Miasma Worm
Chiến dịch tấn công chuỗi cung ứng tự nhân bản Miasma đang diễn ra đã mở rộng ra ngoài phạm vi các kho lưu trữ gói phần mềm và hiện đang ảnh hưởng trực tiếp đến các kho lưu trữ GitHub. Theo phát hiện từ OpenSourceMalware, sự cố đã ảnh hưởng đến 73 kho lưu trữ trên bốn tổ chức GitHub của Microsoft: Azure, Azure-Samples, Microsoft và MicrosoftDocs. Do đó, GitHub đã hạn chế quyền truy cập vào các kho lưu trữ bị xâm phạm vì vi phạm Điều khoản dịch vụ của mình.
Người dùng cố gắng truy cập các dự án bị ảnh hưởng, bao gồm cả kho lưu trữ Azure Functions Host, sẽ nhận được thông báo cho biết nhân viên GitHub đã vô hiệu hóa quyền truy cập và chủ sở hữu kho lưu trữ phải liên hệ với bộ phận Hỗ trợ của GitHub để biết thêm thông tin.
Trong số các kho lưu trữ bị ảnh hưởng bởi chiến dịch này có:
azure-search-openai-demo-purviewdatasecurity,
Bộ kết nối-NET-LSP,
Connectors-NET-SDK,
nhiệm vụ bền bỉ,
durabletask-dotnet,
durabletask-go,
durabletask-js,
durabletask-mssql
các chức năng-container-hành động,
các hàm tự chế,
llm-tinh chỉnh,
Tài liệu trình điều khiển Windows
Mục lục
Hệ sinh thái tác vụ bền vững chịu tổn thất lần thứ hai
Một trong những khía cạnh quan trọng nhất của hoạt động gần đây là việc hệ sinh thái 'durabletask' dường như bị xâm phạm trở lại. Gói PyPI durabletask trước đây đã bị TeamPCP lây nhiễm vào tháng 5 năm 2026 và được sử dụng để phát tán phần mềm độc hại đánh cắp thông tin nhắm mục tiêu vào các hệ thống Linux.
Một tháng sau, tác động dường như lan rộng hơn nhiều. Không chỉ kho lưu trữ Azure/durabletask chính biến mất, mà các kho lưu trữ liên quan trên toàn hệ sinh thái của Microsoft cũng bị ảnh hưởng. Các dự án bị ảnh hưởng bao gồm các triển khai cho .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf và các thành phần giám sát Durable Functions.
Các nhà nghiên cứu bảo mật tin rằng mối liên hệ giữa vụ xâm nhập ban đầu và vụ triệt phá hiện tại khó có thể là ngẫu nhiên. Sự tái diễn này cho thấy rằng thông tin đăng nhập bị xâm phạm trong sự cố trước đó có thể chưa bao giờ được bảo mật hoàn toàn, cho phép kẻ tấn công lấy lại hoặc duy trì quyền truy cập.
Khí độc tiến hóa từ loài giun Shai-Hulud nhỏ.
Các nhà nghiên cứu đánh giá Miasma là một biến thể của sâu máy tính Mini Shai-Hulud mà TeamPCP đã công khai phát hành vào giữa tháng 5 năm 2026. Kể từ đó, phần mềm độc hại này liên tục phát triển, tinh chỉnh các kỹ thuật lây lan của nó đồng thời lây nhiễm thêm các gói và kho lưu trữ khác.
Chiến dịch này đã sử dụng một số mô tả kho lưu trữ khi tạo ra các kho lưu trữ công khai để phơi bày các bí mật bị đánh cắp, bao gồm 'Miasma: The Spreading Blight,' 'Miasma : The Spreading Blight,' 'Miasma - The Spreading Blight,' và 'Hades - The End for the Damned.' Các quan sát hiện tại cho thấy có 13 kho lưu trữ mang mô tả 'Hades' và 82 kho lưu trữ sử dụng một trong các biến thể đặt tên liên quan đến Miasma.
Việc lây nhiễm trực tiếp vào kho lưu trữ báo hiệu một chiến lược tấn công mới.
Trong một sự thay đổi đáng chú ý về chiến thuật, Miasma đã được phát hiện bỏ qua hoàn toàn kho lưu trữ npm. Thay vì làm nhiễm độc các gói thông qua các kênh phân phối truyền thống, các tác nhân đe dọa đã trực tiếp sửa đổi kho lưu trữ GitHub 'icflorescu/mantine-datatable' cùng với bốn dự án liên quan: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 và mantine-contextmenu-v6.
Bản cập nhật độc hại không tạo ra thêm bất kỳ phụ thuộc nào, khiến việc phát hiện trở nên khó khăn hơn. Thay vào đó, kẻ tấn công đã nhúng một chương trình chạy mã độc có dung lượng 4,3 MB được cấu hình để tự động thực thi thông qua năm công cụ phát triển được sử dụng rộng rãi: Claude Code, Gemini CLI, Cursor, Visual Studio Code và tập lệnh kiểm thử npm. Sự lây nhiễm được kích hoạt khi các nhà phát triển sao chép kho lưu trữ bị ảnh hưởng và mở nó trong môi trường lập trình có hỗ trợ trí tuệ nhân tạo. Các nhà nghiên cứu đã xác định mã độc này là cùng một trình tải Bun được dàn dựng trước đây được sử dụng trong các cuộc tấn công tập trung vào registry, nhưng được điều chỉnh để tồn tại lâu dài trong các kho lưu trữ mã nguồn.
Khai thác lòng tin thay vì điểm yếu
Chiến dịch Miasma làm nổi bật những điểm yếu cơ bản trong mô hình tin cậy làm nền tảng cho việc phân phối phần mềm mã nguồn mở hiện đại. Không giống như nhiều cuộc tấn công chuỗi cung ứng dựa vào việc khai thác các lỗ hổng phần mềm, hoạt động này thành công bằng cách lạm dụng các cơ chế phát triển và phát hành hợp pháp.
Khả năng lây lan theo kiểu đệ quy thông qua người dùng ở khâu sau và liên tục xâm nhập các mục tiêu mới đã khiến nó trở thành một trong những mối đe dọa chuỗi cung ứng phần mềm nghiêm trọng và dai dẳng nhất được ghi nhận cho đến nay. Hiệu quả của chiến dịch này bắt nguồn từ khả năng lan truyền theo cấp số nhân trong toàn bộ hệ sinh thái, biến người dùng bị nhiễm thành các nguồn lây nhiễm mới.
Phương pháp tấn công Shai-Hulud không nhắm vào các lỗ hổng trên các nền tảng như npm hay GitHub. Thay vào đó, nó làm suy yếu giả định cốt lõi rằng phần mềm được xuất bản bởi những người bảo trì đã được xác thực và được ký bằng thông tin xác thực hợp lệ có thể được tin cậy. Bằng cách xâm phạm cả tài khoản người bảo trì và các khóa ký liên quan, kẻ tấn công có thể thực hiện các hoạt động xuất bản độc hại trông hoàn toàn hợp pháp.
Từ góc nhìn của các kho lưu trữ gói phần mềm và nền tảng kho mã nguồn, các bản phát hành độc hại này hầu như không thể phân biệt được với các bản cập nhật phần mềm thông thường. Khả năng hoạt động hoàn toàn trong các quy trình làm việc đáng tin cậy này giải thích tại sao nhiều biện pháp kiểm soát an ninh truyền thống gặp khó khăn trong việc phát hiện và ngăn chặn chiến dịch này.
