Миазма црв
Текућа кампања напада на ланац снабдевања који се самореплицира, попут Miasma, проширила се изван регистара пакета и сада директно утиче на GitHub репозиторијуме. Према налазима OpenSourceMalware-а, инцидент је погодио 73 репозиторијума у четири Microsoft GitHub организације: Azure, Azure-Samples, Microsoft и MicrosoftDocs. Као резултат тога, GitHub је ограничио приступ угроженим репозиторијумима због кршења својих Услова коришћења услуге.
Корисници који покушавају да приступе погођеним пројектима, укључујући Azure Functions Host репозиторијум, добијају обавештење да је особље GitHub-а онемогућило приступ и да власници репозиторијума морају да контактирају GitHub подршку за додатне информације.
Међу спремиштима на која је кампања утицала су:
azure-search-openai-demo-purviewdatasecurity,
Конектори-NET-LSP,
Конектори-NET-SDK,
издржљив задатак,
durabletask-dotnet,
издржљив задатак-у покрету,
durabletask-js,
durabletask-msql
функције-контејнер-акција,
функције кућног кувања,
llm-фино подешавање,
Документација за Windows драјвере
Преглед садржаја
Издржљив екосистем задатака трпи други компромис
Један од најзначајнијих аспеката најновије активности је очигледно поновно угрожавање екосистема „durabletask“. Пакет durabletask PyPI је претходно био заражен од стране TeamPCP-а у мају 2026. године и коришћен је за дистрибуцију злонамерног софтвера за крађу информација, усмереног на Linux системе.
Месец дана касније, утицај изгледа много шири. Не само да је нестао примарни Azure/durabletask репозиторијум, већ су погођени и повезани репозиторијуми у Мајкрософтовом екосистему. Угрожени пројекти укључују имплементације за .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf и компоненте за праћење Durable Functions.
Истраживачи безбедности верују да је мало вероватно да је веза између првобитног компромитовања и тренутног уклањања случајна. Понављање сугерише да акредитиви угрожени током ранијег инцидента можда никада нису били у потпуности обезбеђени, што је омогућило нападачима да поврате или одрже приступ.
Миазма еволуира из минијатурног црва Шаи-Хулуд
Истраживачи процењују Miasma као варијанту црва Mini Shai-Hulud кога је TeamPCP јавно објавио средином маја 2026. године. Од тада, злонамерни софтвер се континуирано развијао, усавршавајући своје технике ширења док је инфицирао додатне пакете и репозиторијуме.
Кампања је користила неколико описа спремишта приликом креирања јавних спремишта која откривају украдене тајне, укључујући „Мијазма: Ширење пошасти“, „Мијазма: Ширење пошасти“, „Мијазма - Ширење пошасти“ и „Хад - Крај проклетих“. Тренутна запажања указују на 13 спремишта која носе опис „Хад“ и 82 спремишта која користе једну од варијација именовања повезаних са Мијазмом.
Директне инфекције репозиторијума сигнализирају нову стратегију напада
У значајној промени тактике, примећено је да Miasma потпуно заобилази npm регистар. Уместо да тровају пакете путем традиционалних дистрибутивних канала, актери претњи су директно изменили GitHub репозиторијум „icflorescu/mantine-datatable“ заједно са четири повезана пројекта: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 и mantine-contextmenu-v6.
Злонамерна промена није увела додатне зависности, што је отежало откривање. Уместо тога, нападачи су уградили покретач корисног оптерећења од 4,3 MB конфигурисан за аутоматско извршавање путем пет широко коришћених алата за програмере: Claude Code, Gemini CLI, Cursor, Visual Studio Code и npm тест скрипте. Инфекција се активира када програмери клонирају захваћени репозиторијум и отворе га у окружењу за кодирање уз помоћ вештачке интелигенције. Истраживачи су идентификовали корисни оптерећење као исти постепени учитавач Bun-а који се раније користио у нападима усмереним на регистар, али је прилагођен за дугорочно трајање унутар изворних репозиторијума.
Искоришћавање поверења уместо рањивости
Кампања Миазма истиче фундаменталне слабости у моделу поверења који је у основи модерне дистрибуције софтвера отвореног кода. За разлику од многих напада на ланац снабдевања који се ослањају на искоришћавање софтверских недостатака, ова операција успева злоупотребом легитимних механизама развоја и објављивања.
Његова способност рекурзивног ширења кроз кориснике и више пута угрожавања нових мета учинила га је једном од најзначајнијих и најистакнутијих претњи ланцу снабдевања софтвером које су до сада примећене. Ефикасност кампање проистиче из њене способности да се експоненцијално шири кроз екосистем, претварајући заражене кориснике у нове векторе угрожавања.
Основна методологија Шаи-Хулуда не циља рањивости у платформама као што су npm или GitHub. Уместо тога, она поткопава основну претпоставку да се софтверу који објављују аутентификовани одржаваоци и потписан је важећим акредитивима може веровати. Угрожавањем и налога одржаваоца и њихових повезаних кључева за потписивање, нападачи могу да обављају злонамерне активности објављивања које делују потпуно легитимно.
Из перспективе регистара пакета и платформи спремишта, ова злонамерна издања се практично не разликују од рутинских ажурирања софтвера. Ова способност да функционишу у потпуности унутар поузданих токова рада објашњава зашто су многе конвенционалне безбедносне контроле имале потешкоћа да открију и зауставе кампању.
