Червь Miasma атаковал Microsoft GitHub: 73 репозитория отключены за 105 секунд

Происхождение: компрометация npm-пакетов Red Hat

Инцидент с Microsoft GitHub стал финальным актом кампании, начавшейся несколькими днями ранее в сфере цепочки поставок открытого программного обеспечения.

1 июня 2026 года злоумышленники, используя украденную учетную запись сотрудника Red Hat на GitHub, опубликовали вредоносные версии 32 официальных npm-пакетов @redhat-cloud-services, охватывающие более 90 версий . Подразделение Microsoft Threat Intelligence выяснило, что источник компрометации находился в исходном CI/CD-пайплайне RedHatInsights/javascript-clients, что позволило атакующим выпускать троянизированные пакеты с подлинными подписями происхождения . Эти вредоносные пакеты содержали запутанный скрипт предустановки, который запускал похититель учетных данных при установке, закладывая основу для дальнейшего распространения Miasma .

Реагирование и сдерживание

Реакция на атаку была молниеносной и решительной, однако ее последствия оказались гораздо глубже.

• Немедленное отключение: Автоматические системы GitHub по борьбе со злоупотреблениями отключили все 73 зараженных репозитория двумя отдельными волнами, мгновенно заблокировав публичный доступ и выдав уведомление о "нарушении условий обслуживания" .
• Восстановление и устранение последствий: К 8 июня Microsoft полностью восстановила все пострадавшие репозитории и уведомила затронутых клиентов . Ключевой вывод заключался в том, что злоумышленник повторно использовал необновленные секреты GitHub Actions для сохранения и расширения доступа, что указывает на неполную очистку после предыдущего взлома .
• Более глубокая проблема: Расследование показало, что украденные учетные данные, использованные в атаке 5 июня, находились в активных логах стилеров в течение 48 дней до их применения, что свидетельствует о долгосрочном проникновении, предшествовавшем активации червя .

Атрибуция: наследие Shai-Hulud и проблема подражателей

Miasma является прямым потомком фреймворка Mini Shai-Hulud worm, созданного киберпреступной группой TeamPCP . Предыдущая кампания TeamPCP, раскрытая 12 мая 2026 года, уже скомпрометировала более 170 пакетов npm и PyPI, которые в совокупности были загружены более 518 миллионов раз и напрямую нацеливались на ИИ-библиотеки для разработчиков .

Ситуация осложняется тем, что TeamPCP опубликовала фреймворк Mini Shai-Hulud в открытом доступе . Это означает, что неограниченное число подражателей получило доступ к той же кодовой базе. Хотя методы и код надежно связывают Miasma с наследием TeamPCP, многие исследователи в области безопасности предостерегают от однозначной атрибуции оригинальной группировке, так как любой злоумышленник с открытым инструментарием мог организовать часть или всю эту волну атак .

Рекомендации по безопасности для разработчиков

Атака Miasma кардинально меняет представление о границах безопасности. Открытие репозитория с кодом больше не является пассивным и безопасным действием. Исследователи единодушны в нескольких ключевых рекомендациях:

• Отозвать и заменить все: Немедленно обновите все токены GitHub Actions, учетные данные облачных провайдеров, токены для публикации в npm и любые другие секреты, которые могли быть раскрыты через логи CI/CD, зараженные репозитории или логи стилеров .
• Обязательная строгая MFA: Требуйте многофакторную аутентификацию, желательно с использованием аппаратных ключей безопасности, для всех учетных записей контрибьюторов, чтобы предотвратить несанкционированный доступ .
• Очистка границ доверия ИИ-инструментов: Относитесь к недоверенным репозиториям так же, как к неизвестным исполняемым файлам. Настройте ИИ-агенты для кодинга (Claude Code, Cursor, Gemini CLI, VS Code) таким образом, чтобы они не запускали и не считывали автоматически конфигурационные файлы и задачи из репозиториев .
• Усиление защиты CI/CD-пайплайнов: Проведите аудит рабочих процессов GitHub Actions, ограничьте права на запись для токенов Actions, удалите неиспользуемые токены и обеспечьте использование краткосрочных учетных данных .
• Укрепление гигиены цепочки поставок: Используйте инструменты сканирования зависимостей, генерируйте SBOM (спецификацию состава ПО) и проверяйте происхождение пакетов перед установкой. Отслеживайте пакеты на наличие запутанных скриптов предустановки или постустановки .