' i 82 repozitorija koja koriste jednu od varijacija imenovanja povezanih s Miasmom.
Izravne infekcije repozitorija signaliziraju novu strategiju napada
U značajnoj promjeni taktike, uočeno je da Miasma u potpunosti zaobilazi npm registar. Umjesto da truju pakete putem tradicionalnih distribucijskih kanala, akteri prijetnji izravno su modificirali GitHub repozitorij 'icflorescu/mantine-datatable' zajedno s četiri povezana projekta: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 i mantine-contextmenu-v6.
Zlonamjerni commit nije uveo nikakve dodatne ovisnosti, što je otežalo otkrivanje. Umjesto toga, napadači su ugradili program od 4,3 MB konfiguriran za automatsko izvršavanje putem pet široko korištenih alata za razvojne programere: Claude Code, Gemini CLI, Cursor, Visual Studio Code i npm testne skripte. Infekcija se aktivira kada razvojni programeri kloniraju zaraženo spremište i otvore ga unutar okruženja za kodiranje potpomognutog umjetnom inteligencijom. Istraživači su identificirali sadržaj kao isti postupni Bun loader koji se prethodno koristio u napadima usmjerenima na registar, ali prilagođen za dugoročnu perzistenciju unutar izvornih spremišta.
Iskorištavanje povjerenja umjesto ranjivosti
Kampanja Miasma ističe temeljne slabosti u modelu povjerenja koji podupire modernu distribuciju softvera otvorenog koda. Za razliku od mnogih napada na lanac opskrbe koji se oslanjaju na iskorištavanje softverskih nedostataka, ova operacija uspijeva zlouporabom legitimnih mehanizama razvoja i objavljivanja.
Njegova sposobnost rekurzivnog širenja kroz korisnike i ponovljenog ugrožavanja novih ciljeva učinila ga je jednom od najznačajnijih i najdugovječnijih prijetnji lancu opskrbe softverom koje su do sada uočene. Učinkovitost kampanje proizlazi iz njegove sposobnosti eksponencijalnog širenja kroz ekosustav, pretvarajući zaražene korisnike u nove vektore ugrožavanja.
Temeljna Shai-Hulud metodologija ne cilja ranjivosti u platformama poput npm-a ili GitHuba. Umjesto toga, potkopava osnovnu pretpostavku da se softveru koji objavljuju autentificirani održavatelji i koji je potpisan valjanim vjerodajnicama može vjerovati. Kompromitiranjem i računa održavatelja i njihovih povezanih ključeva za potpisivanje, napadači mogu izvoditi zlonamjerne aktivnosti objavljivanja koje se čine potpuno legitimnima.
Iz perspektive registara paketa i platformi repozitorija, ova zlonamjerna izdanja praktički se ne razlikuju od rutinskih ažuriranja softvera. Ova sposobnost djelovanja u potpunosti unutar pouzdanih tijekova rada objašnjava zašto su se mnoge konvencionalne sigurnosne kontrole mučile s otkrivanjem i zaustavljanjem kampanje.
