Miasma: Když se open-source zbraň obrátí proti vlastním tvůrcům

Uvnitř repozitáře RedHatInsights/javascript-clients útočník vložil škodlivou GitHub Actions workflow, která si vyžádala OIDC tokeny a spustila maskovaný kód . Výsledkem bylo 32 trojanizovaných verzí balíčků publikovaných pod oficiálním npm rozsahem @redhat-cloud-services. Každý nesl označení kampaně: "Miasma: The Spreading Blight" (Miasma: Šířící se nákaza) . Protože balíčky prošly legitimní CI/CD pipeline Red Hatu a využívaly platné OIDC workflow, měly i pravé SLSA "provenance" podpisy – standardní bezpečnostní kontroly by je tedy označily za ověřené .

Tyto škodlivé balíčky měly v průměru kolem 80 000 stažení týdně . Jakmile vývojář spustil

npm install

Nejvíce znepokojivou novinkou však nebylo jen kradení údajů, ale zneužití nástrojů pro AI asistenci při kódování. Varianty červa Miasma podstrkovaly škodlivé konfigurační soubory cílené na nástroje jako Claude Code, Cursor, Gemini CLI a GitHub Copilot. Tyto soubory se automaticky spouštějí ve chvíli, kdy vývojář repozitář naklonuje a otevře ve svém IDE . Jinými slovy, pouhé prohlížení kódu – bez jakékoli instalace balíčku – mohlo spustit škodlivý kód.

Dne 5. června 2026 červ dosáhl Microsoftu. Do repozitáře Azure/durabletask přibyl škodlivý commit s názvem "Switched DataConverter to OrchestrationContext [skip ci]", jehož metadata byla zmanipulována tak, aby ukazovala datum 9. března 2020, pravděpodobně ve snaze vyhnout se podezření . To bylo předmostí. Odtud se červ rozšířil do 73 repozitářů napříč čtyřmi GitHub organizacemi Microsoftu: Azure, Azure-Samples, Microsoft a MicrosoftDocs . Mezi zasaženými projekty byla klíčová infrastruktura jako azure-functions-host a celá rodina Durable Task pro .NET, Go, Java, JavaScript, MSSQL a Python .

Původ: Skupina TeamPCP a zveřejnění Mini Shai-Hulud

Abychom pochopili Miasma, je nutné pochopit rozhodnutí skupiny TeamPCP sdílet svou zbraň s celým světem.

TeamPCP (sledovaná také jako Replicating Marauder, TGR-CRI-1135 a UNC6780) strávila roky 2025 a začátek 2026 zdokonalováním rodiny samoreplikujících se červů. Jejich kampaň vyvrcholila 11. května 2026, kdy publikovali 373 škodlivých verzí balíčků napříč 172 npm a PyPI projekty s celkovým počtem stažení přesahujícím 518 milionů . Už tehdy červ dokázal extrahovat OIDC tokeny přímo z paměti GitHub Actions runnerů, získat platné podpisové certifikáty a produkovat škodlivé balíčky s platnými "provenance" atestacemi .

A pak, 12. května 2026, skupina TeamPCP zveřejnila kompletní zdrojový kód Mini Shai-Hulud na GitHubu pod MIT licencí . Společně s ním vyhlásila na fóru BreachForums soutěž s odměnou 1 000 dolarů v kryptoměně Monero za největší útok na dodavatelský řetězec provedený s jejich frameworkem . Zpráva byla jasná: toolkit je nyní veřejným majetkem.

Během pěti dní jeden uživatel nahrál na npm čtyři škodlivé balíčky, včetně téměř doslovného klonu červa Shai-Hulud. Společnost OX Security klon analyzovala a zjistila, že byl převzat "téměř beze změny", lišil se pouze vlastním command-and-control serverem útočníka a soukromým klíčem . Industrializace útoků na dodavatelské řetězce začala – a obránci o tom ještě nevěděli.

