Serangan Rantaian Bekalan Miasma: Daripada Kit Alatan Sumber Terbuka TeamPCP kepada Repositori Microsoft dan Red Hat yang Terjejas

Komitmen ini bukanlah perkara remeh. Di dalam repositori RedHatInsights/javascript-clients, penyerang menyuntik aliran kerja GitHub Actions berniat jahat yang meminta token identiti OIDC dan melaksanakan muatan yang dikelirukan . Muatan ini menerbitkan 32 keluaran pakej berperisai kuda Trojan di bawah skop npm rasmi @redhat-cloud-services, setiap satunya membawa penanda kempen “Miasma: The Spreading Blight” . Oleh kerana pakej-pakej itu mengalir melalui saluran paip CI/CD sah Red Hat dan menggunakan aliran kerja penerbitan OIDC yang sah, ia membawa tandatangan provenans SLSA yang tulen—bermakna pemeriksaan keselamatan standard akan menandakannya sebagai disahkan .

Pakej berniat jahat itu mempunyai purata muat turun mingguan sekitar 80,000 . Sebaik sahaja mana-mana pembangun menjalankan

npm install

Kelakuan paling baharu cacing ini bukan sekadar mencuri bukti kelayakan—ia adalah eksploitasinya terhadap alat pengekodan AI. Varian Miasma menanam fail peraturan berniat jahat yang menyasarkan Claude Code, Cursor, Gemini CLI, dan GitHub Copilot. Fail-fail ini direka untuk dilaksanakan secara automatik apabila pembangun hanya mengklon dan membuka repositori yang terjejas dalam IDE mereka . Secara ringkasnya, tindakan membaca kod—tanpa perlu memasang pakej—boleh mencetuskan muatan tersebut.

Pada 5 Jun 2026, cacing itu sampai ke Microsoft. Satu komitmen berniat jahat bertajuk “Switched DataConverter to OrchestrationContext [skip ci]” mendarat di repositori Azure/durabletask, dengan metadatanya dimanipulasi untuk memaparkan tarikh komitmen sebagai 9 Mac 2020, mungkin dalam percubaan untuk mengelak syak wasangka . Komitmen itu adalah tumpuan pantai. Dari situ, cacing itu merebak ke 73 repositori merentasi empat organisasi GitHub Microsoft: Azure, Azure-Samples, Microsoft, dan MicrosoftDocs . Projek yang terjejas termasuk infrastruktur teras seperti azure-functions-host dan seluruh keluarga Durable Task merentasi .NET, Go, Java, JavaScript, MSSQL, dan Python .

Asal Usul: TeamPCP dan Pensumberan Terbuka Mini Shai-Hulud

Untuk memahami Miasma, anda perlu memahami keputusan TeamPCP untuk menjadikan senjata mereka sumber terbuka.

TeamPCP (juga dijejaki sebagai Replicating Marauder, TGR-CRI-1135, dan UNC6780) ialah kumpulan pelaku ancaman yang telah menghabiskan tahun 2025 dan awal 2026 menyempurnakan keluarga cacing rantaian bekalan yang merebak sendiri. Operasi mereka memuncak pada 11 Mei 2026, apabila mereka menerbitkan 373 versi pakej berniat jahat merentasi 172 pakej npm dan PyPI, dengan gabungan jumlah muat turun melebihi 518 juta . Kempen itu sahaja menunjukkan keupayaan cacing untuk mengekstrak token OIDC dari ingatan pelaksana GitHub Actions, mendapatkan sijil tandatangan yang sah, dan menghasilkan pakej berniat jahat dengan pengesahan provenans yang lulus .

Kemudian, pada 12 Mei 2026, TeamPCP menerbitkan kod sumber lengkap Mini Shai-Hulud ke GitHub di bawah lesen MIT . Bersama-sama itu, kumpulan tersebut mengumumkan pertandingan di BreachForums, menawarkan $1,000 dalam Monero untuk serangan rantaian bekalan terbesar yang dilakukan dengan rangka kerja mereka . Mesejnya jelas: kit alatan itu kini adalah harta awam.

Dalam masa lima hari, satu akaun pengguna npm tunggal telah menolak empat pakej berniat jahat termasuk klon hampir serupa cacing Shai-Hulud. OX Security menganalisis klon itu dan mendapati ia diangkat "hampir tanpa sebarang perubahan langsung," hanya berbeza di titik akhir perintah-dan-kawalan dan kunci peribadi penyerang itu sendiri . Pengindustrian serangan rantaian bekalan telah bermula—dan pembela masih belum mengetahuinya.

