Miasma Supply Chain-angrebet: Fra TeamPCP's open-source værktøjskasse til kompromitterede Microsoft- og Red Hat-repositorier

Ændringerne var ikke harmløse. I repositoriet RedHatInsights/javascript-clients indsatte angriberen en ondsindet GitHub Actions-workflow, der anmodede om OIDC-identitetstokens og eksekverede en sløret kodebase . Denne kodebase publicerede 32 trojaniserede pakkeudgivelser under det officielle @redhat-cloud-services npm-navneområde, hver især med kampagnemarkøren “Miasma: The Spreading Blight” . Fordi pakkerne flød igennem Red Hats legitime CI/CD-pipeline og brugte gyldige OIDC-publiceringsworkflows, bar de autentiske SLSA-provenance-signaturer – hvilket betød, at standard sikkerhedstjek ville godkende dem som verificerede .

De ondsindede pakker havde i gennemsnit omkring 80.000 ugentlige downloads . I det øjeblik en udvikler kørte

npm install

Ormens måske mest opsigtsvækkende adfærd var ikke blot tyveri af legitimationsoplysninger, men dens udnyttelse af AI-kodningsværktøjer. Varianter af Miasma plantede ondsindede regelfiler målrettet Claude Code, Cursor, Gemini CLI og GitHub Copilot. Disse filer er designet til at blive eksekveret automatisk, når en udvikler blot kloner og åbner det kompromitterede repositorium i sit udviklingsmiljø . I praksis kunne selve handlingen med at læse koden – uden nogensinde at installere en pakke – udløse den ondsindede kode.

Den 5. juni 2026 nåede ormen til Microsoft. En ondsindet ændring med titlen "Switched DataConverter to OrchestrationContext [skip ci]" landede i repositoriet Azure/durabletask, med manipuleret metadata, så datoen fremstod som den 9. marts 2020 – sandsynligvis for at undgå mistanke . Dette commit var brohovedet. Derfra spredte ormen sig til 73 repositorier på tværs af fire Microsoft GitHub-organisationer: Azure, Azure-Samples, Microsoft og MicrosoftDocs . De berørte projekter omfattede kerneinfrastruktur som azure-functions-host og hele Durable Task-familien på tværs af .NET, Go, Java, JavaScript, MSSQL og Python .

Oprindelsen: TeamPCP og open-sourcing af Mini Shai-Hulud

For at forstå Miasma er man nødt til at forstå TeamPCP's beslutning om at gøre deres våben til open source.

TeamPCP (også sporet som Replicating Marauder, TGR-CRI-1135 og UNC6780) er en trusselsgruppe, der gennem 2025 og starten af 2026 havde perfektioneret en familie af selvspredende supply chain-orme. Deres operationer kulminerede den 11. maj 2026, da de publicerede 373 ondsindede pakkeversioner på tværs af 172 npm- og PyPI-pakker med et samlet downloadtal på over 518 millioner . Alene den kampagne demonstrerede ormens evne til at udtrække OIDC-tokens fra GitHub Actions runner-hukommelse, skaffe gyldige signeringscertifikater og producere ondsindede pakker med godkendte provenance-attesteringer .

Den 12. maj 2026 offentliggjorde TeamPCP så den komplette Mini Shai-Hulud-kildekode på GitHub under en MIT-licens . Samtidig annoncerede gruppen en konkurrence på BreachForums med en præmie på $1.000 i Monero for det største supply chain-angreb udført med deres ramme . Budskabet var klart: værktøjskassen var nu offentlig ejendom.

Inden for fem dage havde en enkelt npm-brugerkonto pushet fire ondsindede pakker, herunder en næsten ordret klon af Shai-Hulud-ormen. OX Security analyserede klonen og fandt, at den var løftet "næsten helt uden nogen ændringer overhovedet", og kun adskilte sig ved angriberens egen kommando-og-kontrol-server og private nøgle . Industrialiseringen af supply chain-angreb var begyndt – og forsvarerne vidste det endnu ikke.

