Miasmaworm
De aanhoudende Miasma-aanval op de toeleveringsketen, waarbij het virus zichzelf steeds verder verspreidt, heeft zich uitgebreid van pakketregisters naar GitHub-repositories. Volgens bevindingen van OpenSourceMalware trof het incident 73 repositories binnen vier Microsoft GitHub-organisaties: Azure, Azure-Samples, Microsoft en MicrosoftDocs. GitHub heeft daarom de toegang tot de getroffen repositories beperkt vanwege schending van de gebruiksvoorwaarden.
Gebruikers die toegang proberen te krijgen tot de getroffen projecten, waaronder de Azure Functions Host-repository, krijgen een melding te zien dat GitHub-medewerkers de toegang hebben geblokkeerd en dat eigenaren van de repository contact moeten opnemen met GitHub Support voor meer informatie.
Tot de repositories die door de campagne worden getroffen behoren:
azure-search-openai-demo-purviewdatasecurity,
Connectoren-NET-LSP,
Connectors-NET-SDK,
duurzame taak,
durabletask-dotnet,
duurzame taak-gaan,
durabletask-js,
durabletask-mssql
functies-container-actie,
homebrew-functies,
llm-fijnafstelling,
Windows-stuurprogramma-documentatie
Inhoudsopgave
Het duurzame taakecosysteem lijdt een tweede compromis.
Een van de meest significante aspecten van de recente activiteiten is de schijnbare hernieuwde inbreuk op het 'durabletask'-ecosysteem. Het durabletask PyPI-pakket werd eerder in mei 2026 geïnfecteerd door TeamPCP en gebruikt om malware te verspreiden die informatie stal en gericht was op Linux-systemen.
Een maand later blijkt de impact veel groter. Niet alleen is de primaire Azure/durabletask-repository verdwenen, maar ook gerelateerde repositories in het hele Microsoft-ecosysteem zijn getroffen. De gecompromitteerde projecten omvatten implementaties voor .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf en de Durable Functions-monitoringcomponenten.
Beveiligingsonderzoekers denken dat het verband tussen de oorspronkelijke inbreuk en de huidige uitschakeling waarschijnlijk geen toeval is. De herhaling suggereert dat de inloggegevens die tijdens het eerdere incident zijn gecompromitteerd, mogelijk nooit volledig beveiligd waren, waardoor aanvallers opnieuw toegang konden krijgen of behouden.
Miasma evolueert uit de mini Shai-Hulud-worm.
Onderzoekers beschouwen Miasma als een variant van de Mini Shai-Hulud-worm die TeamPCP medio mei 2026 openbaar maakte. Sindsdien is de malware continu geëvolueerd, waarbij de verspreidingsmethoden zijn verfijnd en steeds meer pakketten en repositories zijn geïnfecteerd.
De campagne heeft verschillende beschrijvingen gebruikt voor openbare repositories die gestolen geheimen onthullen, waaronder 'Miasma: The Spreading Blight', 'Miasma : The Spreading Blight', 'Miasma - The Spreading Blight' en 'Hades - The End for the Damned'. Uit recente waarnemingen blijkt dat 13 repositories de beschrijving 'Hades' dragen en 82 repositories een van de Miasma-gerelateerde naamvarianten gebruiken.
Directe infecties van datarepositories duiden op een nieuwe aanvalsstrategie.
In een opmerkelijke tactische wijziging is gebleken dat Miasma de npm-registry volledig omzeilt. In plaats van pakketten te besmetten via traditionele distributiekanalen, hebben de aanvallers rechtstreeks de GitHub-repository 'icflorescu/mantine-datatable' aangepast, samen met vier bijbehorende projecten: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 en mantine-contextmenu-v6.
De kwaadwillige commit introduceerde geen extra afhankelijkheden, waardoor detectie lastiger werd. In plaats daarvan hadden aanvallers een payload van 4,3 MB ingebed die was geconfigureerd om automatisch te worden uitgevoerd via vijf veelgebruikte ontwikkelaarstools: Claude Code, Gemini CLI, Cursor, Visual Studio Code en het npm-testscript. De infectie wordt geactiveerd wanneer ontwikkelaars een getroffen repository klonen en deze openen in een door AI ondersteunde codeeromgeving. Onderzoekers identificeerden de payload als dezelfde staged Bun-loader die eerder werd gebruikt bij op registers gerichte aanvallen, maar aangepast voor langdurige persistentie in broncode-repositories.
Vertrouwen misbruiken in plaats van kwetsbaarheden
De Miasma-campagne legt fundamentele zwakheden bloot in het vertrouwensmodel dat ten grondslag ligt aan de moderne distributie van open-source software. In tegenstelling tot veel aanvallen op de toeleveringsketen die gebruikmaken van softwarefouten, slaagt deze operatie door legitieme ontwikkelings- en publicatiemechanismen te misbruiken.
Het vermogen om zich recursief te verspreiden via downstream-gebruikers en herhaaldelijk nieuwe doelwitten te compromitteren, heeft het tot een van de meest significante en hardnekkige bedreigingen voor de softwareleveringsketen gemaakt die tot nu toe zijn waargenomen. De effectiviteit van de campagne komt voort uit het vermogen om zich exponentieel door het ecosysteem te verspreiden, waardoor geïnfecteerde gebruikers nieuwe kwetsbaarheden worden.
De onderliggende Shai-Hulud-methodologie richt zich niet op kwetsbaarheden in platforms zoals npm of GitHub. In plaats daarvan ondermijnt het de kernveronderstelling dat software die is gepubliceerd door geauthenticeerde beheerders en ondertekend met geldige referenties, te vertrouwen is. Door zowel de beheerdersaccounts als de bijbehorende ondertekeningssleutels te compromitteren, kunnen aanvallers kwaadaardige publicatieactiviteiten uitvoeren die volkomen legitiem lijken.
Vanuit het perspectief van pakketregisters en repositoryplatforms zijn deze kwaadaardige releases vrijwel niet te onderscheiden van reguliere software-updates. Dit vermogen om volledig binnen vertrouwde workflows te opereren verklaart waarom veel conventionele beveiligingsmaatregelen moeite hebben gehad om de campagne te detecteren en te stoppen.