Tujuh belas hari selepas pensumberan terbuka, Miasma menyerang Red Hat. Kod perisian hasad itu adalah varian struktur Mini Shai-Hulud, dengan rujukan bertema Dune yang asal digantikan oleh penjenamaan mitologi Yunani . Tetapi tekniknya—pelaksanaan skrip preinstall, muatan JavaScript yang dikelirukan, penuaian bukti kelayakan, dan penyebaran sendiri CI/CD—secara substansialnya serupa .

Penting sekali, penyelidik tidak boleh secara muktamad mengatribusikan Miasma kepada TeamPCP sendiri. Cloud Security Alliance secara eksplisit menyatakan bahawa "pelaku peniru menggunakan pangkalan kod yang sama yang dikeluarkan secara awam tidak boleh diketepikan" . Unit 42 Palo Alto Networks mengukuhkan ini, menyatakan bahawa "atribusi kekal tidak pasti" kerana pelepasan awam kod sumber bermakna mana-mana pelaku yang kompeten boleh meniru serangan yang sama . Kekaburan ini bukan nota kaki—ia adalah ciri sengaja strategi pensumberan terbuka, direka untuk membanjiri ekosistem dengan hingar dan menggagalkan usaha atribusi .

Gelombang Peniru: Phantom Gyp dan Pengembangan Ekosistem

Rangka kerja yang disumber terbuka bukan sahaja membolehkan Miasma—ia melahirkan gelombang aktiviti peniru segera.

Pada 3 Jun 2026, satu varian baharu dipanggil Phantom Gyp muncul, mencapai 57 pakej npm tambahan termasuk @vapi-ai/server-sdk dan ai-sdk-ollama . Varian ini menggunakan fail binding.gyp yang dijadikan senjata untuk melaksanakan kod berniat jahat semasa pemasangan pakej, memintas laluan pelaksanaan postinstall yang kini diteliti . Penyelidik di OpenSourceMalware mengesahkan kempen itu adalah penggunaan pertama yang disahkan di alam liar bagi rangka kerja TeamPCP, walaupun TeamPCP tidak pernah menuntut penghargaan .

Menjelang 8 Jun, SANS Internet Storm Center melaporkan bahawa populasi penyerang yang lebih luas kini secara aktif menggunakan rangka kerja Mini Shai-Hulud yang disumber terbuka, dengan pelbagai pelaku ancaman bebas melancarkan kempen mereka sendiri . Perisian hasad itu telah merebak melangkaui npm: penyelidik mengenal pasti varian Ruby yang kelihatan seperti diterjemahkan oleh LLM—satu versi kasar tetapi berfungsi yang bukan sebahagian daripada kod sumber terbuka asal . Kepantasan adaptasi, dari npm ke pelbagai ekosistem, menekankan betapa telitinya permukaan serangan telah berubah.

Tindak Balas Organisasi: Kepantasan, Gangguan, dan Dasar

Tindak balas terhadap Miasma adalah luar biasa pantas dan luar biasa awam, mencerminkan kedua-dua skala kompromi dan penglibatan pemilik platform utama.

Tindak balas GitHub adalah serta-merta. Platform itu melumpuhkan lebih daripada 70 repositori milik Microsoft dalam kira-kira 105 minit selepas pengesanan pada 5 Jun 2026 . Repositori yang dilumpuhkan merangkumi organisasi Azure, Azure-Samples, Microsoft, dan MicrosoftDocs . Dalam masa beberapa hari, semua repositori telah dipulihkan dan diisytiharkan bersih, walaupun beberapa saluran paip CI/CD Microsoft yang terjejas telah terganggu semasa penurunan .

Microsoft menerbitkan analisis teknikal terperinci melalui pasukan Perisikan Ancaman mereka pada 2 Jun 2026, meliputi rantaian serangan penuh dari kompromi awal Red Hat melalui eksploitasi CI/CD . Microsoft juga mengambil langkah luar biasa membuang 73 repositorinya sendiri, memberitahu BleepingComputer bahawa keputusan itu dibuat kerana kebimbangan repositori itu mengedarkan "kandungan berpotensi berniat jahat" . Gangguan pada aliran kerja CI/CD dalaman Microsoft menunjukkan bahawa walaupun pemilik platform tidak terlepas daripada akibat hiliran cacing rantaian bekalan.

Red Hat menerbitkan nasihat keselamatan RHSB-2026-006 pada 1 Jun 2026, mengesahkan kompromi dan menyatakan bahawa penembusan itu terhad kepada alat pembangunan dalaman tanpa kesan ke atas produk Red Hat Enterprise Linux atau OpenShift . Syarikat itu membatalkan semua versi pakej npm yang terjejas dan memberi amaran kepada pengguna hiliran.

