Miasma-toimitusketjuhyökkäys: Kuinka avoimen lähdekoodin mato tartutti Microsoftin ja Red Hatin
Miasma on kaksiaaltoinen, itseään kopioiva toimitusketjumato, joka saastutti 32 Red Hatin virallista npm pakettia 1. Hyökkäyksen mahdollisti TeamPCP ryhmän 12.
What was the Miasma supply chain attack on Microsoft and Red Hat GitHub repositories, how did it originate from the open-sourced Mini Shai-HA conceptual visualization of how the Miasma worm propagated from a single compromised account to 73 Microsoft repositories.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What was the Miasma supply chain attack on Microsoft and Red Hat GitHub repositories, how did it originate from the open-sourced Mini Shai-H. Article summary: ## The Miasma Supply Chain Attack. Topic tags: general, general web, user generated, education, government. Reference image context from search candidates: Reference image 1: visual subject "devsecops, ASPM, vulnerability management, application security, exposure management, reachability analysis, attack surface management, npm supply chain, account takeover, TeamPCP," source context "Miasma: Red Hat npm Packages Hit by Shai-Hulud Variant" Reference image 2: visual subject "devsecops, ASPM, vulnerability management, application security, exposure management, reachability analysis, attack surface management, npm supply chain, account takeover, TeamPCP," source
openai.com
Kesäkuun 1. päivänä 2026 aktivoitui uusi toimitusketjuhyökkäys, joka hyödynsi vaarantunutta Red Hatin työntekijän GitHub-tiliä haitallisten koodimuutosten työntämiseen. Muutamassa päivässä itseään levittävä mato oli hypännyt @redhat-cloud-services npm-nimiavaruudesta Microsoftin julkisten tietovarastojen sydämeen. Miasma-nimellä tunnettu hyökkäys ei ollut yksittäisen, varjoissa toimivan edistyneen uhan tekemä – se rakennettiin haittaohjelmatyökalulla, jonka kuka tahansa voi ladata.
Tuo työkalupakki, Mini Shai-Hulud -kehys, julkaistiin avoimena lähdekoodina 12. toukokuuta 2026 TeamPCP-nimisen uhkatoimijaryhmän toimesta . Se mitä seuraavaksi tapahtui, paljastaa uuden ja vaarallisen vaiheen ohjelmistojen toimitusketjujen tietoturvassa: avoimen lähdekoodin hyökkäystyökalujen teollistumisen.
Hyökkäyksen eteneminen: Yhdestä työntekijätilistä 73 Microsoftin tietovarastoon
Tietomurto ei alkanut hienostuneella nollapäivähaavoittuvuudella, vaan yhdellä varastettujen tunnusten sarjalla. Red Hatin työntekijän GitHub-tilin tunnukset olivat ilmestyneet tietovarkauslokeihin jo 13. huhtikuuta 2026 – lähes seitsemän viikon viive ennen niiden aseistamista . Tätä pääsyä käyttäen hyökkääjä työnsi luvattomia koodimuutoksia suoraan RedHatInsights GitHub-organisaation tietovarastoihin .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Miasma-toimitusketjuhyökkäys: Kuinka avoimen lähdekoodin mato tartutti Microsoftin ja Red Hatin"?
Miasma on kaksiaaltoinen, itseään kopioiva toimitusketjumato, joka saastutti 32 Red Hatin virallista npm pakettia 1.
What are the key points to validate first?
Miasma on kaksiaaltoinen, itseään kopioiva toimitusketjumato, joka saastutti 32 Red Hatin virallista npm pakettia 1. Hyökkäyksen mahdollisti TeamPCP ryhmän 12. toukokuuta 2026 tekemä Mini Shai Hulud haittaohjelmakehyksen julkinen julkaisu, joka antoi valmiin työkalupakin myös muille hyökkääjille ja vaikeutti jäljitystä.
What should I do next in practice?
