Miasma-angrepet: Da en åpen kildekode-orm infiserte Microsoft og Red Hat

For å gjøre vondt verre gikk alt gjennom Red Hats eget CI/CD-system, slik at de ondsinnede pakkene fikk helt legitime, kryptografiske opprinnelsesbevis (SLSA-provenance). For en vanlig sikkerhetsskanning fremsto de altså som godkjente og trygge.

De kompromitterte pakkene hadde i snitt rundt 80 000 ukentlige nedlastinger. . I det øyeblikket en utvikler kjørte

npm install

Ormens kanskje mest skremmende oppførsel var utnyttelsen av KI-kodeverktøy. Den plantet skadelige konfigurasjonsfiler rettet mot verktøy som Claude Code, Cursor, Gemini CLI og GitHub Copilot. Disse filene ble automatisk kjørt i det en utvikler åpnet det infiserte kodebiblioteket i sitt arbeidsverktøy. . Ormen kunne altså aktiveres bare ved at noen leste koden, uten å måtte installere noe som helst.

Den 5. juni nådde ormen Microsoft. En ondsinnet kodeendring med tittelen “Switched DataConverter to OrchestrationContext [skip ci]” ble lastet opp til et offentlig Azure/durabletask-kodebibliotek. For å unngå mistanke var datoen tuklet med og viste mars 2020. . Dette var bare starten. Ormen spredte seg raskt til 73 kodebiblioteker i fire av Microsofts GitHub-organisasjoner: Azure, Azure-Samples, Microsoft og MicrosoftDocs. . Blant de rammede prosjektene var kritisk infrastruktur som azure-functions-host og utviklingsverktøy for .NET, Go, Java, JavaScript og Python.

Slik ble verktøyet sluppet fri: TeamPCP og Mini Shai-Hulud

For å forstå alvoret i Miasma, må man forstå avgjørelsen hackergruppen TeamPCP tok om å offentliggjøre våpenet sitt.

TeamPCP (også kjent som Replicating Marauder og UNC6780) hadde brukt hele 2025 og starten av 2026 på å perfeksjonere en familie selvrepliserende ormer. Deres desidert største kampanje fant sted 11. mai 2026, med 373 ondsinnede pakker fordelt på npm og PyPI, og over 518 millioner nedlastinger totalt. . Denne aksjonen alene beviste ormens evne til å utvinne tokens fra minnet til CI/CD-systemer, skaffe gyldige sertifikater og produsere infiserte pakker som slapp gjennom nåløyet hos alle opphavssjekker.

Dagen etter, 12. mai 2026, ga TeamPCP ut hele kildekoden til Mini Shai-Hulud på GitHub under en MIT-lisens. . De annonserte også en konkurranse på hackerforumet BreachForums med 1000 dollar i Monero i premie til den som gjennomførte det største forsyningskjedeangrepet med deres rammeverk. . Med ett trykk var avanserte angrepsverktøy blitt allemannseie.

Sytten dager senere traff Miasma Red Hat. Skadevaren er strukturelt en variant av Mini Shai-Hulud, men der originalspråket var inspirert av science fiction-klassikeren Dune, er Miasmas referanser hentet fra gresk mytologi. . Selve teknikken – preinstall-skript, stjeling av nøkler og passord, og selvreplisering via CI/CD – er derimot så å si identisk.

En rekke sikkerhetseksperter, deriblant Palo Alto Networks' Unit 42 og Cloud Security Alliance, understreker at den usikre attribusjonen gjør saken spesiell. Siden kildekoden er offentlig, kan hvem som helst ha stått bak. . Det er et bevisst trekk fra TeamPCPs side: lag nok støy og uoversiktlighet i systemet til at forsvarerne ikke lenger vet hvem de skal spore.

Kopikattene: Fra én orm til en hel bølge av angrep

Den offentlige kildekoden åpnet slusene. Allerede 17. mai, bare fem dager etter lekkasjen, oppdaget sikkerhetsfirmaer nærmest identiske kloner av Mini Shai-Hulud.

Den 3. juni 2026 dukket varianten Phantom Gyp opp og spredte seg til 57 nye pakker, inkludert @vapi-ai/server-sdk og ai-sdk-ollama. . Denne varianten utnyttet en skadelig binding.gyp-fil som slo til ved installasjon, og omgikk den nå sterkt overvåkede postinstall-fasen.

