Miasma féreg
A folyamatban lévő, önmagát replikáló ellátási lánc elleni támadási kampány a Miasma csomagnyilvántartásokon túlra is kiterjedt, és most közvetlenül a GitHub adattárakat is érinti. Az OpenSourceMalware megállapításai szerint az incidens 73 adattárat érintett négy Microsoft GitHub szervezetben: Azure, Azure-Samples, Microsoft és MicrosoftDocs. Ennek eredményeként a GitHub korlátozta a feltört adattárakhoz való hozzáférést a Szolgáltatási Feltételek megsértése miatt.
Az érintett projektekhez, beleértve az Azure Functions Host adattárat is, hozzáférni próbáló felhasználók egy értesítést kapnak, amely jelzi, hogy a GitHub munkatársai letiltották a hozzáférést, és hogy az adattár tulajdonosainak további információkért fel kell venniük a kapcsolatot a GitHub támogatásával.
A kampány által érintett adattárak között szerepelnek:
azure-search-openai-demo-purviewadatbiztonság,
Csatlakozók-NET-LSP,
Csatlakozók-NET-SDK,
tartós feladat,
durabletask-dotnet,
tartós feladat-lépés,
durabletask-js,
durabletask-mssqldurabletask-msql
függvények-konténer-művelet,
házisörfőzési funkciók,
llm-finomhangolás,
Windows-illesztőprogram-dokumentációk
Tartalomjegyzék
A tartós feladat-ökoszisztéma második kompromisszumot szenved
A legutóbbi tevékenység egyik legjelentősebb aspektusa a „durabletask” ökoszisztéma látszólagos újbóli kompromittálódása. A durabletask PyPI csomagot korábban a TeamPCP fertőzte meg 2026 májusában, és egy Linux rendszereket célzó, információkat ellopó rosszindulatú program terjesztésére használták.
Egy hónappal később a hatás sokkal szélesebb körűnek tűnik. Nemcsak az elsődleges Azure/durabletask adattár tűnt el, hanem a Microsoft ökoszisztémájában található kapcsolódó adattárak is érintettek. A veszélyeztetett projektek között szerepelnek a .NET, a Go, a Java, a JavaScript, az MSSQL, a Netherite, a protobuf és a Durable Functions monitorozó komponenseinek implementációi.
Biztonsági kutatók úgy vélik, hogy az eredeti kompromittálás és a jelenlegi eltávolítás közötti kapcsolat valószínűleg nem véletlen. Az ismétlődés arra utal, hogy a korábbi incidens során feltört hitelesítő adatok soha nem lehettek teljesen biztonságosak, így a támadók visszanyerhették vagy fenntarthatták a hozzáférést.
A Miasma a Mini Shai-Hulud féregből fejlődik ki
A kutatók a Miasmát a Mini Shai-Hulud féreg egy változataként értékelik, amelyet a TeamPCP 2026 májusának közepén tett nyilvánosan közzé. Azóta a rosszindulatú program folyamatosan fejlődött, finomította terjedési technikáit, miközben további csomagokat és adattárakat fertőzött meg.
A kampány számos adattár leírást használt fel az ellopott titkokat felfedő nyilvános adattárak létrehozásakor, beleértve a „Miasma: The Spreading Blight”, a „Miasma : The Spreading Blight”, a „Miasma - The Spreading Blight” és a „Hades - The End for the Damned” leírásokat. A jelenlegi megfigyelések szerint 13 adattár hordozza a „Hadész” leírást, és 82 adattár használja a Miasmához kapcsolódó elnevezési variációk valamelyikét.
Közvetlen adattár-fertőzések új támadási stratégiát jeleznek
Egy figyelemre méltó taktikai változásként a Miasma esetében megfigyelték, hogy teljesen megkerüli az npm rendszerleíró adatbázist. A hagyományos terjesztési csatornákon keresztüli csomagmérgezés helyett a fenyegető szereplők közvetlenül módosították a GitHub „icflorescu/mantine-datatable” adattárát, valamint négy kapcsolódó projektet: a mantine-contextmenu, a next-server-actions-parallel, a mantine-datatable-v6 és a mantine-contextmenu-v6.
A rosszindulatú commit nem vezetett be további függőségeket, ami megnehezítette az észlelést. Ehelyett a támadók egy 4,3 MB-os hasznos adat futtatót ágyaztak be, amely úgy volt konfigurálva, hogy automatikusan végrehajtódjon öt széles körben használt fejlesztői eszközön keresztül: Claude Code, Gemini CLI, Cursor, Visual Studio Code és az npm tesztszkript. A fertőzés akkor aktiválódik, amikor a fejlesztők klónoznak egy érintett adattárat, és megnyitják azt egy mesterséges intelligencia által támogatott kódolási környezetben. A kutatók a hasznos adattárat ugyanazzal a szakaszos Bun betöltővel azonosították, amelyet korábban a nyilvántartás-központú támadásokban használtak, de a forráskódú adattárakon belüli hosszú távú megmaradásra adaptálva.
A bizalom kihasználása a sebezhetőségek helyett
A Miasma kampány a modern nyílt forráskódú szoftverek disztribúcióját alátámasztó bizalmi modell alapvető gyengeségeire világít rá. Sok olyan ellátási lánc elleni támadással ellentétben, amelyek szoftverhibák kihasználására épülnek, ez a művelet legitim fejlesztési és közzétételi mechanizmusok visszaélésével éri el sikerét.
Az a képessége, hogy rekurzívan terjed a későbbi felhasználókon keresztül, és ismételten új célpontokat kompromittál, a mai napig az egyik legjelentősebb és legállandóbb szoftverellátási láncot fenyegető fenyegetéssé tette. A kampány hatékonysága abból fakad, hogy exponenciálisan terjed az ökoszisztémában, a fertőzött felhasználókat új kompromittálandó vektorokká változtatva.
Az alapul szolgáló Shai-Hulud módszertan nem az olyan platformok sebezhetőségeit célozza meg, mint az npm vagy a GitHub. Ehelyett aláássa azt az alapvető feltételezést, hogy a hitelesített karbantartók által közzétett és érvényes hitelesítő adatokkal aláírt szoftverek megbízhatóak. A karbantartói fiókok és a hozzájuk tartozó aláírási kulcsok feltörésével a támadók olyan rosszindulatú közzétételi tevékenységeket végezhetnek, amelyek teljesen legitimnek tűnnek.
A csomagnyilvántartások és a tárházplatformok szempontjából ezek a rosszindulatú kiadások gyakorlatilag megkülönböztethetetlenek a szokásos szoftverfrissítésektől. Ez a képesség, hogy teljes mértékben megbízható munkafolyamatokon belül működnek, magyarázza, hogy számos hagyományos biztonsági ellenőrzés miért küzdött a kampány észlelésével és megállításával.