Avoimen lähdekoodin haittaohjelmien aseistaminen edustaa paradigman muutosta, joka madalsi toimitusketjuhyökkäysten kynnystä ja johti suoraan Yhdistyneen kuningaskunnan kyberturvallisuuskeskuksen (NCSC) uusiin toimint...
Nämä muutokset eivät olleet vähäpätöisiä. Hyökkääjä injektoi RedHatInsights/javascript-clients -tietovarastoon haitallisen GitHub Actions -työnkulun, joka pyysi OIDC-tunnisteita ja suoritti hämärännetyn hyötykuorman . Tämä hyötykuorma julkaisi 32 troijalaista pakettiversiota virallisella @redhat-cloud-services npm-nimiavaruudella, joista jokainen kantoi kampanjamerkintää "Miasma: The Spreading Blight". Koska paketit kulkivat Red Hatin laillisen CI/CD-putken läpi ja käyttivät valideja OIDC-julkaisutyönkulkuja, niillä oli aidot SLSA-provenienssitodistukset – eli normaalit tietoturvatarkastukset olisivat leimanneet ne varmennetuiksi .
Haittapakettien viikoittainen latausmäärä oli keskimäärin noin 80 000 . Heti kun kehittäjä ajoi
npm install
-komennon, noin 4,2 megatavun kokoinen hämärnetty JavaScript-hyötykuorma suoritettiin välittömästi preinstall-elinkaarikoukun kautta . Hyötykuorma keräsi tunnistetietoja AWS:stä, Azuresta, GCP:stä, GitHubista, HashiCorp Vaultista, Kubernetes-konfiguraatioista, SSH-avaimista ja paikallisista kehitysympäristöistä . Sitten se käytti varastettuja salaisuuksia haitallisen koodin injektoimiseen muihin projekteihin, joihin uhrilla oli pääsy, muuttaen jokaisen vaarantuneen kehittäjän työaseman ja CI/CD-putken uudeksi levityssolmuksi .
Madon uusin käyttäytymismalli ei ollut pelkkä tunnistetietojen varastaminen – se hyödynsi tekoälykoodaustyökaluja. Miasman muunnelmat istuttivat haitallisia sääntötiedostoja, jotka kohdistuivat Claude Codeen, Cursoriin, Gemini CLI:hin ja GitHub Copilotiin. Nämä tiedostot on suunniteltu suoritettaviksi automaattisesti, kun kehittäjä pelkästään kloonaa ja avaa saastuneen tietovaraston kehitysympäristössään . Käytännössä jo pelkkä koodin lukeminen – ilman paketin asentamistakaan – saattoi laukaista hyötykuorman.
Kesäkuun 5. päivänä 2026 mato saavutti Microsoftin. Haitallinen koodimuutos otsikolla "Switched DataConverter to OrchestrationContext [skip ci]" päätyi Azure/durabletask-tietovarastoon. Sen metatietoja oli manipuloitu näyttämään päivämääräksi 9. maaliskuuta 2020, todennäköisesti epäilyjen välttämiseksi . Tuo koodimuutos oli sillanpääasema. Sieltä mato levisi 73 tietovarastoon neljässä Microsoftin GitHub-organisaatiossa: Azure, Azure-Samples, Microsoft ja MicrosoftDocs . Vaikutusten kohteeksi joutui keskeisiä infrastruktuurikomponentteja, kuten azure-functions-host ja koko Durable Task -perhe .NET-, Go-, Java-, JavaScript-, MSSQL- ja Python-versioineen .
Alkuperä: TeamPCP ja Mini Shai-Huludin avoin julkaisu
Ymmärtääkseen Miasmaa on ymmärrettävä TeamPCP:n päätös avata aseensa lähdekoodi.