Da SANS Internet Storm Center rapporterte om hendelsene 8. juni, var det tydelig at mange aktører, helt uavhengige av TeamPCP, nå aktivt brukte verktøyet. . Angrepet hadde også spredd seg utover npm: forskere identifiserte en Ruby-variant som så ut til å være kjørt gjennom en stor språkmodell – en uelegant, men fullt funksjonell konvertering. . Alt dette understreket hvor fundamentalt trusselbildet hadde endret seg på under én måned.

Slik svarte gigantene og myndighetene

Responsen på Miasma var uvanlig rask og åpen, noe som gjenspeiler sakens alvor og involveringen av markedsledende aktører.

GitHub reagerte umiddelbart. Plattformen deaktiverte over 70 av Microsofts kodebiblioteker omtrent 105 minutter etter at angrepet ble oppdaget. . Alle de rammede repositoriene ble raskt renset, selv om enkelte CI/CD-arbeidsflyter hos Microsoft var forstyrret under nedstengingen.

Microsoft publiserte en detaljert teknisk analyse via sitt Threat Intelligence-team allerede dagen etter det første angrepet, den 2. juni 2026. . Selskapet tok også det uvanlige skrittet å stenge ned 73 av sine egne kodebiblioteker, og fortalte BleepingComputer at avgjørelsen kom av frykt for at de distribuerte "potensielt skadelig innhold".

Red Hat publiserte sitt sikkerhetsvarsel RHSB-2026-006 1. juni 2026, og bekreftet at kompromisset var begrenset til interne utviklingsverktøy. Produkter som Red Hat Enterprise Linux og OpenShift var ikke berørt.

NCSC hever lista for leverandører

Storbritannias nasjonale senter for cybersikkerhet (NCSC) brukte Miasma som et springbrett for politikkendringer. 4. juni publiserte de et blogginnlegg som eksplisitt ba organisasjoner om å gjennomgå sine avhengigheter i åpen kildekode.

9. juni slapp de en oppdatert "Cyber Essentials Supply Chain Playbook", der målet er å få britiske selskaper til å gjøre Cyber Essentials-sertifisering til et standardkrav i anbudsprosesser. . Veilederen fokuserer på tre konkrete tiltak:

• Synlighet: Kartlegg og overvåk pakkeoppdateringer, identifiser uventede avhengigheter, og opprett en digital "ingrediensliste" for programvaren (SBOM).
• Vurdering: Evaluer sikkerhetspraksisen hos leverandørene dine.
• Handling: Behandle leverandørkjedesikkerhet som et prioriteringsområde på ledelsesnivå.

Derfor er Miasma et vendepunkt

Miasma er verken historiens største eller mest sofistikerte forsyningskjedeangrep. Men det er kanskje det mest lærerike for å forstå hva som kommer.

Åpne verktøykasser for bevæpning av økosystemet: TeamPCPs beslutning om å frigi Mini Shai-Hulud under en MIT-lisens er en kalkulert strategi – å utruste en hær av kopikatter, skape attribusjonskaos og tvinge forsvarere til å forholde seg til et ukjent antall uavhengige aktører. Kopibølgen lot ikke vente på seg.

preinstall-funksjonen i npm er en systemisk sårbarhet: Angrepet utnytter en funksjon designet for legitime byggeskript, som mangler tilstrekkelige begrensninger. Fremveksten av binding.gyp som en alternativ angrepsvektor viser at aktørene aktivt leter etter nye metoder.

KI-kodeverktøy er blitt en ny angrepsflate: Dette er trolig blant de første dokumenterte angrepene som målrettet bruker regelfiler for å aktivere ondsinnet kode i programmer som Claude Code og GitHub Copilot.

Byggesystemer (CI/CD) er den nye kronjuvelen: Ormens evne til å lage infiserte pakker med gyldige opprinnelsesattester betyr at selv standard kryptografisk verifisering – selve gullstandarden for integritet – kan overlistes.

Politisk handling har rykket inn i åpen kildekode-forvaltningen: Oppdateringen av NCSCs veileder handler om konkrete krav til hvordan britiske bedrifter skal ivareta sikkerheten i sine digitale leverandørkjeder. Bedrifter som fortsatt behandler en sikkerhetsgjennomgang av avhengigheter som en engangsrevisjon, opererer etter en utdatert manual fra tiden før Miasma.