Црвот Miasma погоди 73 Microsoft GitHub репозиториуми во голем напад врз синџирот на снабдување

GitHub репозиториумите на Microsoft станаа најновите жртви на тековната кампања на самореплицирачкиот црв Miasma, насочена кон напади врз синџирот на снабдување со софтвер.

Според OpenSourceMalware, инцидентот погодил 73 репозиториуми на Microsoft распоредени во четири GitHub организации: Azure, Azure-Samples, Microsoft и MicrosoftDocs. Како резултат на тоа, GitHub го оневозможил пристапот до погодените репозиториуми.

„Пристапот до овој репозиториум е оневозможен од страна на GitHub поради прекршување на условите за користење на платформата“, стои во пораката што се прикажува при обид за пристап до репозиториумот „Azure/azure-functions-host“. „Доколку сте сопственик на репозиториумот, можете да контактирате со GitHub Support за дополнителни информации.“

Според OpenSourceMalware, меѓу погодените репозиториуми се:

• azure-search-openai-demo-purviewdatasecurity
• Connectors-NET-LSP
• Connectors-NET-SDK
• durabletask
• durabletask-dotnet
• durabletask-go
• durabletask-js
• durabletask-mssql
• functions-container-action
• homebrew-functions
• llm-fine-tuning
• windows-driver-docs

Особено значајно во оваа најнова кампања е повторната компромитација на пакетот „durabletask“ на PyPI, кој минатиот месец беше заразен од TeamPCP за испорака на малициозен софтвер за кражба на информации на Linux системи.

„Еден месец подоцна, не само што исчезна Azure/durabletask, туку и секој поврзан репозиториум во екосистемот Durable Task, сместен во соседната Microsoft организација: имплементациите за .NET, Go, Java, JavaScript, MSSQL, Netherite и protobuf, како и Durable Functions Monitor“, изјави безбедносниот истражувач Paul McCarty (познат и како 6mile).

„Кога репозиториумот што беше во центарот на компромитацијата минатиот месец е истовремено и центарот на сегашното отстранување, тоа не е случајност – тоа е повторно отворање на истата рана. Лицето или групата што ги поседуваше тие акредитиви во мај веројатно никогаш целосно не го изгубила пристапот до нив.“

Се проценува дека Miasma е варијанта на црвот Mini Shai-Hulud, кој групата TeamPCP јавно го објави во средината на мај 2026 година. Оттогаш, малициозниот софтвер продолжил да мутира и да ги усовршува своите техники, додека во последните неколку дена заразил уште повеќе пакети, користејќи различни описи за новосоздадените јавни репозиториуми што ги содржат украдените тајни податоци (secrets):

• Miasma: The Spreading Blight
• Miasma : The Spreading Blight
• Miasma – The Spreading Blight
• Hades – The End for the Damned

Во моментот на пишување на извештајот, постојат 13 репозиториуми со опис „Hades – The End for the Damned“ и уште 82 репозиториуми што ги користат останатите три варијанти на именување.

Исто така е забележано дека Miasma целосно го заобиколува npm регистарот. Наместо тоа, напаѓачите директно внесувале малициозен код во репозиториумот „icflorescu/mantine-datatable“ и во четири поврзани репозиториуми:

• mantine-contextmenu
• next-server-actions-parallel
• mantine-datatable-v6
• mantine-contextmenu-v6

Според SafeDep:

„Комитот не додаде никакви нови зависности. Наместо тоа, вметна извршувач на малициозен товар (payload runner) со големина од 4,3 MB и го конфигурираше автоматски да се извршува преку пет развојни алатки: Claude Code, Gemini CLI, Cursor, VS Code и npm test скриптата.“

„Нападот се активира кога програмер ќе клонира еден од погодените репозиториуми и ќе го отвори во AI агент за програмирање. Dropper-компонентата е истиот повеќестепен Bun loader што претходно беше користен, но сега е приспособен за одржување на присуството во GitHub изворните репозиториуми наместо за труење на софтверските регистри.“

Овие напади врз синџирот на снабдување со софтвер ги разоткрија фундаменталните слабости во моделот на доверба врз кој се базира испораката на софтвер во екосистемите со отворен код. Поради тоа, кампањата се смета за една од најзначајните и најдолготрајните забележани досега.

Она што ја издвојува оваа активност од другите инциденти е нејзината способност експоненцијално да се шири низ екосистемот преку компромитирање на зависните корисници и постојано повторување на истиот циклус на инфекција.

Според FalconFeeds.io:

„Генијалноста на црвот и причината поради која традиционалните одбранбени механизми во голема мера не успеаја е тоа што тој функционира целосно преку легитимни канали. Тој не искористува ранливост во npm или GitHub.“

„Наместо тоа, го злоупотребува моделот на доверба врз кој се изградени тие платформи – претпоставката дека ако пакетот е потпишан со валиден клуч и е објавен од автентициран одржувач, тогаш е безбеден.“

„Shai-Hulud ги компромитира клучот и одржувачот, а потоа продолжува да се однесува токму како легитимен издавач на софтвер. Од перспектива на регистарот, секое злонамерно објавување изгледа идентично со рутинско ажурирање.“

Извори:

• The Hacker News – Miasma Worm Hits 73 Microsoft GitHub Repositories in Major Supply Chain Attack The Hacker News