TeamPCP (seurataan myös nimillä Replicating Marauder, TGR-CRI-1135 ja UNC6780) on uhkatoimijaryhmä, joka käytti vuodet 2025 ja alkuvuoden 2026 täydellistäen itseään levittävien toimitusketjumatojen perhettä. Heidän operaationsa huipentuivat 11. toukokuuta 2026, jolloin he julkaisivat 373 haitallista pakettiversiota 172 npm- ja PyPI-paketissa. Näiden yhteenlaskettu latauskerta ylitti 518 miljoonaa . Pelkästään tuo kampanja osoitti madon kyvyn purkaa OIDC-tunnisteita GitHub Actions -suorittimen muistista, hankkia valideja allekirjoitusvarmenteita ja tuottaa haittapaketteja, joilla oli hyväksyttävät provenienssitodistukset .
Sitten, 12. toukokuuta 2026, TeamPCP julkaisi täydellisen Mini Shai-Hulud -lähdekoodin GitHubissa MIT-lisenssillä . Samalla ryhmä ilmoitti BreachForumsilla kilpailusta, jossa tarjottiin 1 000 dollaria Monerona suurimmasta heidän kehyksellään toteutetusta toimitusketjuhyökkäyksestä . Viesti oli yksiselitteinen: työkalupakki oli nyt julkista omaisuutta.
Viiden päivän sisällä yksi npm-käyttäjätili oli työntänyt neljä haitallista pakettia, mukaan lukien lähes sanatarkka klooni Shai-Hulud-madosta. OX Security analysoi kloonin ja totesi sen olevan kopioitu "lähes täysin ilman minkäänlaisia muutoksia", eroten vain hyökkääjän omalla komento- ja hallintapäätepisteellä sekä yksityisavaimella . Toimitusketjuhyökkäysten teollistuminen oli alkanut – eivätkä puolustajat vielä tienneet siitä.
Seitsemäntoista päivää avoimen lähdekoodin julkaisun jälkeen Miasma iski Red Hatiin. Haittaohjelman koodi on rakenteellinen muunnelma Mini Shai-Huludista, jossa alkuperäiset Dyyni-aiheiset viittaukset on korvattu kreikkalaisen mytologian teemoilla . Mutta toimintatapa – preinstall-skriptien suoritus, hämärnetyt JavaScript-hyötykuormat, tunnistetietojen keruu ja CI/CD-itseleviäminen – on olennaisesti identtinen .
On tärkeää huomata, että tutkijat eivät voi lopullisesti liittää Miasmaa itseensä TeamPCP:hen. Cloud Security Alliance toteaa nimenomaisesti, että "samaa julkisesti julkaistua koodipohjaa käyttäviä matkijoita ei voida sulkea pois" . Palo Alto Networksin Unit 42 vahvistaa tämän todeten, että "jäljitys on edelleen epävarmaa", koska lähdekoodin julkinen julkaisu tarkoittaa, että kuka tahansa osaava toimija voi kopioida saman hyökkäyksen . Tämä epäselvyys ei ole alaviite – se on tarkoituksellinen piirre avoimen lähdekoodin strategiassa, jonka tarkoituksena on täyttää ekosysteemi kohinalla ja hukuttaa jäljityspyrkimykset .
Matkija-aalto: Phantom Gyp ja ekosysteemin laajeneminen
Avoimen lähdekoodin kehys ei vain mahdollistanut Miasmaa – se synnytti välittömien matkijoiden aallon.
kesäkuuta 2026 ilmaantui uusi muunnelma nimeltä Phantom Gyp, joka saavutti 57 uutta npm-pakettia, mukaan lukien @vapi-ai/server-sdk ja ai-sdk-ollama. Tämä muunnelma käytti aseistettua binding.gyp-tiedostoa haitallisen koodin suorittamiseen paketin asennuksen aikana, ohittaen nyt tiukan tarkkailun alla olevan postinstall-suorituspolun . OpenSourceMalwaren tutkijat vahvistivat kampanjan olevan ensimmäinen vahvistettu käytännön hyökkäys TeamPCP:n kehystä käyttäen, vaikka TeamPCP ei koskaan ottanut siitä kunniaa .
