Miasma Worm
Fushata e vazhdueshme e sulmit vetë-replikues të zinxhirit të furnizimit Miasma është zgjeruar përtej regjistrave të paketave dhe tani po ndikon drejtpërdrejt në depot e GitHub. Sipas gjetjeve nga OpenSourceMalware, incidenti preku 73 depo në katër organizata të Microsoft GitHub: Azure, Azure-Samples, Microsoft dhe MicrosoftDocs. Si rezultat, GitHub kufizoi aksesin në depot e kompromentuara për shkelje të Kushteve të Shërbimit.
Përdoruesit që përpiqen të hyjnë në projektet e prekura, duke përfshirë edhe repozitorin Azure Functions Host, përshëndeten me një njoftim që tregon se stafi i GitHub ka çaktivizuar qasjen dhe se pronarët e repozitorëve duhet të kontaktojnë Ndihmën e GitHub për më shumë informacion.
Ndër depot e prekura nga fushata janë:
azure-search-openai-demo-purviewdatasecurity,
Lidhës-NET-LSP,
Lidhës-NET-SDK,
detyrë e qëndrueshme,
durabletask-dotnet,
i qëndrueshëm,
durabletask-js,
durabletask-mssql
funksionet-e-kontejnerit-veprim,
funksionet e prodhimit të birrës në shtëpi,
rregullim i imët i llm-së,
Dokumentet e-driver-it-të-Windows-it
Tabela e Përmbajtjes
Ekosistemi i Detyrave të Qëndrueshme Vuan një Kompromis të Dytë
Një nga aspektet më domethënëse të aktivitetit të fundit është ri-kompromentimi i dukshëm i ekosistemit 'durabletask'. Paketa durabletask PyPI u infektua më parë nga TeamPCP në maj 2026 dhe u përdor për të shpërndarë një malware që vjedh informacion dhe që synonte sistemet Linux.
Një muaj më vonë, ndikimi duket shumë më i gjerë. Jo vetëm që është zhdukur depoja kryesore Azure/durabletask, por edhe depot e lidhura në të gjithë ekosistemin e Microsoft janë prekur. Projektet e kompromentuara përfshijnë implementime për .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf dhe komponentët e monitorimit të Durable Functions.
Studiuesit e sigurisë besojnë se lidhja midis kompromentimit fillestar dhe heqjes aktuale nuk ka gjasa të jetë aksidentale. Përsëritja sugjeron që kredencialet e kompromentuara gjatë incidentit të mëparshëm mund të mos jenë siguruar kurrë plotësisht, duke u lejuar sulmuesve të rifitojnë ose të ruajnë aksesin.
Miasma evoluon nga krimbi Mini Shai-Hulud
Studiuesit e vlerësojnë Miasma-n si një variant të krimbit Mini Shai-Hulud që TeamPCP e publikoi publikisht në mesin e majit 2026. Që atëherë, malware-i ka evoluar vazhdimisht, duke rafinuar teknikat e tij të përhapjes ndërsa infekton paketa dhe depo shtesë.
Fushata ka përdorur disa përshkrime të depove kur krijon depo publike që ekspozojnë sekrete të vjedhura, duke përfshirë 'Miasma: The Spreading Blight', 'Miasma: The Spreading Blight', 'Miasma - The Spreading Blight' dhe 'Hades - The End for the Damned'. Vëzhgimet aktuale tregojnë 13 depo që mbajnë përshkrimin 'Hades' dhe 82 depo që përdorin një nga variacionet e emërtimit që lidhen me Miasma-n.
Infeksionet e Depozitës Direkte sinjalizojnë një strategji të re sulmi
Në një ndryshim të dukshëm në taktika, është vërejtur se Miasma e anashkalon tërësisht regjistrin npm. Në vend që të helmonin paketat përmes kanaleve tradicionale të shpërndarjes, aktorët kërcënues modifikuan drejtpërdrejt depon GitHub 'icflorescu/mantine-datatable' së bashku me katër projekte të lidhura: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 dhe mantine-contextmenu-v6.
Kryerja keqdashëse nuk futi varësi shtesë, duke e bërë zbulimin më të vështirë. Në vend të kësaj, sulmuesit futën një ekzekutues ngarkese prej 4.3 MB të konfiguruar për t'u ekzekutuar automatikisht përmes pesë mjeteve të përdorura gjerësisht për zhvilluesit: Claude Code, Gemini CLI, Cursor, Visual Studio Code dhe skripti i testimit npm. Infeksioni aktivizohet kur zhvilluesit klonojnë një depo të prekur dhe e hapin atë brenda një mjedisi kodimi të ndihmuar nga inteligjenca artificiale. Studiuesit e identifikuan ngarkesën si të njëjtin ngarkues Bun të skeduar të përdorur më parë në sulmet e fokusuara në regjistër, por të përshtatur për qëndrueshmëri afatgjatë brenda depove burimore.
Shfrytëzimi i Besimit në Vend të Dobësive
Fushata Miasma nxjerr në pah dobësitë themelore në modelin e besimit që mbështet shpërndarjen moderne të softuerit me burim të hapur. Ndryshe nga shumë sulme të zinxhirit të furnizimit që mbështeten në shfrytëzimin e të metave të softuerit, ky operacion ka sukses duke abuzuar me mekanizmat legjitimë të zhvillimit dhe publikimit.
Aftësia e saj për t'u përhapur në mënyrë rekursive përmes përdoruesve të mëtejshëm dhe për të kompromentuar në mënyrë të përsëritur objektiva të rinj e ka bërë atë një nga kërcënimet më të rëndësishme dhe të vazhdueshme të zinxhirit të furnizimit me softuer të vëzhguar deri më sot. Efektiviteti i fushatës rrjedh nga aftësia e saj për t'u përhapur në mënyrë eksponenciale në të gjithë ekosistemin, duke i shndërruar përdoruesit e infektuar në vektorë të rinj kompromentimi.
Metodologjia themelore Shai-Hulud nuk synon dobësitë në platforma të tilla si npm ose GitHub. Në vend të kësaj, ajo minon supozimin thelbësor se softueri i publikuar nga mirëmbajtës të autentifikuar dhe i nënshkruar me kredenciale të vlefshme mund të jetë i besueshëm. Duke kompromentuar si llogaritë e mirëmbajtësve ashtu edhe çelësat e tyre të nënshkrimit, sulmuesit mund të kryejnë aktivitete botimi dashakeqe që duken plotësisht legjitime.
Nga perspektiva e regjistrave të paketave dhe platformave të depove, këto lëshime keqdashëse janë praktikisht të padallueshme nga përditësimet rutinë të softuerëve. Kjo aftësi për të vepruar tërësisht brenda rrjedhave të punës të besueshme shpjegon pse shumë kontrolle konvencionale të sigurisë kanë hasur vështirësi në zbulimin dhe ndalimin e fushatës.