Sedmnáct dní po zveřejnění zdrojového kódu udeřila Miasma na Red Hat. Kód malwaru je strukturální variantou Mini Shai-Hulud, kde byly původní reference na svět Duny nahrazeny motivy z řecké mytologie . Samotné postupy – spouštění přes preinstall skript, maskované JavaScriptové payloady, sběr přihlašovacích údajů a samoreplikace přes CI/CD – jsou v podstatě identické .

Zásadní je, že výzkumníci nemohou útok Miasma s jistotou připsat přímo skupině TeamPCP. Cloud Security Alliance výslovně uvádí, že "nelze vyloučit copycat aktéry používající stejný veřejně dostupný kód" . Jednotka 42 společnosti Palo Alto Networks to potvrzuje s tím, že "atribuce zůstává nejistá", protože zveřejnění zdrojového kódu znamená, že útok může zopakovat každý schopný aktér . Tato nejednoznačnost není jen poznámka pod čarou – je to záměrný rys strategie zveřejnění zdrojového kódu, jehož cílem je zahltit ekosystém šumem a ztížit přiřazení odpovědnosti .

Vlna napodobitelů: Phantom Gyp a expanze do dalších ekosystémů

Zveřejněný framework neumožnil jen útok Miasma – spustil okamžitou vlnu napodobovacích aktivit.

3. června 2026 se objevila nová varianta zvaná Phantom Gyp, která zasáhla dalších 57 npm balíčků, včetně @vapi-ai/server-sdk a ai-sdk-ollama . Tato varianta používala zneužitý soubor binding.gyp ke spuštění škodlivého kódu během instalace balíčku, čímž obešla již bedlivě sledovanou cestu přes postinstall . Výzkumníci z OpenSourceMalware potvrdili, že šlo o první potvrzené nasazení frameworku TeamPCP v ostrém provozu, ačkoli se k němu skupina TeamPCP nikdy nepřihlásila .

Do 8. června SANS Internet Storm Center hlásilo, že širší útočnická komunita nyní aktivně používá zveřejněný framework Mini Shai-Hulud a že vlastní kampaně spustilo několik nezávislých aktérů . Malware se rozšířil i mimo ekosystém npm: výzkumníci identifikovali variantu pro Ruby, která zřejmě vznikla strojovým překladem pomocí LLM – hrubý, ale funkční port, který nebyl součástí původního zveřejněného kódu . Rychlost adaptace, z npm do více ekosystémů, jen podtrhla, jak důkladně se změnil prostor pro útoky.

Reakce organizací: Rychlost, narušení a politika

Reakce na Miasma byla nezvykle rychlá a veřejná, což odráželo jak rozsah kompromitace, tak účast hlavních vlastníků platforem.

Reakce GitHubu byla okamžitá. Platforma deaktivovala více než 70 repozitářů vlastněných Microsoftem přibližně do 105 minut od detekce 5. června 2026 . Deaktivované repozitáře spadaly pod organizace Azure, Azure-Samples, Microsoft a MicrosoftDocs . Během několika dní byly všechny repozitáře obnoveny a prohlášeny za čisté, ačkoli během odstávky byly narušeny některé CI/CD pipeline Microsoftu .

Microsoft prostřednictvím svého týmu Threat Intelligence publikoval 2. června 2026 podrobnou technickou analýzu celého řetězce útoku, od prvotní kompromitace Red Hatu až po zneužití CI/CD . Microsoft také učinil velmi neobvyklý krok, když odstranil 73 svých vlastních repozitářů. Serveru BleepingComputer sdělil, že tak učinil z obavy, že by repozitáře mohly distribuovat "potenciálně škodlivý obsah" . Narušení interních CI/CD workflow Microsoftu ukázalo, že ani vlastník platformy není imunní vůči následkům červa v dodavatelském řetězci.

Red Hat vydal bezpečnostní oznámení RHSB-2026-006 1. června 2026, v němž kompromitaci potvrdil s tím, že narušení bylo omezeno na interní vývojové nástroje a nemělo dopad na produkty Red Hat Enterprise Linux nebo OpenShift . Společnost zneplatnila všechny dotčené verze npm balíčků a varovala odběratele.