Kesäkuun 8. päivään mennessä SANS Internet Storm Center raportoi, että laajempi hyökkääjäpopulaatio käytti nyt aktiivisesti avoimen lähdekoodin Mini Shai-Hulud -kehystä, ja useat itsenäiset uhkatoimijat käynnistivät omia kampanjoitaan . Haittaohjelma oli levinnyt npm:n ulkopuolelle: tutkijat tunnistivat Ruby-muunnelman, joka vaikutti olevan suuren kielimallin (LLM) kääntämä – karkea mutta toimiva sovitus, joka ei ollut osa alkuperäistä avoimen lähdekoodin koodia . Sopeutumisen nopeus npm:stä useisiin ekosysteemeihin korosti, kuinka perusteellisesti hyökkäyspinta oli muuttunut.
Organisaatioiden vastaus: Nopeutta, häiriötä ja politiikkaa
Vastaus Miasmaan oli poikkeuksellisen nopea ja julkinen, heijastaen sekä tietomurron laajuutta että suurten alustaomistajien osallistumista.
GitHubin vastaus oli välitön. Alusta poisti käytöstä yli 70 Microsoftin omistamaa tietovarastoa noin 105 minuutissa havaitsemisesta 5. kesäkuuta 2026 . Poistetut tietovarastot kattoivat Azure-, Azure-Samples-, Microsoft- ja MicrosoftDocs-organisaatiot . Muutamassa päivässä kaikki tietovarastot palautettiin ja julistettiin puhtaiksi, vaikka jotkut Microsoftin CI/CD-putkista olivat häiriintyneet poiston aikana .
Microsoft julkaisi yksityiskohtaisen teknisen analyysin Threat Intelligence -tiiminsä kautta 2. kesäkuuta 2026, käsitellen koko hyökkäysketjua Red Hatin tietomurrosta CI/CD:n hyväksikäyttöön . Microsoft otti myös erittäin epätavallisen askeleen poistamalla 73 omaa tietovarastoaan ja kertoi BleepingComputerille, että päätös tehtiin huolesta, että tietovarastot levittivät "mahdollisesti haitallista sisältöä" . Häiriö Microsoftin sisäisiin CI/CD-työnkulkuihin osoitti, että edes alustan omistaja ei ollut immuuni toimitusketjumadon seurannaisvaikutuksille.
Red Hat julkaisi tietoturvatiedotteen RHSB-2026-006 1. kesäkuuta 2026, vahvistaen tietomurron ja todeten sen rajoittuvan sisäisiin kehitystyökaluihin ilman vaikutusta Red Hat Enterprise Linuxiin tai OpenShift-tuotteisiin . Yhtiö mitätöi kaikki kyseiset npm-pakettiversiot ja varoitti loppukäyttäjiä.
Yhdistyneen kuningaskunnan kansallinen kyberturvallisuuskeskus (NCSC) nosti tapauksen laajemmaksi poliittiseksi hankkeeksi. NCSC julkaisi 4. kesäkuuta 2026 blogikirjoituksen, jossa nimenomaisesti kehotettiin organisaatioita tarkistamaan avoimen lähdekoodin riippuvuutensa ja vähentämään altistumistaan toimitusketjuhyökkäyksille . Ajoitus ei ollut sattumaa – kirjoitus viittasi suoraan Miasma-kampanjaan katalyyttinä . Kesäkuun 9. päivänä 2026 NCSC julkaisi päivitetyn Cyber Essentials -toimitusketjun pelikirjan, kehottaen brittiyrityksiä tekemään Cyber Essentials -sertifioinnista vakiovaatimuksen toimittajilleen .
NCSC:n ohjeistus keskittyi kolmeen kategoriaan: näkyvyys (auditoi pakettipäivitykset, tunnista odottamattomat riippuvuudet ja ylläpidä ohjelmiston osaluetteloa (SBOM)), arviointi (arvioi toimittajien tietoturvakäytäntöjä) ja toiminta (turvaa toimitusketju hallitustason prioriteettina) . Yhdistyneen kuningaskunnan hallitus otti virallisesti kantaa TeamPCP-kampanjaan, mikä kuvastaa muutosta, jossa avoimen lähdekoodin riippuvuustietoturvaa käsitellään nyt kansallisena kyberturvallisuuspoliittisena kysymyksenä yksittäisen kehittäjän hygienian sijaan.