Sytten dage efter open-sourcingen ramte Miasma Red Hat. Malwarens kode er en strukturel variant af Mini Shai-Hulud, hvor de oprindelige Dune-tema-referencer er erstattet af branding fra græsk mytologi . Men fremgangsmåden – preinstall-script-eksekvering, slørede JavaScript-payloads, høstning af legitimationsoplysninger og selvspredning via CI/CD – er stort set identisk .

Det er afgørende, at forskere ikke endegyldigt kan tilskrive Miasma-angrebet til TeamPCP selv. Cloud Security Alliance bemærker udtrykkeligt, at "kopi-aktører, der bruger den samme offentligt udgivne kodebase, ikke kan udelukkes" . Palo Alto Networks' Unit 42 understreger, at "attribueringen forbliver usikker", fordi den offentlige udgivelse af kildekoden betyder, at enhver kompetent aktør kan replikere det samme angreb . Denne tvetydighed er ikke en fodnote – det er et bevidst træk i open-source-strategien, designet til at oversvømme økosystemet med støj og overvælde forsøg på attribuering .

Bølgen af kopister: Phantom Gyp og økosystemudvidelse

Den open-sourcede ramme muliggjorde ikke kun Miasma – den affødte en bølge af øjeblikkelig kopi-aktivitet.

Den 3. juni 2026 opstod en ny variant kaldet Phantom Gyp, som nåede 57 yderligere npm-pakker, herunder @vapi-ai/server-sdk og ai-sdk-ollama . Denne variant brugte en bevæbnet binding.gyp-fil til at eksekvere ondsindet kode under pakkeinstallationen og omgik dermed den nu stærkt overvågede postinstall-eksekveringssti . Forskere hos OpenSourceMalware bekræftede, at kampagnen var den første dokumenterede brug af TeamPCP's ramme i praksis, selvom TeamPCP aldrig tog æren for den .

Den 8. juni rapporterede SANS Internet Storm Center, at den bredere angriberpopulation nu aktivt anvendte den open-sourcede Mini Shai-Hulud-ramme, og at flere uafhængige trusselsaktører havde lanceret deres egne kampagner . Malwaren havde spredt sig ud over npm: forskere identificerede en Ruby-variant, der så ud til at være LLM-oversat – en grov, men funktionel portering, som ikke var en del af den oprindelige open-source-kode . Hastigheden af tilpasningen, fra npm til flere økosystemer, understregede hvor gennemgribende angrebsfladen havde ændret sig.

Den organisatoriske respons: Hurtighed, disruption og politik

Responsen på Miasma var usædvanlig hurtig og usædvanlig offentlig, hvilket afspejler både kompromitteringens omfang og involveringen af store platformsejere.

GitHubs respons var øjeblikkelig. Platformen deaktiverede mere end 70 Microsoft-ejede repositorier inden for ca. 105 minutter efter opdagelsen den 5. juni 2026 . De deaktiverede repositorier spændte over Azure, Azure-Samples, Microsoft og MicrosoftDocs-organisationerne . I løbet af få dage var alle repositorier genoprettet og erklæret rene, selvom nogle berørte Microsoft CI/CD-pipelines var blevet forstyrret under nedlukningen .

Microsoft offentliggjorde en detaljeret teknisk analyse via deres Threat Intelligence-team den 2. juni 2026, der dækkede hele angrebskæden fra det oprindelige Red Hat-kompromit via CI/CD-udnyttelsen . Microsoft tog også det højst usædvanlige skridt at fjerne 73 af sine egne repositorier og fortalte BleepingComputer, at beslutningen blev truffet af bekymring for, at repositorierne distribuerede "potentielt ondsindet indhold" . Forstyrrelsen af Microsofts interne CI/CD-workflows viste, at selv platformsejeren ikke var immun over for de afledte konsekvenser af en supply chain-orm.

Red Hat udgav sikkerhedsbulletinen RHSB-2026-006 den 1. juni 2026, der bekræftede kompromitteringen og fastslog, at bruddet var begrænset til interne udviklingsværktøjer uden påvirkning af Red Hat Enterprise Linux- eller OpenShift-produkter . Virksomheden tilbagekaldte alle berørte npm-pakkeversioner og advarede downstream-forbrugere.

