Miasma Solucanı
Süregelen Miasma adlı kendi kendini kopyalayan tedarik zinciri saldırısı, paket kayıt defterlerinin ötesine geçerek artık doğrudan GitHub depolarını etkiliyor. OpenSourceMalware'in bulgularına göre, olay dört Microsoft GitHub kuruluşundaki (Azure, Azure-Samples, Microsoft ve MicrosoftDocs) 73 depoyu etkiledi. Sonuç olarak, GitHub, Hizmet Şartlarını ihlal ettiği gerekçesiyle etkilenen depolara erişimi kısıtladı.
Azure Functions Host deposu da dahil olmak üzere etkilenen projelere erişmeye çalışan kullanıcılar, GitHub çalışanlarının erişimi devre dışı bıraktığını ve depo sahiplerinin daha fazla bilgi için GitHub Destek ile iletişime geçmesi gerektiğini belirten bir uyarı ile karşılaşıyor.
Kampanyadan etkilenen veri depoları arasında şunlar yer almaktadır:
azure-search-openai-demo-purviewdatasecurity,
Connectors-NET-LSP,
Connectors-NET-SDK,
dayanıklı görev,
durabletask-dotnet,
dayanıklı görev-git,
durabletask-js,
dayanıklı görev-mssql
fonksiyonlar-konteyner-eylem,
ev yapımı işlevler,
llm-ince-ayarlama,
Windows-sürücü-belgeleri
İçindekiler
Sürdürülebilir Görev Ekosistemi İkinci Bir Uzlaşmayla Karşı Karşıya
Son dönemdeki faaliyetlerin en önemli yönlerinden biri, 'durabletask' ekosisteminin yeniden tehlikeye atılmış gibi görünmesidir. durabletask PyPI paketi daha önce Mayıs 2026'da TeamPCP tarafından enfekte edilmiş ve Linux sistemlerini hedef alan bilgi hırsızlığı yapan bir kötü amaçlı yazılımı dağıtmak için kullanılmıştı.
Bir ay sonra, etkinin çok daha geniş kapsamlı olduğu ortaya çıktı. Yalnızca birincil Azure/durabletask deposu ortadan kaybolmakla kalmadı, Microsoft ekosistemindeki ilgili depolar da etkilendi. Etkilenen projeler arasında .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf ve Durable Functions izleme bileşenlerinin uygulamaları yer alıyor.
Güvenlik araştırmacıları, orijinal saldırı ile mevcut operasyon arasındaki bağlantının tesadüfi olma ihtimalinin düşük olduğuna inanıyor. Tekrarlanması, önceki olay sırasında ele geçirilen kimlik bilgilerinin hiçbir zaman tam olarak güvence altına alınmamış olabileceğini ve saldırganların erişimi yeniden kazanmasına veya sürdürmesine olanak sağladığını gösteriyor.
Miasma, Mini Shai-Hulud Solucanından Evrimleşir
Araştırmacılar, Miasma'yı TeamPCP'nin Mayıs 2026 ortalarında kamuoyuna duyurduğu Mini Shai-Hulud solucanının bir varyantı olarak değerlendiriyor. O zamandan beri, kötü amaçlı yazılım sürekli olarak evrim geçirerek yayılma tekniklerini geliştirmiş ve ek paketleri ve depoları enfekte etmiştir.
Kampanya, çalınan sırları ifşa eden kamuya açık depolar oluştururken 'Miasma: The Spreading Blight', 'Miasma : The Spreading Blight', 'Miasma - The Spreading Blight' ve 'Hades - The End for the Damned' gibi çeşitli depo tanımlamaları kullandı. Mevcut gözlemler, 'Hades' tanımını taşıyan 13 depo ve Miasma ile ilgili isim varyasyonlarından birini kullanan 82 depo olduğunu göstermektedir.
Doğrudan Depo Enfeksiyonları Yeni Bir Saldırı Stratejisinin İşaretini Veriyor
Taktiklerde dikkat çekici bir değişiklik olarak, Miasma'nın npm kayıt defterini tamamen atladığı gözlemlendi. Geleneksel dağıtım kanalları aracılığıyla paketleri zehirlemek yerine, tehdit aktörleri doğrudan 'icflorescu/mantine-datatable' GitHub deposunu ve onunla ilişkili dört projeyi (mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 ve mantine-contextmenu-v6) değiştirdi.
Kötü amaçlı commit, ek bağımlılıklar getirmediği için tespit edilmesi daha zor oldu. Bunun yerine, saldırganlar beş yaygın kullanılan geliştirici aracı aracılığıyla otomatik olarak çalışacak şekilde yapılandırılmış 4,3 MB'lık bir yük çalıştırıcısı yerleştirdiler: Claude Code, Gemini CLI, Cursor, Visual Studio Code ve npm test betiği. Enfeksiyon, geliştiriciler etkilenen bir depoyu klonlayıp yapay zeka destekli bir kodlama ortamında açtıklarında etkinleşiyor. Araştırmacılar, yükün daha önce kayıt defteri odaklı saldırılarda kullanılan ancak kaynak depolarında uzun süreli kalıcılık için uyarlanmış aynı aşamalı Bun yükleyicisi olduğunu belirlediler.
Güvenlik açıklarından ziyade güveni istismar etmek
Miasma saldırısı, modern açık kaynaklı yazılım dağıtımının temelini oluşturan güven modelindeki temel zayıflıkları ortaya koymaktadır. Yazılım kusurlarını istismar etmeye dayanan birçok tedarik zinciri saldırısının aksine, bu operasyon meşru geliştirme ve yayınlama mekanizmalarını kötüye kullanarak başarılı olmaktadır.
Alt kademe kullanıcılar arasında tekrarlayan bir şekilde yayılma ve yeni hedefleri sürekli olarak tehlikeye atma yeteneği, onu bugüne kadar gözlemlenen en önemli ve kalıcı yazılım tedarik zinciri tehditlerinden biri haline getirmiştir. Kampanyanın etkinliği, ekosistem boyunca katlanarak yayılma ve enfekte olmuş kullanıcıları yeni güvenlik açığı vektörlerine dönüştürme kapasitesinden kaynaklanmaktadır.
Shai-Hulud metodolojisinin temelinde npm veya GitHub gibi platformlardaki güvenlik açıkları hedeflenmemektedir. Bunun yerine, yetkilendirilmiş geliştiriciler tarafından yayınlanan ve geçerli kimlik bilgileriyle imzalanan yazılımlara güvenilebileceği temel varsayımını baltalamaktadır. Saldırganlar, hem geliştirici hesaplarını hem de bunlarla ilişkili imzalama anahtarlarını ele geçirerek, tamamen meşru görünen kötü amaçlı yayınlama faaliyetleri gerçekleştirebilirler.
Paket kayıt defterleri ve depo platformları açısından bakıldığında, bu kötü amaçlı sürümler rutin yazılım güncellemelerinden neredeyse ayırt edilemez. Tamamen güvenilir iş akışları içinde çalışabilme yeteneği, birçok geleneksel güvenlik kontrolünün bu saldırıyı tespit etmekte ve durdurmakta neden zorlandığını açıklamaktadır.
