Cacing Miasma
Kempen serangan rantaian bekalan replikasi kendiri Miasma yang sedang berlangsung telah berkembang melangkaui pendaftaran pakej dan kini memberi kesan langsung kepada repositori GitHub. Menurut penemuan daripada OpenSourceMalware, insiden itu menjejaskan 73 repositori merentasi empat organisasi Microsoft GitHub: Azure, Azure-Samples, Microsoft dan MicrosoftDocs. Akibatnya, GitHub menyekat akses kepada repositori yang dikompromi kerana melanggar Syarat Perkhidmatannya.
Pengguna yang cuba mengakses projek yang terjejas, termasuk repositori Azure Functions Host, akan menerima notis yang menunjukkan bahawa kakitangan GitHub telah melumpuhkan akses dan pemilik repositori mesti menghubungi Sokongan GitHub untuk mendapatkan maklumat lanjut.
Antara repositori yang terjejas oleh kempen ini ialah:
carian-azure-openai-demo-purviewdatasecurity,
Penyambung-NET-LSP,
Penyambung-NET-SDK,
tugas tahan lama,
durabletask-dotnet,
tugas tahan lama-pergi,
tugasan-tahan-js,
tugasanbertahan-mssql
fungsi-tindakan-bekas,
fungsi-homebrew,
penalaan halus llm,
Dokumen pemacu-Windows
Isi kandungan
Ekosistem Tugas Tahan Lama Mengalami Kompromi Kedua
Salah satu aspek paling penting dalam aktiviti terkini ialah kompromi semula yang jelas terhadap ekosistem 'durabletask'. Pakej PyPI durabletask sebelum ini dijangkiti oleh TeamPCP pada Mei 2026 dan digunakan untuk mengedarkan perisian hasad pencuri maklumat yang menyasarkan sistem Linux.
Sebulan kemudian, impaknya kelihatan jauh lebih luas. Bukan sahaja repositori Azure/durabletask utama telah hilang, tetapi repositori berkaitan merentasi ekosistem Microsoft juga telah terjejas. Projek yang dikompromi termasuk pelaksanaan untuk .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf dan komponen pemantauan Durable Functions.
Penyelidik keselamatan percaya bahawa hubungan antara pencerobohan asal dan penghapusan semasa tidak mungkin berlaku secara tidak sengaja. Pengulangan ini menunjukkan bahawa kelayakan yang dicerobohi semasa insiden terdahulu mungkin tidak pernah dijamin sepenuhnya, membolehkan penyerang mendapatkan semula atau mengekalkan akses.
Miasma Berevolusi daripada Cacing Mini Shai-Hulud
Penyelidik menilai Miasma sebagai varian cacing Mini Shai-Hulud yang dikeluarkan oleh TeamPCP secara terbuka pada pertengahan Mei 2026. Sejak itu, perisian hasad tersebut terus berkembang, memperhalusi teknik penyebarannya sambil menjangkiti pakej dan repositori tambahan.
Kempen ini telah menggunakan beberapa perihalan repositori semasa mencipta repositori awam yang mendedahkan rahsia yang dicuri, termasuk 'Miasma: The Spreading Blight,' 'Miasma: The Spreading Blight,' 'Miasma - The Spreading Blight,' dan 'Hades - The End for the Damned.' Pemerhatian semasa menunjukkan 13 repositori yang membawa perihalan 'Hades' dan 82 repositori menggunakan salah satu variasi penamaan berkaitan Miasma.
Jangkitan Repositori Langsung Memberi Isyarat kepada Strategi Serangan Baharu
Dalam perubahan taktik yang ketara, Miasma telah diperhatikan memintas pendaftaran npm sama sekali. Daripada meracuni pakej melalui saluran pengedaran tradisional, pelaku ancaman mengubah suai secara langsung repositori GitHub 'icflorescu/mantine-datatable' bersama-sama dengan empat projek berkaitan: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 dan mantine-contextmenu-v6.
Komit berniat jahat tidak memperkenalkan sebarang kebergantungan tambahan, menjadikan pengesanan lebih sukar. Sebaliknya, penyerang membenamkan pelari muatan 4.3 MB yang dikonfigurasikan untuk dilaksanakan secara automatik melalui lima alat pembangun yang digunakan secara meluas: Claude Code, Gemini CLI, Cursor, Visual Studio Code dan skrip ujian npm. Jangkitan diaktifkan apabila pembangun mengklon repositori yang terjejas dan membukanya dalam persekitaran pengekodan berbantukan AI. Penyelidik mengenal pasti muatan tersebut sebagai pemuat Bun berperingkat yang sama yang sebelum ini digunakan dalam serangan berfokus pendaftaran, tetapi disesuaikan untuk kegigihan jangka panjang dalam repositori sumber.
Mengeksploitasi Kepercayaan Daripada Kerentanan
Kempen Miasma mengetengahkan kelemahan asas dalam model kepercayaan yang menyokong pengedaran perisian sumber terbuka moden. Tidak seperti kebanyakan serangan rantaian bekalan yang bergantung pada mengeksploitasi kelemahan perisian, operasi ini berjaya dengan menyalahgunakan mekanisme pembangunan dan penerbitan yang sah.
Keupayaannya untuk merebak secara rekursif melalui pengguna hiliran dan berulang kali menjejaskan sasaran baharu telah menjadikannya salah satu ancaman rantaian bekalan perisian yang paling ketara dan berterusan yang diperhatikan setakat ini. Keberkesanan kempen ini berpunca daripada keupayaannya untuk merebak secara eksponen ke seluruh ekosistem, menjadikan pengguna yang dijangkiti menjadi vektor kompromi baharu.
Metodologi Shai-Hulud yang mendasari tidak menyasarkan kelemahan dalam platform seperti npm atau GitHub. Sebaliknya, ia menjejaskan andaian teras bahawa perisian yang diterbitkan oleh penyelenggara yang disahkan dan ditandatangani dengan kelayakan yang sah boleh dipercayai. Dengan menjejaskan kedua-dua akaun penyelenggara dan kunci tandatangan yang berkaitan, penyerang boleh melakukan aktiviti penerbitan berniat jahat yang kelihatan sah sepenuhnya.
Dari perspektif pendaftaran pakej dan platform repositori, keluaran berniat jahat ini hampir tidak dapat dibezakan daripada kemas kini perisian rutin. Keupayaan untuk beroperasi sepenuhnya dalam aliran kerja yang dipercayai ini menjelaskan mengapa banyak kawalan keselamatan konvensional bergelut untuk mengesan dan menghentikan kempen tersebut.
