Bulating Miasma

Ang patuloy na kampanya ng self-replicating supply chain attack ng Miasma ay lumawak na lampas sa mga package registry at ngayon ay direktang nakakaapekto sa mga repositoryo ng GitHub. Ayon sa mga natuklasan mula sa OpenSourceMalware, ang insidente ay nakaapekto sa 73 repositoryo sa apat na organisasyon ng Microsoft GitHub: Azure, Azure-Samples, Microsoft, at MicrosoftDocs. Bilang resulta, pinaghigpitan ng GitHub ang access sa mga nakompromisong repositoryo dahil sa paglabag sa Mga Tuntunin ng Serbisyo nito.

Ang mga user na nagtatangkang mag-access sa mga apektadong proyekto, kabilang ang Azure Functions Host repository, ay sasalubungin ng isang abiso na nagsasaad na hindi pinagana ng mga kawani ng GitHub ang access at dapat makipag-ugnayan ang mga may-ari ng repository sa GitHub Support para sa karagdagang impormasyon.

Kabilang sa mga imbakan na naapektuhan ng kampanya ay:

azure-search-openai-demo-purviewdatasecurity,
Mga Konektor-NET-LSP,
Mga Konektor-NET-SDK,
matibay na gawain,
durabletask-dotnet,
matibay na gawain-go,
durabletask-js,
durabletask-mssql
mga function-lalagyan-aksyon,
mga function ng homebrew,
llm-fine-tuning,
Mga dokumento ng driver ng Windows

Ang Durable Task Ecosystem ay Nagdusa ng Pangalawang Kompromiso

Isa sa mga pinakamahalagang aspeto ng pinakabagong aktibidad ay ang maliwanag na muling pagkompromiso ng ecosystem ng 'durabletask'. Ang durabletask PyPI package ay dating na-infect ng TeamPCP noong Mayo 2026 at ginamit upang mamahagi ng isang malware na nagnanakaw ng impormasyon na tumatarget sa mga sistema ng Linux.

Pagkalipas ng isang buwan, tila mas malawak ang epekto. Hindi lamang nawala ang pangunahing Azure/durabletask repository, kundi pati na rin ang mga kaugnay na repository sa buong ecosystem ng Microsoft. Kabilang sa mga nakompromisong proyekto ang mga implementasyon para sa .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf, at ang mga bahagi ng pagsubaybay sa Durable Functions.

Naniniwala ang mga mananaliksik sa seguridad na ang koneksyon sa pagitan ng orihinal na kompromiso at ng kasalukuyang pagtanggal ay malamang na hindi sinasadya. Ang pag-ulit na ito ay nagmumungkahi na ang mga kredensyal na nakompromiso noong naunang insidente ay maaaring hindi kailanman ganap na na-secure, na nagpapahintulot sa mga umaatake na mabawi o mapanatili ang access.

Ang Miasma ay Nag-evolve mula sa Mini Shai-Hulud Worm

Tinatasa ng mga mananaliksik ang Miasma bilang isang variant ng Mini Shai-Hulud worm na inilabas ng TeamPCP sa publiko noong kalagitnaan ng Mayo 2026. Simula noon, ang malware ay patuloy na umunlad, pinapino ang mga pamamaraan ng pagpapalaganap nito habang nahahawa ang mga karagdagang pakete at repository.

Gumamit ang kampanya ng ilang deskripsyon ng repositoryo kapag lumilikha ng mga pampublikong repositoryo na nagbubunyag ng mga ninakaw na sikreto, kabilang ang 'Miasma: The Spreading Blight,' 'Miasma : The Spreading Blight,' 'Miasma - The Spreading Blight,' at 'Hades - The End for the Damned.' Ang mga kasalukuyang obserbasyon ay nagpapahiwatig ng 13 repositoryo na may deskripsyon na 'Hades' at 82 repositoryo na gumagamit ng isa sa mga baryasyon ng pagpapangalan na may kaugnayan sa Miasma.

Ang mga Impeksyon sa Direktang Repositoryo ay Naghahatid ng Isang Bagong Istratehiya sa Pag-atake

Sa isang kapansin-pansing pagbabago sa mga taktika, naobserbahan ang Miasma na tuluyang nilalampasan ang npm registry. Sa halip na lasonin ang mga pakete sa pamamagitan ng mga tradisyunal na channel ng pamamahagi, direktang binago ng mga threat actor ang GitHub repository na 'icflorescu/mantine-datatable' kasama ang apat na kaugnay na proyekto: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6, at mantine-contextmenu-v6.

Ang malisyosong commit ay hindi nagpakilala ng karagdagang mga dependency, kaya mas naging mahirap ang pag-detect. Sa halip, nag-embed ang mga attacker ng isang 4.3 MB na payload runner na na-configure upang awtomatikong i-execute sa pamamagitan ng limang malawakang ginagamit na tool ng developer: Claude Code, Gemini CLI, Cursor, Visual Studio Code, at ang npm test script. Nag-a-activate ang impeksyon kapag kino-clone ng mga developer ang isang apektadong repository at binuksan ito sa loob ng isang AI-assisted coding environment. Natukoy ng mga mananaliksik ang payload bilang ang parehong staged Bun loader na dating ginagamit sa mga registry-focused attack, ngunit inangkop para sa pangmatagalang persistence sa loob ng mga source repository.

Paggamit ng Tiwala sa halip na mga Kahinaan

Itinatampok ng kampanyang Miasma ang mga pangunahing kahinaan sa modelo ng tiwala na sumusuporta sa modernong pamamahagi ng open-source software. Hindi tulad ng maraming pag-atake sa supply chain na umaasa sa pagsasamantala sa mga kapintasan ng software, ang operasyong ito ay nagtatagumpay sa pamamagitan ng pag-abuso sa mga lehitimong mekanismo ng pag-develop at paglalathala.

Ang kakayahan nitong kumalat nang paulit-ulit sa mga downstream user at paulit-ulit na magkompromiso ng mga bagong target ang dahilan kung bakit ito isa sa pinakamahalaga at patuloy na banta sa supply chain ng software na naobserbahan hanggang sa kasalukuyan. Ang bisa ng kampanya ay nagmumula sa kakayahan nitong kumalat nang mabilis sa buong ecosystem, na ginagawang mga bagong tagapagdala ng kompromiso ang mga nahawaang user.

Ang pinagbabatayang metodolohiyang Shai-Hulud ay hindi nagta-target sa mga kahinaan sa mga platform tulad ng npm o GitHub. Sa halip, pinapahina nito ang pangunahing palagay na ang software na inilathala ng mga authenticated maintainer at nilagdaan gamit ang mga wastong kredensyal ay maaaring pagkatiwalaan. Sa pamamagitan ng pagkompromiso sa parehong mga maintainer account at sa kanilang mga kaugnay na signing key, maaaring magsagawa ang mga attacker ng mga malisyosong aktibidad sa pag-publish na tila ganap na lehitimo.

Mula sa perspektibo ng mga registri ng pakete at mga platform ng repositoryo, ang mga malisyosong paglabas na ito ay halos hindi mapag-iba sa mga regular na pag-update ng software. Ang kakayahang ito na gumana nang buo sa loob ng mga pinagkakatiwalaang daloy ng trabaho ang nagpapaliwanag kung bakit maraming kumbensyonal na kontrol sa seguridad ang nahihirapang matukoy at matigil ang kampanya.