Miasma Worm
แคมเปญโจมตีห่วงโซ่อุปทานแบบแพร่กระจายตัวเองอย่างต่อเนื่องของ Miasma ได้ขยายวงกว้างออกไปนอกเหนือจากรีจิสทรีแพ็กเกจแล้ว และขณะนี้กำลังส่งผลกระทบโดยตรงต่อที่เก็บข้อมูล GitHub แล้ว จากการค้นพบของ OpenSourceMalware เหตุการณ์นี้ส่งผลกระทบต่อที่เก็บข้อมูล 73 แห่งในองค์กร GitHub ของ Microsoft สี่แห่ง ได้แก่ Azure, Azure-Samples, Microsoft และ MicrosoftDocs ส่งผลให้ GitHub จำกัดการเข้าถึงที่เก็บข้อมูลที่ถูกโจมตีเนื่องจากละเมิดข้อกำหนดในการให้บริการ
ผู้ใช้ที่พยายามเข้าถึงโปรเจกต์ที่ได้รับผลกระทบ รวมถึงที่เก็บข้อมูล Azure Functions Host จะได้รับข้อความแจ้งว่าเจ้าหน้าที่ GitHub ได้ปิดการเข้าถึงแล้ว และเจ้าของที่เก็บข้อมูลต้องติดต่อฝ่ายสนับสนุนของ GitHub เพื่อขอข้อมูลเพิ่มเติม
คลังข้อมูลที่ได้รับผลกระทบจากแคมเปญนี้ ได้แก่:
azure-search-openai-demo-purviewdatasecurity,
ตัวเชื่อมต่อ NET-LSP
Connectors-NET-SDK,
งานที่ทนทาน
durabletask-dotnet,
durabletask-go,
durabletask-js,
งานทนทาน-mssql
ฟังก์ชันคอนเทนเนอร์แอ็กชัน
ฟังก์ชันโฮมบรูว์
การปรับแต่ง llm อย่างละเอียด
เอกสารไดรเวอร์ Windows
สารบัญ
ระบบนิเวศงานที่ยั่งยืนเผชิญกับการประนีประนอมครั้งที่สอง
หนึ่งในแง่มุมที่สำคัญที่สุดของกิจกรรมล่าสุดคือ การที่ระบบนิเวศของ 'durabletask' ถูกโจมตีซ้ำอีกครั้ง แพ็กเกจ durabletask บน PyPI เคยถูก TeamPCP โจมตีมาแล้วในเดือนพฤษภาคม 2026 และถูกใช้เพื่อเผยแพร่ซอฟต์แวร์มัลแวร์ขโมยข้อมูลที่มุ่งเป้าไปที่ระบบ Linux
หนึ่งเดือนต่อมา ผลกระทบดูเหมือนจะกว้างขวางมากขึ้น ไม่เพียงแต่ที่เก็บข้อมูลหลัก Azure/durabletask จะหายไปเท่านั้น แต่ที่เก็บข้อมูลที่เกี่ยวข้องทั่วทั้งระบบนิเวศของ Microsoft ก็ได้รับผลกระทบเช่นกัน โครงการที่ได้รับผลกระทบ ได้แก่ การใช้งานสำหรับ .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf และส่วนประกอบการตรวจสอบ Durable Functions
นักวิจัยด้านความปลอดภัยเชื่อว่าความเชื่อมโยงระหว่างการโจมตีครั้งแรกกับการปิดระบบในครั้งนี้ไม่น่าจะเป็นเรื่องบังเอิญ การเกิดขึ้นซ้ำแสดงให้เห็นว่าข้อมูลประจำตัวที่ถูกโจมตีในเหตุการณ์ก่อนหน้านี้อาจไม่ได้รับการรักษาความปลอดภัยอย่างเต็มที่ ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้อีกครั้งหรือรักษาการเข้าถึงไว้ได้
Miasma วิวัฒนาการมาจากหนอนมินิไชฮูลุด
นักวิจัยประเมินว่า Miasma เป็นสายพันธุ์หนึ่งของเวิร์ม Mini Shai-Hulud ที่ TeamPCP เผยแพร่สู่สาธารณะในช่วงกลางเดือนพฤษภาคม 2026 นับตั้งแต่นั้นมา มัลแวร์นี้ได้พัฒนาอย่างต่อเนื่อง ปรับปรุงเทคนิคการแพร่กระจาย และแพร่เชื้อไปยังแพ็กเกจและแหล่งเก็บข้อมูลเพิ่มเติม
แคมเปญดังกล่าวใช้คำอธิบายแหล่งเก็บข้อมูลหลายแบบในการสร้างแหล่งเก็บข้อมูลสาธารณะที่เปิดเผยความลับที่ถูกขโมยไป รวมถึง 'Miasma: The Spreading Blight,' 'Miasma : The Spreading Blight,' 'Miasma - The Spreading Blight,' และ 'Hades - The End for the Damned' จากการสังเกตในปัจจุบันพบว่ามีแหล่งเก็บข้อมูล 13 แห่งที่ใช้คำอธิบาย 'Hades' และ 82 แห่งที่ใช้ชื่อที่เกี่ยวข้องกับ Miasma