Miksi Miasmalla on merkitystä: Laajemmat vaikutukset
Miasma-hyökkäys ei ole historian suurin tai hienostunein toimitusketjuhyökkäys. Mutta se saattaa olla opettavaisin ymmärtämään, mitä seuraavaksi tulee.
Ensinnäkin avoimen lähdekoodin hyökkäyskehykset ovat aseistaneet ekosysteemin. TeamPCP:n päätös julkaista Mini Shai-Hulud MIT-lisenssillä on harkittu strategia: aseistaa matkijoiden armeija, luoda jäljityskaaosta ja pakottaa puolustajat puolustautumaan tuntematonta määrää itsenäisiä toimijoita vastaan, jotka käyttävät samaa käsikirjoitusta . Tämä ei ole teoreettista – matkijatoiminta dokumentoitiin viiden päivän kuluessa julkaisusta, ja Miasman jäljitys on edelleen epävarmaa viikkoja myöhemmin .
Toiseksi npm:n preinstall-koukku on systeeminen haavoittuvuus. Hyökkäys käyttää toistuvasti hyväkseen ominaisuutta, joka on suunniteltu laillisia koontiskriptejä varten, mutta josta puuttuvat riittävät hallintamekanismit elinkaariskriptien suorittamiselle . binding.gyp-tiedoston ilmaantuminen ylimääräisenä suoritusvektorina Phantom Gyp -muunnelmassa osoittaa, että hyökkääjät etsivät aktiivisesti uusia elinkaarivaiheita kaapattavaksi . Rekisteritason rajoitukset preinstall- ja muille elinkaariskripteille ovat nyt kiireellinen prioriteetti.
Kolmanneksi tekoälykoodausavustajista on tullut suorituspinta. Miasma on yksi ensimmäisistä dokumentoiduista toimitusketjuhyökkäyksistä, joka kohdistuu erityisesti Claude Codeen, Cursoriin, Copilotiin ja Gemini CLI:hin hyötykuorman toteuttamiseksi haitallisten sääntötiedostojen kautta . Kun kehittäjä kloonaa tietovaraston ja avaa sen, työkalut, jotka on suunniteltu auttamaan paremman koodin kirjoittamisessa, voivatkin suorittaa haitallista koodia. Tämä vektori todennäköisesti laajenee, kun tekoälyavusteisesta kehityksestä tulee oletustyönkulku.
Neljänneksi CI/CD-putkista on tullut korkeimman arvon kohteita. Madon kyky purkaa OIDC-tunnisteita suorittimen muistista ja tuottaa paketteja, joilla on validit SLSA-provenienssitodistukset, tarkoittaa, että standardi kryptografinen varmennus – toimitusketjun eheyden kultainen standardi – voidaan päihittää . Jos alkuperävarmistus menee läpi, puolustajilla ei ole signaalia tietomurrosta. CI/CD-putkien turvaaminen tunnustietojen paljastumiselta ei ole enää valinnaista.
Lopuksi valtiollinen väliintulo on saavuttanut avoimen lähdekoodin riippuvuushallinnan. NCSC:n päivitetty pelikirja ei ole neuvoa-antava – se on konkreettinen pyyntö brittiyrityksille sisällyttää toimitusketjun tietoturva hankintoihin . Organisaatiot, jotka kohtelevat riippuvuuksien tarkistusta kertaluonteisena auditointina jatkuvan prosessin sijaan, toimivat Miasmaa edeltävällä tietoturva-asenteella.
microsoft.comPreinstall to persistence: Inside the Red Hat npm Miasma credential ...
Comments
0 comments