Miasmatický červ
Prebiehajúca kampaň útokov na dodávateľský reťazec s využitím samoreplikujúceho sa vírusu Miasma sa rozšírila za hranice registrov balíkov a teraz priamo ovplyvňuje repozitáre GitHub. Podľa zistení spoločnosti OpenSourceMalware incident ovplyvnil 73 repozitárov v štyroch organizáciách Microsoft GitHub: Azure, Azure-Samples, Microsoft a MicrosoftDocs. V dôsledku toho GitHub obmedzil prístup k napadnutým repozitárom z dôvodu porušenia svojich zmluvných podmienok.
Používatelia, ktorí sa pokúšajú získať prístup k dotknutým projektom vrátane repozitára Azure Functions Host, sú privítaní oznámením, že zamestnanci GitHubu zakázali prístup a že vlastníci repozitárov musia kontaktovať podporu GitHubu a získať ďalšie informácie.
Medzi repozitáre ovplyvnené kampaňou patria:
azure-search-openai-demo-purviewdatasecurity,
Konektory-NET-LSP,
Konektory-NET-SDK,
odolná úloha,
durabletask-dotnet,
odolný,
durabletask-js,
durabletask-msql
akcia-kontajnera-funkcií,
funkcie domáceho varenia,
jemné doladenie llm,
Dokumentácia k ovládačom pre systém Windows
Obsah
Ekosystém odolných úloh trpí druhým kompromisom
Jedným z najvýznamnejších aspektov najnovšej aktivity je zjavné opätovné narušenie ekosystému „durabletask“. Balík durabletask PyPI bol predtým infikovaný vírusom TeamPCP v máji 2026 a použitý na distribúciu malvéru kradnúceho informácie zameraného na systémy Linux.
O mesiac neskôr sa zdá, že dopad je oveľa širší. Nielenže zmizol primárny repozitár Azure/durabletask, ale ovplyvnené boli aj súvisiace repozitáre v ekosystéme spoločnosti Microsoft. Medzi napadnuté projekty patria implementácie pre .NET, Go, Javu, JavaScript, MSSQL, Netherite, protobuf a monitorovacie komponenty Durable Functions.
Bezpečnostní experti sa domnievajú, že súvislosť medzi pôvodným narušením bezpečnosti a súčasným zastavením útoku pravdepodobne nie je náhodná. Opakovanie incidentov naznačuje, že prihlasovacie údaje ohrozené počas predchádzajúceho incidentu možno nikdy neboli úplne zabezpečené, čo útočníkom umožnilo znovu získať alebo si udržať prístup.
Miasma sa vyvíja z miniatúrneho červa Shai-Hulud
Výskumníci hodnotia Miasmu ako variant červa Mini Shai-Hulud, ktorého spoločnosť TeamPCP verejne vydala v polovici mája 2026. Odvtedy sa malvér neustále vyvíjal, zdokonaľoval svoje techniky šírenia a zároveň infikoval ďalšie balíčky a repozitáre.
Kampaň pri vytváraní verejných repozitárov, ktoré odhaľujú ukradnuté tajomstvá, použila niekoľko popisov repozitárov, vrátane „Miasma: Šíriaca sa pliaga“, „Miasma: Šíriaca sa pliaga“, „Miasma - Šíriaca sa pliaga“ a „Hades - Koniec pre zatratených“. Súčasné pozorovania naznačujú, že 13 repozitárov nesie popis „Hades“ a 82 repozitárov používa jednu z variácií pomenovania súvisiacich s Miasmou.
Priame infekcie repozitárov signalizujú novú stratégiu útoku
V rámci pozoruhodnej zmeny taktiky bolo pozorované, že Miasma úplne obchádza register npm. Namiesto otravovania balíkov prostredníctvom tradičných distribučných kanálov útočníci priamo upravili repozitár GitHub s názvom „icflorescu/mantine-datatable“ spolu so štyrmi súvisiacimi projektmi: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 a mantine-contextmenu-v6.
Škodlivý commit nepriniesol žiadne ďalšie závislosti, čo sťažilo detekciu. Namiesto toho útočníci vložili 4,3 MB bežec užitočného zaťaženia nakonfigurovaný na automatické spúšťanie prostredníctvom piatich široko používaných vývojárskych nástrojov: Claude Code, Gemini CLI, Cursor, Visual Studio Code a testovací skript npm. Infekcia sa aktivuje, keď vývojári naklonujú postihnuté repozitár a otvoria ho v kódovacom prostredí s pomocou umelej inteligencie. Výskumníci identifikovali užitočné zaťaženie ako rovnaký fázovaný zavádzač Bun, ktorý sa predtým používal pri útokoch zameraných na registre, ale bol upravený na dlhodobé uchovávanie v zdrojových repozitároch.
Zneužívanie dôvery namiesto zraniteľností
Kampaň Miasma poukazuje na základné slabiny modelu dôvery, ktorý je základom modernej distribúcie softvéru s otvoreným zdrojovým kódom. Na rozdiel od mnohých útokov v dodávateľskom reťazci, ktoré sa spoliehajú na zneužívanie softvérových chýb, táto operácia uspeje vďaka zneužívaniu legitímnych mechanizmov vývoja a publikovania.
Jeho schopnosť rekurzívne sa šíriť prostredníctvom následných používateľov a opakovane ohrozovať nové ciele z neho urobila jednu z najvýznamnejších a najpretrvávajúcich hrozieb dodávateľského reťazca softvéru, aké boli doteraz pozorované. Účinnosť kampane pramení z jej schopnosti exponenciálne sa šíriť v celom ekosystéme a premieňať infikovaných používateľov na nové vektory ohrozenia.
Základná metodika Shai-Hulud sa nezameriava na zraniteľnosti v platformách ako npm alebo GitHub. Namiesto toho podkopáva základný predpoklad, že softvéru publikovanému overenými správcami a podpísanému platnými prihlasovacími údajmi možno dôverovať. Narušením účtov správcov a ich pridružených podpisových kľúčov môžu útočníci vykonávať škodlivé publikačné aktivity, ktoré sa zdajú byť úplne legitímne.
Z pohľadu registrov balíkov a platforiem repozitárov sú tieto škodlivé vydania prakticky nerozoznateľné od bežných aktualizácií softvéru. Táto schopnosť fungovať výlučne v rámci dôveryhodných pracovných postupov vysvetľuje, prečo mnohé konvenčné bezpečnostné kontroly mali problém odhaliť a zastaviť túto kampaň.
