Miazma črv
Napadi na dobavno verigo, ki se nadaljujejo z uporabo samoreplicirajočega se virusa Miasma, so se razširili preko registrov paketov in zdaj neposredno vplivajo na repozitorije GitHub. Glede na ugotovitve podjetja OpenSourceMalware je incident prizadel 73 repozitorijev v štirih organizacijah Microsoft GitHub: Azure, Azure-Samples, Microsoft in MicrosoftDocs. Posledično je GitHub omejil dostop do ogroženih repozitorijev zaradi kršitve pogojev storitve.
Uporabniki, ki poskušajo dostopati do prizadetih projektov, vključno z repozitorijem Azure Functions Host, prejmejo obvestilo, da je osebje GitHuba onemogočilo dostop in da se morajo lastniki repozitorijev za dodatne informacije obrniti na podporo GitHuba.
Med repozitoriji, na katere je kampanja vplivala, so:
azure-search-openai-demo-purviewdatasecurity,
Konektorji-NET-LSP,
Connectors-NET-SDK,
trajna naloga,
durabletask-dotnet,
vzdržljivo-na poti,
durabletask-js,
durabletask-msql
dejanje-vsebnika-funkcije,
funkcije domačega varjenja,
llm-fino uglaševanje,
dokumentacija-gonilnik-Windows
Kazalo
Ekosistem vzdržljivih nalog je doživel še eno oviro
Eden najpomembnejših vidikov najnovejše dejavnosti je očitna ponovna ogrožitev ekosistema »durabletask«. Paket durabletask PyPI je bil predhodno okužen s strani TeamPCP maja 2026 in uporabljen za distribucijo zlonamerne programske opreme za krajo informacij, ki je bila usmerjena v sisteme Linux.
Mesec dni kasneje se zdi, da je vpliv veliko širši. Ne le, da je izginil primarni repozitoriji Azure/durabletask, temveč so bili prizadeti tudi povezani repozitoriji v Microsoftovem ekosistemu. Ogroženi projekti vključujejo implementacije za .NET, Go, Javo, JavaScript, MSSQL, Netherite, protobuf in komponente za spremljanje Durable Functions.
Varnostni raziskovalci menijo, da povezava med prvotnim vdorom in trenutnim odstranjenim napadom verjetno ni naključna. Ponavljanje incidenta kaže, da poverilnice, ogrožene med prejšnjim incidentom, morda nikoli niso bile v celoti zavarovane, kar je napadalcem omogočilo, da ponovno pridobijo ali ohranijo dostop.
Miasma se razvije iz mini črva Shai-Hulud
Raziskovalci ocenjujejo Miasmo kot različico črva Mini Shai-Hulud, ki ga je TeamPCP javno izdal sredi maja 2026. Od takrat se je zlonamerna programska oprema nenehno razvijala, izpopolnjevala svoje tehnike širjenja, hkrati pa okužila dodatne pakete in repozitorije.
Kampanja je pri ustvarjanju javnih repozitorijev, ki razkrivajo ukradene skrivnosti, uporabila več opisov repozitorijev, vključno z »Miasma: Širjenje pogube«, »Miasma: Širjenje pogube«, »Miasma – Širjenje pogube« in »Hades – Konec prekletih«. Trenutna opažanja kažejo, da 13 repozitorijev nosi opis »Hades«, 82 repozitorijev pa uporablja eno od različic poimenovanja, povezanih z Miasmo.
Neposredne okužbe repozitorijev signalizirajo novo strategijo napada
V opazni spremembi taktike je bilo opaženo, da Miasma v celoti obide register npm. Namesto da bi zastrupljali pakete prek tradicionalnih distribucijskih kanalov, so akterji grožnje neposredno spremenili repozitorij GitHub 'icflorescu/mantine-datatable' skupaj s štirimi povezanimi projekti: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 in mantine-contextmenu-v6.
Zlonamerna zaveza (commit) ni uvedla dodatnih odvisnosti, kar bi otežilo odkrivanje. Namesto tega so napadalci vgradili 4,3 MB velik izvajalec koristnega tovora, konfiguriran za samodejno izvajanje prek petih pogosto uporabljenih orodij za razvijalce: Claude Code, Gemini CLI, Cursor, Visual Studio Code in testnega skripta npm. Okužba se aktivira, ko razvijalci klonirajo prizadeto repozitorij in ga odprejo v okolju kodiranja s pomočjo umetne inteligence. Raziskovalci so koristni tovor identificirali kot isti stopenjski nalagalnik Bun, ki se je prej uporabljal pri napadih, osredotočenih na register, vendar je bil prilagojen za dolgoročno obstojnost znotraj izvornih repozitorijev.
Izkoriščanje zaupanja namesto ranljivosti
Kampanja Miasma izpostavlja temeljne slabosti modela zaupanja, na katerem temelji sodobna distribucija odprtokodne programske opreme. Za razliko od mnogih napadov v dobavni verigi, ki se zanašajo na izkoriščanje programskih napak, ta operacija uspeva z zlorabo legitimnih mehanizmov razvoja in objavljanja.
Zaradi svoje sposobnosti rekurzivnega širjenja prek uporabnikov na nižji stopnji in večkratnega ogrožanja novih tarč je postala ena najpomembnejših in najvztrajnejših groženj dobavne verige programske opreme, kar smo jih doslej opazili. Učinkovitost kampanje izhaja iz njene sposobnosti eksponentnega širjenja po ekosistemu, s čimer okužene uporabnike spremeni v nove vektorje ogrožanja.
Osnovna metodologija Shai-Hulud ne cilja na ranljivosti platform, kot sta npm ali GitHub. Namesto tega spodkopava osnovno predpostavko, da je mogoče zaupati programski opremi, ki jo objavijo overjeni vzdrževalci in je podpisana z veljavnimi poverilnicami. Z ogrožanjem tako vzdrževalnih računov kot z njimi povezanih ključev za podpisovanje lahko napadalci izvajajo zlonamerne dejavnosti objavljanja, ki se zdijo popolnoma legitimne.
Z vidika registrov paketov in platform repozitorijev so te zlonamerne izdaje praktično neločljive od rutinskih posodobitev programske opreme. Ta sposobnost delovanja v celoti znotraj zaupanja vrednih delovnih procesov pojasnjuje, zakaj so se številni običajni varnostni mehanizmi težko odkrili in ustavili to kampanjo.