Pusat Keselamatan Siber Kebangsaan UK (NCSC) telah memperhebatkan insiden itu menjadi dorongan dasar yang lebih luas. Pada 4 Jun 2026, NCSC menerbitkan catatan blog yang secara eksplisit menggesa organisasi untuk menyemak pergantungan sumber terbuka mereka dan mengurangkan pendedahan kepada serangan rantaian bekalan . Masa itu bukan kebetulan—catatan itu secara langsung merujuk kempen Miasma sebagai pemangkin . Pada 9 Jun 2026, NCSC mengeluarkan Buku Panduan Rantaian Bekalan Cyber Essentials yang dikemas kini, meminta syarikat UK untuk menjadikan pensijilan Cyber Essentials sebagai keperluan standard untuk pembekal .

Panduan NCSC memberi tumpuan kepada tiga kategori: keterlihatan (audit kemas kini pakej, kenal pasti pergantungan yang tidak dijangka, dan selenggara bil bahan perisian), penilaian (nilai amalan keselamatan pembekal), dan tindakan (selamatkan rantaian bekalan sebagai keutamaan peringkat lembaga) . Kerajaan UK juga secara rasmi terlibat dalam kempen TeamPCP, mencerminkan perubahan di mana keselamatan pergantungan sumber terbuka kini dianggap sebagai perkara dasar keselamatan siber negara dan bukannya kebersihan pembangun individu.

Mengapa Miasma Penting: Implikasi Lebih Luas

Serangan Miasma bukanlah penembusan rantaian bekalan terbesar dalam sejarah, mahupun yang paling canggih. Tetapi ia mungkin yang paling instruktif untuk memahami apa yang akan datang seterusnya.

Pertama, rangka kerja serangan sumber terbuka telah menjadikan ekosistem sebagai senjata. Keputusan TeamPCP untuk menerbitkan Mini Shai-Hulud di bawah lesen MIT adalah strategi sengaja: mempersenjatai tentera peniru, mencipta kekacauan atribusi, dan memaksa pembela untuk mempertahankan diri terhadap bilangan pelaku bebas yang tidak diketahui menggunakan buku panduan yang sama . Ini bukan teori—aktiviti peniru telah didokumenkan dalam masa lima hari selepas pelepasan, dan atribusi Miasma sendiri kekal tidak pasti beberapa minggu kemudian .

Kedua, cangkuk preinstall npm adalah kelemahan sistemik. Serangan ini berulang kali mengeksploitasi ciri yang direka untuk skrip binaan yang sah tetapi tidak mempunyai kawalan yang mencukupi terhadap pelaksanaan skrip kitaran hayat . Kemunculan binding.gyp sebagai vektor pelaksanaan tambahan dalam varian Phantom Gyp menunjukkan bahawa penyerang secara aktif mencari kitaran hayat baharu untuk dirampas . Sekatan peringkat pendaftaran pada preinstall dan skrip kitaran hayat lain kini menjadi keutamaan mendesak.

Ketiga, pembantu pengekodan AI telah menjadi permukaan pelaksanaan. Miasma adalah antara serangan rantaian bekalan pertama yang didokumenkan yang secara khusus menyasarkan Claude Code, Cursor, Copilot, dan Gemini CLI sebagai mekanisme penghantaran muatan melalui fail peraturan berniat jahat . Apabila pembangun mengklon repo dan membukanya, alat AI yang direka untuk membantu mereka menulis kod yang lebih baik sebaliknya boleh melaksanakan kod berniat jahat. Vektor ini mungkin akan berkembang seiring pembangunan berbantu AI menjadi aliran kerja lalai.

Keempat, saluran paip CI/CD kini menjadi sasaran bernilai tertinggi. Keupayaan cacing untuk mengekstrak token OIDC dari ingatan pelaksana dan menghasilkan pakej dengan pengesahan provenans SLSA yang sah bermakna pengesahan kriptografi standard—standard emas untuk integriti rantaian bekalan—boleh ditewaskan . Jika pemeriksaan provenans lulus, pembela tidak mempunyai isyarat untuk menandakan kompromi. Mengamankan saluran paip CI/CD daripada pendedahan bukti kelayakan bukan lagi pilihan.

Akhir sekali, campur tangan kerajaan telah mencapai pengurusan pergantungan sumber terbuka. Buku panduan NCSC yang dikemas kini bukanlah nasihat—ia adalah permintaan konkrit untuk syarikat UK untuk membenamkan keselamatan rantaian bekalan ke dalam perolehan . Organisasi yang menganggap semakan pergantungan sebagai audit sekali sahaja, bukannya proses berterusan, sedang beroperasi dengan postur keselamatan pra-Miasma.