Vierme Miasma
Campania de atacuri Miasma asupra lanțului de aprovizionare cu autoreplicare continuă s-a extins dincolo de registrele de pachete și are acum un impact direct asupra depozitelor GitHub. Conform constatărilor de la OpenSourceMalware, incidentul a afectat 73 de depozite din patru organizații Microsoft GitHub: Azure, Azure-Samples, Microsoft și MicrosoftDocs. Drept urmare, GitHub a restricționat accesul la depozitele compromise pentru încălcarea Termenilor și condițiilor sale de utilizare.
Utilizatorii care încearcă să acceseze proiectele afectate, inclusiv depozitul Azure Functions Host, sunt întâmpinați cu o notificare care indică faptul că personalul GitHub a dezactivat accesul și că proprietarii depozitului trebuie să contacteze asistența GitHub pentru informații suplimentare.
Printre depozitele afectate de campanie se numără:
azure-search-openai-demo-purviewdatasecurity,
Conectori-NET-LSP,
SDK-ul Connectors-NET,
sarcină durabilă,
durabiltask-dotnet,
durabiltask-go,
durabiltask-js,
durabiltask-mssql
funcții-container-acțiune,
funcții homebrew,
reglaj fin llm,
Documentația driverelor Windows
Cuprins
Ecosistemul de sarcini durabile suferă un al doilea compromis
Unul dintre cele mai semnificative aspecte ale ultimei activități este aparenta redecompromitere a ecosistemului „durabletask”. Pachetul PyPI durabiltask a fost infectat anterior de TeamPCP în mai 2026 și folosit pentru a distribui un malware care fura informații și care viza sistemele Linux.
O lună mai târziu, impactul pare a fi mult mai amplu. Nu numai că a dispărut depozitul principal Azure/durabletask, dar au fost afectate și depozitele aferente din ecosistemul Microsoft. Proiectele compromise includ implementări pentru .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf și componentele de monitorizare Durable Functions.
Cercetătorii în domeniul securității consideră că este puțin probabil ca legătura dintre compromiterea inițială și eliminarea actuală să fie accidentală. Recurența sugerează că este posibil ca datele de autentificare compromise în timpul incidentului anterior să nu fi fost niciodată complet securizate, permițând atacatorilor să recâștige sau să mențină accesul.
Miasma evoluează din mini-viermele Shai-Hulud
Cercetătorii evaluează Miasma ca fiind o variantă a viermelui Mini Shai-Hulud lansat public de TeamPCP la mijlocul lunii mai 2026. De atunci, malware-ul a evoluat continuu, rafinându-și tehnicile de propagare în timp ce infecta pachete și depozite suplimentare.
Campania a folosit mai multe descrieri de depozite atunci când a creat depozite publice care expun secrete furate, inclusiv „Miasma: The Spreading Blight”, „Miasma: The Spreading Blight”, „Miasma - The Spreading Blight” și „Hades - The End for the Damned”. Observațiile actuale indică 13 depozite care poartă descrierea „Hades” și 82 de depozite care utilizează una dintre variantele de denumire legate de Miasma.
Infecțiile directe ale depozitelor semnalează o nouă strategie de atac
Într-o schimbare notabilă de tactică, s-a observat că Miasma ocolește complet registrul npm. În loc să otrăvească pachetele prin canalele de distribuție tradiționale, actorii de amenințare au modificat direct depozitul GitHub „icflorescu/mantine-datatable” împreună cu patru proiecte asociate: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 și mantine-contextmenu-v6.
Commit-ul rău intenționat nu a introdus dependențe suplimentare, ceea ce a îngreunat detectarea. În schimb, atacatorii au încorporat un ruler de 4,3 MB configurat să se execute automat prin intermediul a cinci instrumente de dezvoltare utilizate pe scară largă: Claude Code, Gemini CLI, Cursor, Visual Studio Code și scriptul de testare npm. Infecția se activează atunci când dezvoltatorii clonează un depozit afectat și îl deschid într-un mediu de codare asistat de inteligență artificială. Cercetătorii au identificat sarcina utilă ca fiind același încărcător Bun etapizat utilizat anterior în atacurile axate pe registry, dar adaptat pentru persistența pe termen lung în cadrul depozitelor sursă.
Exploatarea încrederii mai degrabă decât a vulnerabilităților
Campania Miasma evidențiază slăbiciuni fundamentale ale modelului de încredere care stă la baza distribuției moderne de software open-source. Spre deosebire de multe atacuri asupra lanțului de aprovizionare care se bazează pe exploatarea defectelor software, această operațiune reușește prin abuzul mecanismelor legitime de dezvoltare și publicare.
Capacitatea sa de a se răspândi recursiv prin utilizatorii din aval și de a compromite în mod repetat noi ținte a transformat-o într-una dintre cele mai semnificative și persistente amenințări la adresa lanțului de aprovizionare cu software observate până în prezent. Eficacitatea campaniei provine din capacitatea sa de a se propaga exponențial în întregul ecosistem, transformând utilizatorii infectați în noi vectori de compromitere.
Metodologia Shai-Hulud subiacentă nu vizează vulnerabilitățile din platforme precum npm sau GitHub. În schimb, subminează presupunerea fundamentală că software-ul publicat de administratori autentificați și semnat cu acreditări valide poate fi considerat de încredere. Prin compromiterea atât a conturilor de administrator, cât și a cheilor de semnare asociate acestora, atacatorii pot efectua activități de publicare rău intenționate care par complet legitime.
Din perspectiva registrelor de pachete și a platformelor de depozite, aceste versiuni rău intenționate sunt practic imposibil de distins de actualizările de software de rutină. Această capacitate de a opera în întregime în cadrul unor fluxuri de lucru de încredere explică de ce multe controale de securitate convenționale au întâmpinat dificultăți în detectarea și oprirea campaniei.
