Cacing Miasma Serang GitHub Microsoft: Bagaimana Perisian Hasad Menjadikan Alatan Pengekodan AI sebagai Senjata

Asal-Usul: Kompromi npm Red Hat

Insiden GitHub Microsoft adalah babak terakhir satu kempen yang bermula beberapa hari lebih awal dalam rantaian bekalan perisian sumber terbuka.

Pada 1 Jun 2026, penyerang menggunakan akaun GitHub pekerja Red Hat yang dicuri untuk menerbitkan versi pintu belakang 32 pakej npm rasmi @redhat-cloud-services, merangkumi lebih 90 versi . Pasukan Risikan Ancaman Microsoft mengesan kompromi ini kembali kepada saluran paip CI/CD RedHatInsights/javascript-clients di peringkat huluan, yang membolehkan penyerang menerbitkan pakej yang telah dijadikan trojan dengan tandatangan provenans asli yang kelihatan sah . Pakej-pakej berniat jahat ini membawa skrip pra-pasang yang dikaburkan yang melaksanakan pencuri bukti kelayakan sebaik dipasang, meletakkan asas untuk penyebaran Miasma yang lebih meluas .

Tindak Balas dan Pembendungan

Tindak balas terhadap serangan ini pantas dan tegas, namun implikasinya sangat mendalam.

• Pelumpuhan Segera: Sistem pengesanan penyalahgunaan automatik GitHub melumpuhkan kesemua 73 repositori yang dijangkiti dalam dua gelombang berasingan, serta-merta menyekat akses awam dan memaparkan notis "pelanggaran syarat perkhidmatan" .
• Pemulihan dan Pemulihan: Microsoft memulihkan sepenuhnya semua repositori yang terjejas menjelang 8 Jun dan memaklumkan pelanggan yang terkesan . Satu penemuan penting ialah penyerang menggunakan semula rahsia GitHub Actions yang tidak diganti (unrotated) untuk mengekalkan dan meluaskan akses, menunjukkan bahawa kompromi sebelumnya tidak dibersihkan sepenuhnya .
• Punca Lebih Mendalam: Siasatan mendedahkan bahawa bukti kelayakan yang dicuri dan digunakan dalam serangan 5 Jun telah berada dalam log pencuri aktif selama 48 hari sebelum dijadikan senjata, menekankan satu pencerobohan jangka panjang yang mendahului pengaktifan cacing itu .

Atribusi: Legasi Shai-Hulud dan Masalah Peniru

Miasma adalah keturunan langsung rangka kerja cacing Mini Shai-Hulud, satu kit alat yang dicipta oleh kumpulan ancaman yang dikenali sebagai TeamPCP . Kempen awal TeamPCP, yang didedahkan pada 12 Mei 2026, telah pun menjejaskan lebih 170 pakej npm dan PyPI, yang telah mengumpul lebih 518 juta muat turun kumulatif, menyasarkan perpustakaan pembangun AI secara langsung .

Keadaan menjadi lebih rumit kerana TeamPCP telah menjadikan rangka kerja Mini Shai-Hulud sebagai sumber terbuka . Ini bermakna sebilangan pelakon peniru yang tidak diketahui mempunyai akses kepada pangkalan kod yang sama. Walaupun teknik dan kod sangat mengaitkan Miasma dengan keturunan TeamPCP, beberapa penyelidik keselamatan memberi amaran bahawa atribusi muktamad kepada kumpulan asal tidak dapat dibuat, kerana mana-mana pelakon yang mempunyai kit alat sumber terbuka itu boleh mengatur sebahagian atau keseluruhan gelombang serangan khusus ini .

Syor Keselamatan Untuk Pembangun

Serangan Miasma secara asasnya mentakrifkan semula sempadan keselamatan. Membuka repositori kod bukan lagi tindakan pasif yang selamat. Penyelidik telah bersepakat mengemukakan beberapa syor utama:

• Tarik Balik dan Ganti Semuanya: Segera ganti semua token GitHub Actions, bukti kelayakan penyedia awan, token penerbitan npm, dan sebarang rahsia lain yang mungkin terdedah melalui log CI/CD, repositori yang dijangkiti, atau log pencuri .
• Kuatkuasakan MFA yang Ketat: Wajibkan pengesahan pelbagai faktor (MFA), sebaiknya menggunakan kunci keselamatan perkakasan, untuk semua akaun penyumbang bagi mencegah pencerobohan berasaskan bukti kelayakan .
• Bersihkan Sempadan Kepercayaan Alatan AI: Anggap repositori yang tidak dipercayai seperti fail binari yang tidak diketahui. Konfigurasikan ejen pengekodan AI (Claude Code, Cursor, Gemini CLI, VS Code) supaya tidak auto-laksana atau auto-baca fail konfigurasi dan tugas dari repositori .
• Kukuhkan Saluran Paip CI/CD: Audit aliran kerja GitHub Actions untuk menyekat akses tulis pada token Actions, buang token yang tidak digunakan, dan kuatkuasakan penggunaan bukti kelayakan jangka pendek .
• Kuatkan Kebersihan Rantaian Bekalan: Gunakan alatan pengimbasan kebergantungan, jana SBOM, dan sahkan provenans pakej sebelum pemasangan. Pantau pakej untuk skrip pra-pasang atau pasca-pasang yang dikaburkan .