Storbritanniens National Cyber Security Centre (NCSC) eskalerede hændelsen til et bredere politisk fremstød. Den 4. juni 2026 offentliggjorde NCSC et blogindlæg, der udtrykkeligt opfordrede organisationer til at gennemgå deres open-source-afhængigheder og reducere eksponeringen for supply chain-angreb . Tidspunktet var ikke tilfældigt – indlægget refererede direkte til Miasma-kampagnen som en katalysator . Den 9. juni 2026 udgav NCSC en opdateret Cyber Essentials Supply Chain Playbook, der opfordrer britiske virksomheder til at gøre Cyber Essentials-certificering til et standardkrav for leverandører .

NCSC's vejledning fokuserede på tre kategorier: synlighed (revidér pakkeopdateringer, identificer uventede afhængigheder, og vedligehold en software-stykliste), vurdering (evaluer leverandørers sikkerhedspraksis) og handling (sikr forsyningskæden som en prioritet på bestyrelsesniveau) . Den britiske regering engagerede sig også formelt i forhold til TeamPCP-kampagnen, hvilket afspejler et skifte, hvor open-source afhængighedssikkerhed nu behandles som et spørgsmål om national cybersikkerhedspolitik snarere end individuel udviklerhygiejne.

Hvorfor Miasma betyder noget: De bredere implikationer

Miasma-angrebet er ikke det største supply chain-brud i historien, og heller ikke det mest sofistikerede. Men det er måske det mest lærerige for at forstå, hvad der kommer derefter.

For det første har open-source angrebsrammer bevæbnet økosystemet. TeamPCP's beslutning om at udgive Mini Shai-Hulud under en MIT-licens er en bevidst strategi: at bevæbne en hær af kopister, skabe attribueringskaos og tvinge forsvarere til at forsvare sig mod et ukendt antal uafhængige aktører, der bruger den samme drejebog . Dette er ikke teoretisk – kopi-aktivitet blev dokumenteret inden for fem dage efter udgivelsen, og attribueringen af Miasma forbliver usikker flere uger senere .

For det andet er npm's preinstall-hook en systemisk sårbarhed. Angrebet udnytter gentagne gange en funktion designet til legitime build-scripts, men som mangler tilstrækkelig kontrol med lifecycle-script-eksekvering . Fremkomsten af binding.gyp som en yderligere eksekveringsvektor i Phantom Gyp-varianten viser, at angribere aktivt søger efter nye lifecycles at kapre . Register-niveau restriktioner på preinstall og andre lifecycle-scripts er nu en presserende prioritet.

For det tredje er AI-kodningsassistenter blevet en eksekveringsflade. Miasma er blandt de første dokumenterede supply chain-angreb, der specifikt målretter Claude Code, Cursor, Copilot og Gemini CLI som leveringsmekanismer for ondsindet kode via ondsindede regelfiler . Når en udvikler kloner et repo og åbner det, kan de AI-værktøjer, der er designet til at hjælpe med at skrive bedre kode, i stedet eksekvere ondsindet kode. Denne vektor vil sandsynligvis udvide sig, i takt med at AI-assisteret udvikling bliver standardarbejdsgangen.

For det fjerde er CI/CD-pipelines nu de mest værdifulde mål. Ormens evne til at udtrække OIDC-tokens fra runner-hukommelse og producere pakker med gyldige SLSA-provenance-attesteringer betyder, at standard kryptografisk verifikation – den gyldne standard for supply chain-integritet – kan omgås . Hvis provenance-tjek bestås, har forsvarere intet signal til at opdage kompromitteringen. Sikring af CI/CD-pipelines mod eksponering af legitimationsoplysninger er ikke længere valgfrit.

Endelig har statslig indgriben nået håndteringen af open-source afhængigheder. NCSC's opdaterede playbook er ikke blot rådgivning – det er en konkret opfordring til britiske virksomheder om at indlejre supply chain-sikkerhed i deres indkøbsprocesser . Organisationer, der behandler afhængighedsgennemgang som en engangsrevision frem for en kontinuerlig proces, opererer med en sikkerhedspraksis fra tiden før Miasma.