Miasma-orm
Den pågående Miasma-kampanjen mot selvreplikerende forsyningskjedeangrep har utvidet seg utover pakkeregistre og påvirker nå direkte GitHub-repositorier. Ifølge funn fra OpenSourceMalware påvirket hendelsen 73 repositorier på tvers av fire Microsoft GitHub-organisasjoner: Azure, Azure-Samples, Microsoft og MicrosoftDocs. Som et resultat begrenset GitHub tilgangen til de kompromitterte repositoriene på grunn av brudd på tjenestevilkårene.
Brukere som prøver å få tilgang til berørte prosjekter, inkludert Azure Functions Host-repositoriet, møtes med et varsel som indikerer at GitHub-ansatte har deaktivert tilgang og at repositorieeiere må kontakte GitHub-kundestøtte for ytterligere informasjon.
Blant arkivene som er berørt av kampanjen er:
azure-search-openai-demo-purviewdatasecurity,
Kontakter-NET-LSP,
Connectors-NET-SDK,
holdbar oppgave,
durabletask-dotnet,
holdbar oppgave-gå,
durabletask-js,
durabletask-mssql
funksjoner-beholder-handling,
hjemmebryggingsfunksjoner,
llm-finjustering,
Windows-driver-dokumentasjon
Innholdsfortegnelse
Et holdbart oppgaveøkosystem lider et nytt kompromiss
Et av de viktigste aspektene ved den siste aktiviteten er den tilsynelatende rekompromitteringen av «durabletask»-økosystemet. Pakken «durabletask PyPI» ble tidligere infisert av TeamPCP i mai 2026 og brukt til å distribuere informasjonsstjelende skadelig programvare rettet mot Linux-systemer.
En måned senere ser virkningen ut til å være langt større. Ikke bare har det primære Azure/durabletask-repositoriet forsvunnet, men relaterte repositorier på tvers av Microsofts økosystem har også blitt påvirket. De kompromitterte prosjektene inkluderer implementeringer for .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf og overvåkingskomponentene for Durable Functions.
Sikkerhetsforskere mener at forbindelsen mellom den opprinnelige kompromitteringen og den nåværende nedstengningen sannsynligvis ikke er tilfeldig. Gjentakelsen tyder på at legitimasjon som ble kompromittert under den tidligere hendelsen kanskje aldri ble fullstendig sikret, slik at angripere kunne få tilbake eller opprettholde tilgang.
Miasma utvikler seg fra Mini Shai-Hulud-ormen
Forskere vurderer Miasma som en variant av Mini Shai-Hulud-ormen som TeamPCP offentliggjorde i midten av mai 2026. Siden den gang har skadevaren kontinuerlig utviklet seg, forbedret spredningsteknikkene samtidig som den infiserer flere pakker og arkiver.
Kampanjen har brukt flere beskrivelser av arkiver når de oppretter offentlige arkiver som avslører stjålne hemmeligheter, inkludert «Miasma: The Spreading Blight», «Miasma : The Spreading Blight», «Miasma - The Spreading Blight» og «Hades - The End for the Damned». Nåværende observasjoner indikerer 13 arkiver som bærer «Hades»-beskrivelsen og 82 arkiver som bruker en av de Miasma-relaterte navnevariasjonene.
Direkte lagringsinfeksjoner signaliserer en ny angrepsstrategi
I et bemerkelsesverdig skifte i taktikk har Miasma blitt observert mens den omgår npm-registeret fullstendig. I stedet for å forgifte pakker gjennom tradisjonelle distribusjonskanaler, endret trusselaktører direkte GitHub-depotet «icflorescu/mantine-datatable» sammen med fire tilknyttede prosjekter: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 og mantine-contextmenu-v6.
Den ondsinnede commiten introduserte ingen ytterligere avhengigheter, noe som gjorde deteksjon vanskeligere. I stedet innebygde angriperne en 4,3 MB stor nyttelastløper konfigurert til å kjøre automatisk gjennom fem mye brukte utviklerverktøy: Claude Code, Gemini CLI, Cursor, Visual Studio Code og npm-testskriptet. Infeksjonen aktiveres når utviklere kloner et berørt arkiv og åpner det i et AI-assistert kodemiljø. Forskere identifiserte nyttelasten som den samme trinnvise Bun-lasteren som tidligere ble brukt i registerfokuserte angrep, men tilpasset for langsiktig persistens i kildearkivene.
Utnytte tillit heller enn sårbarheter
Miasma-kampanjen fremhever grunnleggende svakheter i tillitsmodellen som ligger til grunn for moderne distribusjon av åpen kildekode-programvare. I motsetning til mange angrep i forsyningskjeden som er avhengige av å utnytte programvarefeil, lykkes denne operasjonen ved å misbruke legitime utviklings- og publiseringsmekanismer.
Evnen til å spre seg rekursivt gjennom nedstrømsbrukere og gjentatte ganger kompromittere nye mål har gjort den til en av de mest betydelige og vedvarende truslene mot programvareforsyningskjeden som er observert til dags dato. Kampanjens effektivitet stammer fra dens evne til å spre seg eksponentielt gjennom hele økosystemet, og gjøre infiserte brukere til nye kompromitterende vektorer.
Den underliggende Shai-Hulud-metodikken retter seg ikke mot sårbarheter i plattformer som npm eller GitHub. I stedet undergraver den kjerneantagelsen om at programvare publisert av autentiserte vedlikeholdere og signert med gyldig legitimasjon kan stoles på. Ved å kompromittere både vedlikeholderkontoer og deres tilhørende signeringsnøkler, kan angripere utføre ondsinnede publiseringsaktiviteter som virker helt legitime.
Fra pakkeregistre og lagringsplattformers perspektiv er disse skadelige utgivelsene praktisk talt umulige å skille fra rutinemessige programvareoppdateringer. Denne evnen til å operere helt innenfor pålitelige arbeidsflyter forklarer hvorfor mange konvensjonelle sikkerhetskontroller har slitt med å oppdage og stoppe kampanjen.
