Inuti Miasma-attacken: När AI-verktygen blev själva språngbrädan mot Microsofts GitHub

Ursprunget: Komprometterade npm-paket från Red Hat

Händelsen på Microsofts GitHub var sista akten i en kampanj som inleddes dagarna innan i den öppna källkodens leverantörskedja.

Den 1 juni 2026 använde angripare ett stulet GitHub-konto från en Red Hat-anställd för att publicera manipulerade versioner av 32 officiella @redhat-cloud-services npm-paket, fördelade på över 90 versioner . Microsoft Threat Intelligence spårade intrånget till RedHats CI/CD-pipeline RedHatInsights/javascript-clients, vilket gjorde det möjligt för angriparna att publicera trojaniserade paket med legitima äkthetssignaturer . Dessa skadliga paket innehöll ett förvirrat installationsskript som körde en stöld av inloggningsuppgifter vid installation, vilket lade grunden för Miasma-maskens vidare spridning .

Respons och begränsning av skadan

Svaret på attacken var snabbt och beslutsamt, men händelsens implikationer är djupgående.

• Omedelbar nedstängning: GitHubs automatiserade system för missbruksdetektering stängde av alla 73 infekterade repositories i två diskreta vågor och blockerade omedelbart allmän åtkomst med ett meddelande om "brott mot användarvillkoren" .
• Återställning och sanering: Microsoft hade återställt alla drabbade repositories den 8 juni och meddelade berörda kunder . En viktig lärdom var att angriparen återanvände oroterade GitHub Actions-nycklar för att behålla och utöka sin åtkomst, vilket tyder på att ett tidigare intrång inte hade sanerats fullt ut .
• En djupare rot: Utredningar visade att de stulna inloggningsuppgifterna som användes i attacken den 5 juni hade legat i aktiva loggar för stulna uppgifter i 48 dagar innan de användes, vilket understryker ett långvarigt intrång som föregick maskens aktivering .

Vem låg bakom? Arvet från Shai-Hulud och copycat-problemet

Miasma är en direkt avkomma till ramverket för maskar kallat Mini Shai-Hulud, en verktygslåda skapad av hotgruppen TeamPCP . TeamPCP:s tidigare kampanj, som offentliggjordes den 12 maj 2026, hade redan komprometterat över 170 npm- och PyPI-paket med mer än 518 miljoner sammanlagda nedladdningar, direkt riktade mot AI-utvecklarbibliotek .

Situationen försvåras ytterligare av att TeamPCP öppnade källkoden för Mini Shai-Hulud-ramverket . Detta innebär att ett okänt antal copycat-aktörer har tillgång till samma kodbas. Även om tekniker och kod starkt kopplar Miasma till TeamPCP:s arv, är flera säkerhetsforskare försiktiga med att dra definitiva slutsatser om att den ursprungliga gruppen ligger bakom. Vilken aktör som helst med den öppna verktygslådan kan ha orkestrerat delar av eller hela denna specifika våg .

Säkerhetsrekommendationer för utvecklare

Miasma-attacken omdefinierar säkerhetsgränser i grunden. Att öppna ett kodarkiv är inte längre en passiv och säker handling. Forskare har enats kring flera viktiga rekommendationer:

• Återkalla och rotera allt: Rotera omedelbart alla GitHub Actions-tokens, inloggningsuppgifter för molnleverantörer, npm-publiceringstokens och alla andra nycklar som kan ha exponerats via CI/CD-loggar, infekterade repositories eller loggar över stulna uppgifter .
• Tvinga fram strikt MFA: Kräv multifaktorautentisering, helst med hårdvarubaserade säkerhetsnycklar, för alla bidragskonton för att förhindra inloggningsbaserade intrång .
• Sanera förtroendegränser för AI-verktyg: Behandla ej betrodda repositories som en okänd programfil. Konfigurera AI-kodagenter (Claude Code, Cursor, Gemini CLI, VS Code) att inte automatiskt köra eller läsa konfigurationsfiler och uppgifter från repositories .
• Härda CI/CD-pipelines: Granska GitHub Actions-arbetsflöden för att begränsa skrivbehörighet för Actions-tokens, ta bort oanvända tokens och tvinga fram användning av kortlivade inloggningsuppgifter .
• Stärk hygienen i leverantörskedjan: Använd verktyg för beroendeskanning, generera en SBOM (Software Bill of Materials) och verifiera paketens ursprung före installation. Övervaka paket efter förvirrade installationsskript .