การติดเชื้อที่คลังข้อมูลโดยตรงบ่งชี้ถึงกลยุทธ์การโจมตีแบบใหม่
ในการเปลี่ยนแปลงกลยุทธ์ที่น่าสังเกต Miasma พบว่าได้หลีกเลี่ยงการใช้ระบบจัดเก็บข้อมูล npm โดยสิ้นเชิง แทนที่จะแพร่เชื้อผ่านช่องทางการแจกจ่ายแบบเดิม ผู้โจมตีได้แก้ไขโดยตรงที่คลังเก็บข้อมูล GitHub 'icflorescu/mantine-datatable' พร้อมกับโปรเจกต์ที่เกี่ยวข้องอีกสี่โปรเจกต์ ได้แก่ mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 และ mantine-contextmenu-v6
การเปลี่ยนแปลงโค้ดที่เป็นอันตรายนี้ไม่ได้เพิ่มการพึ่งพาใดๆ เพิ่มเติม ทำให้การตรวจจับทำได้ยากขึ้น แทนที่จะเป็นเช่นนั้น ผู้โจมตีได้ฝังตัวรันเพย์โหลดขนาด 4.3 MB ที่ตั้งค่าให้ทำงานโดยอัตโนมัติผ่านเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย 5 ตัว ได้แก่ Claude Code, Gemini CLI, Cursor, Visual Studio Code และสคริปต์ทดสอบ npm การติดเชื้อจะเริ่มทำงานเมื่อนักพัฒนาซอฟต์แวร์โคลนที่เก็บข้อมูลที่ได้รับผลกระทบและเปิดมันในสภาพแวดล้อมการเขียนโค้ดที่ใช้ AI ช่วย นักวิจัยระบุว่าเพย์โหลดนี้เป็นตัวโหลด Bun ที่ถูกจัดเตรียมไว้ล่วงหน้าแบบเดียวกับที่เคยใช้ในการโจมตีที่มุ่งเน้นที่รีจิสทรี แต่ได้รับการปรับปรุงให้สามารถคงอยู่ภายในที่เก็บซอร์สโค้ดได้ในระยะยาว
การใช้ประโยชน์จากความไว้วางใจ แทนที่จะใช้ประโยชน์จากจุดอ่อน
แคมเปญ Miasma ชี้ให้เห็นถึงจุดอ่อนพื้นฐานในรูปแบบความไว้วางใจที่รองรับการเผยแพร่ซอฟต์แวร์โอเพนซอร์สสมัยใหม่ แตกต่างจากการโจมตีห่วงโซ่อุปทานหลายครั้งที่อาศัยการใช้ประโยชน์จากข้อบกพร่องของซอฟต์แวร์ ปฏิบัติการนี้ประสบความสำเร็จโดยการใช้ประโยชน์จากกลไกการพัฒนาและการเผยแพร่ที่ถูกต้องตามกฎหมาย
ความสามารถในการแพร่กระจายแบบวนซ้ำผ่านผู้ใช้ปลายทางและโจมตีเป้าหมายใหม่ซ้ำแล้วซ้ำเล่า ทำให้มันเป็นหนึ่งในภัยคุกคามด้านห่วงโซ่อุปทานซอฟต์แวร์ที่สำคัญและต่อเนื่องที่สุดเท่าที่เคยพบมา ประสิทธิภาพของแคมเปญนี้เกิดจากความสามารถในการแพร่กระจายแบบทวีคูณไปทั่วระบบนิเวศ เปลี่ยนผู้ใช้ที่ติดเชื้อให้กลายเป็นพาหะใหม่ในการโจมตี
ระเบียบวิธี Shai-Hulud ที่ใช้เป็นพื้นฐานไม่ได้มุ่งเป้าไปที่ช่องโหว่ในแพลตฟอร์มต่างๆ เช่น npm หรือ GitHub แต่เป็นการบ่อนทำลายข้อสมมติฐานหลักที่ว่าซอฟต์แวร์ที่เผยแพร่โดยผู้ดูแลที่ได้รับการรับรองและลงนามด้วยข้อมูลประจำตัวที่ถูกต้องนั้นสามารถเชื่อถือได้ โดยการเจาะระบบบัญชีผู้ดูแลและคีย์ลงนามที่เกี่ยวข้อง ผู้โจมตีสามารถดำเนินการเผยแพร่ที่เป็นอันตรายซึ่งดูเหมือนถูกต้องตามกฎหมายได้อย่างสมบูรณ์
จากมุมมองของระบบจัดเก็บแพ็กเกจและแพลตฟอร์มที่เก็บข้อมูล การปล่อยมัลแวร์เหล่านี้แทบจะแยกไม่ออกจากการอัปเดตซอฟต์แวร์ตามปกติ ความสามารถในการทำงานได้อย่างสมบูรณ์ภายในเวิร์กโฟลว์ที่เชื่อถือได้นี้ อธิบายได้ว่าทำไมระบบควบคุมความปลอดภัยแบบดั้งเดิมจำนวนมากจึงตรวจจับและหยุดยั้งแคมเปญนี้ได้ยาก
