Miasma, den selvreplikerende malware, der lammede Microsofts Github på under to minutter

Oprindelsen: Kompromitteringen af Red Hats npm-pakker

Hændelsen med Microsofts GitHub var det sidste kapitel i en kampagne, der begyndte dage tidligere i open source-softwareforsyningskæden.

Den 1. juni 2026 brugte angribere en stjålet GitHub-konto tilhørende en Red Hat-medarbejder til at udgive manipulerede versioner af 32 officielle @redhat-cloud-services npm-pakker fordelt på over 90 versioner . Microsoft Threat Intelligence sporede kompromitteringen til den opstrøms CI/CD-pipeline RedHatInsights/javascript-clients, hvilket tillod angriberne at udgive inficerede pakker med legitime ægthedssignaturer . Disse ondsindede pakker indeholdt et sløret preinstall-script, der eksekverede en loginoplysningsstjæler ved installation, hvilket lagde grunden til den bredere Miasma-udbredelse .

Reaktion og inddæmning

Reaktionen på angrebet var hurtig og resolut, men hændelsens implikationer stikker dybt.

• Øjeblikkelig deaktivering: GitHubs automatiserede systemer til misbrugsdetektion deaktiverede alle 73 inficerede repositorier i to adskilte bølger og blokerede omgående offentlig adgang med en meddelelse om overtrædelse af servicevilkårene .
• Genopretning og afhjælpning: Microsoft gendannede alle berørte repositorier inden den 8. juni og informerede de påvirkede kunder . En nøgleobservation var, at angriberen genbrugte uroterede GitHub Actions-secrets for at fastholde og udvide adgangen, hvilket tydede på, at en tidligere kompromittering ikke var blevet fuldstændigt fjernet .
• En dybere rod: Undersøgelser afslørede, at de stjålne oplysninger, der blev brugt i angrebet den 5. juni, havde ligget i aktive stjæler-logs i 48 dage, før de blev våbenliggjort. Dette understreger, at der var tale om en langvarig infiltration, der gik forud for ormens aktivering .

Hvem stod bag? Arven fra Shai-Hulud og copycat-problemet

Miasma er en direkte efterkommer af Mini Shai-Hulud-orme-frameworket, et værktøjssæt skabt af trusselsgruppen kendt som TeamPCP . TeamPCPs tidligere kampagne, offentliggjort den 12. maj 2026, havde allerede kompromitteret over 170 npm- og PyPI-pakker med mere end 518 millioner akkumulerede downloads, rettet direkte mod AI-udviklerbiblioteker .

Situationen kompliceres yderligere af, at TeamPCP frigav Mini Shai-Hulud-frameworket som open source . Det betyder, at et ukendt antal copycat-aktører har adgang til den samme kodebase. Selvom teknikkerne og koden stærkt forbinder Miasma med TeamPCPs arv, advarer flere sikkerhedsforskere om, at en endelig tilskrivning til den oprindelige gruppe ikke kan foretages, da enhver aktør med det åbne værktøjssæt kunne have stået bag dele af eller hele denne specifikke bølge .

Sikkerhedsanbefalinger til udviklere

Miasma-angrebet omdefinerer fundamentale sikkerhedsgrænser. At åbne et koderepository er ikke længere en passiv, sikker handling. Forskere har samlet sig om flere nøgleanbefalinger:

• Tilbagekald og rotér alt: Rotér omgående alle GitHub Actions-tokens, cloud-udbyderoplysninger, npm-udgivelsestokens og enhver anden secret, der kan være blevet eksponeret gennem CI/CD-logs, inficerede repositorier eller stjæler-logs .
• Håndhæv streng MFA: Kræv multifaktorautentifikation, helst med brug af hardware-sikkerhedsnøgler, for alle bidragsyderkonti for at forhindre legitimationsbaserede indtrængninger .
• Sanitér tillidsgrænser for AI-værktøjer: Behandl utroværdige repositorier, som du ville gøre med en ukendt programfil. Konfigurér AI-kodeagenter (Claude Code, Cursor, Gemini CLI, VS Code) til ikke automatisk at eksekvere eller læse konfigurationsfiler og opgaver fra repositorier .
• Hærd CI/CD-pipelines: Auditér GitHub Actions-workflows for at begrænse skriveadgang på Actions-tokens, fjern ubrugte tokens, og håndhæv brugen af kortlivede legitimationsoplysninger .
• Styrk forsyningskædehygiejnen: Brug værktøjer til afhængighedsscanning, generér en SBOM (Software Bill of Materials), og verificér pakkers oprindelse før installation. Overvåg pakker for slørede preinstall- eller postinstall-scripts .