Britské Národní centrum kybernetické bezpečnosti (NCSC) povýšilo incident na širší politickou agendu. Dne 4. června 2026 publikovalo blogový příspěvek, v němž výslovně vyzvalo organizace, aby prověřily své open-source závislosti a snížily svou zranitelnost vůči útokům na dodavatelské řetězce . Načasování nebylo náhodné – příspěvek přímo odkazoval na kampaň Miasma jako na katalyzátor . Dne 9. června 2026 NCSC vydalo aktualizovanou příručku "Cyber Essentials Supply Chain Playbook", v níž vyzvalo britské firmy, aby certifikaci Cyber Essentials učinily standardním požadavkem pro své dodavatele .

Pokyny NCSC se zaměřily na tři kategorie: viditelnost (audit aktualizací balíčků, identifikace neočekávaných závislostí a vedení softwarového kusovníku), hodnocení (prověření bezpečnostních praktik dodavatelů) a akce (zabezpečení dodavatelského řetězce jako priority na úrovni vedení firmy) . Vláda Spojeného království se také formálně angažovala v kampani TeamPCP, což odráží posun, kdy je bezpečnost open-source závislostí nyní otázkou národní kybernetické politiky, nikoli jen hygieny jednotlivých vývojářů.

Proč na Miasmě záleží: Širší důsledky

Útok Miasma není největším narušením dodavatelského řetězce v historii, ani tím nejsofistikovanějším. Může být ale tím nejpoučnějším pro pochopení toho, co přijde dál.

Za prvé, zveřejnění open-source útočných frameworků vyzbrojilo ekosystém. Rozhodnutí skupiny TeamPCP publikovat Mini Shai-Hulud pod MIT licencí je záměrnou strategií: vyzbrojit armádu napodobitelů, vytvořit chaos v atribuci a donutit obránce, aby se bránili neznámému počtu nezávislých aktérů používajících stejný scénář . Není to teorie – aktivita copycatů byla zdokumentována do pěti dnů od vydání a atribuce samotné Miasmy zůstává po týdnech nejistá .

Za druhé, npm háček preinstall je systémovou zranitelností. Útok opakovaně zneužívá funkci určenou pro legitimní build skripty, která ale postrádá dostatečné kontroly . Objevení binding.gyp jako dalšího vektoru u varianty Phantom Gyp ukazuje, že útočníci aktivně hledají nové životní cykly, které by mohli zneužít . Omezení preinstall a dalších skriptů na úrovni registru je nyní naléhavou prioritou.

Za třetí, AI asistenti pro kódování se stali plochou pro spouštění útoků. Miasma je jedním z prvních dokumentovaných útoků na dodavatelský řetězec, který se specificky zaměřuje na Claude Code, Cursor, Copilot a Gemini CLI jako na mechanismy doručení škodlivého kódu prostřednictvím škodlivých souborů s pravidly . Když vývojář naklonuje repozitář a otevře ho, nástroje AI, které mu mají pomáhat psát lepší kód, mohou místo toho spustit škodlivý kód. Tento vektor se pravděpodobně rozšíří s tím, jak se vývoj s asistencí AI stane standardním pracovním postupem.

Za čtvrté, CI/CD pipeline se nyní staly nejcennějšími cíli. Schopnost červa extrahovat OIDC tokeny z paměti runnerů a produkovat balíčky s platnými SLSA "provenance" atestacemi znamená, že standardní kryptografické ověření – zlatý standard pro integritu dodavatelského řetězce – může být překonáno . Pokud kontroly "provenance" projdou, obránci nemají žádný signál, který by kompromitaci odhalil. Zabezpečení CI/CD pipeline proti úniku přihlašovacích údajů již není volitelné.

A konečně, zásahy vlád dosáhly úrovně správy open-source závislostí. Aktualizovaná příručka NCSC není poradní – je to konkrétní požadavek, aby britské firmy začlenily bezpečnost dodavatelského řetězce do svých nákupních procesů . Organizace, které přistupují k revizi závislostí jako k jednorázovému auditu, a ne jako k nepřetržitému procesu, fungují v bezpečnostním režimu starém jako před Miasma.