Worm Miasma Menyerang GitHub Microsoft

Asal-Usul: Kompromi Paket npm Red Hat

Insiden GitHub Microsoft ini merupakan puncak dari sebuah kampanye yang dimulai beberapa hari sebelumnya di rantai pasok perangkat lunak open-source.

Pada 1 Juni 2026, penyerang menggunakan akun GitHub karyawan Red Hat yang dicuri untuk menerbitkan versi pintu belakang dari 32 paket npm resmi @redhat-cloud-services, yang mencakup lebih dari 90 versi . Microsoft Threat Intelligence melacak kompromi ini ke hulu, yaitu pipeline CI/CD RedHatInsights/javascript-clients, yang memungkinkan penyerang untuk menerbitkan paket trojanized dengan tanda tangan provenance resmi yang tampak sah . Paket-paket berbahaya ini membawa skrip preinstall yang dikaburkan (obfuscated) yang menjalankan pencuri kredensial saat instalasi, menjadi fondasi untuk propagasi Miasma yang lebih luas .

Penanganan dan Respons Insiden

Respons terhadap serangan ini cepat dan tegas, tetapi implikasinya sangat mendalam.

• Penonaktifan Segera: Sistem deteksi penyalahgunaan otomatis GitHub melumpuhkan 73 repositori yang terinfeksi dalam dua gelombang diskrit, langsung memblokir akses publik dan menampilkan pemberitahuan "pelanggaran ketentuan layanan" .
• Pemulihan dan Remediasi: Microsoft sepenuhnya memulihkan semua repositori yang terdampak pada 8 Juni dan memberi tahu pelanggan yang terkena dampak . Sebuah temuan penting adalah bahwa penyerang menggunakan kembali GitHub Actions secrets yang belum dirotasi untuk mempertahankan dan memperluas akses, menandakan bahwa pembersihan dari kompromi sebelumnya belum tuntas .
• Akar Masalah yang Lebih Dalam: Investigasi mengungkapkan bahwa kredensial curian yang digunakan dalam serangan 5 Juni telah tersimpan di log pencuri aktif selama 48 hari sebelum akhirnya digunakan sebagai senjata, menggarisbawahi adanya penyusupan jangka panjang yang mendahului aktivasi worm ini .

Atribusi: Warisan Shai-Hulud dan Masalah Peniru

Miasma adalah turunan langsung dari kerangka kerja worm Mini Shai-Hulud, sebuah toolkit yang dibuat oleh kelompok ancaman bernama TeamPCP . Kampanye TeamPCP sebelumnya, yang diungkap pada 12 Mei 2026, telah mengorbankan lebih dari 170 paket npm dan PyPI, dengan lebih dari 518 juta unduhan kumulatif, yang secara langsung menargetkan pustaka pengembang AI .

Situasi ini semakin rumit karena TeamPCP telah merilis kerangka kerja Mini Shai-Hulud secara open-source . Ini berarti banyak aktor peniru yang tidak diketahui memiliki akses ke basis kode yang sama. Meskipun teknik dan kodenya sangat terkait dengan garis keturunan TeamPCP, banyak peneliti keamanan memperingatkan bahwa atribusi pasti kepada kelompok aslinya tidak dapat dilakukan, karena aktor mana pun dengan toolkit open-source tersebut bisa saja mengorkestrasi sebagian atau seluruh gelombang serangan spesifik ini .

Rekomendasi Keamanan untuk Pengembang

Serangan Miasma secara fundamental mengubah definisi batas keamanan. Membuka repositori kode bukan lagi tindakan pasif yang aman. Para peneliti telah merangkum beberapa rekomendasi kunci:

• Cabut dan Rotasi Semuanya: Segera rotasi semua token GitHub Actions, kredensial penyedia cloud, token terbitan npm, dan rahasia lainnya yang mungkin terekspos melalui log CI/CD, repositori yang terinfeksi, atau log pencuri .
• Terapkan Multi-Factor Authentication (MFA) yang Ketat: Wajibkan MFA, terutama menggunakan kunci keamanan perangkat keras, untuk semua akun kontributor guna mencegah intrusi berbasis kredensial .
• Bersihkan Batas Kepercayaan AI Tooling: Perlakukan repositori yang tidak tepercaya seperti memperlakukan aplikasi yang tidak dikenal. Konfigurasikan AI coding agent (Claude Code, Cursor, Gemini CLI, VS Code) untuk tidak mengeksekusi atau membaca berkas konfigurasi dan tugas secara otomatis dari repositori .
• Perkuat Keamanan Pipeline CI/CD: Audit alur kerja GitHub Actions untuk membatasi akses tulis pada token Actions, hapus token yang tidak digunakan, dan terapkan penggunaan kredensial berumur pendek .
• Perketat Kebersihan Rantai Pasok: Gunakan alat pemindaian dependensi, buat SBOM (Software Bill of Materials), dan verifikasi provenance paket sebelum instalasi. Pantau paket untuk skrip preinstall atau postinstall yang dikaburkan .