Miasma供應鏈攻擊：由TeamPCP開源工具箱到微軟、紅帽嘅全面淪陷

呢批惡意套件平均每星期有大概80,000次下載 。每當有開發者執行

npm install

呢隻蠕蟲最與別不同嘅行為，唔單止係竊取憑證——而係佢利用咗AI編碼工具嚟發動攻擊。Miasma嘅變種會植入惡意嘅規則檔案，針對Claude Code、Cursor、Gemini CLI同GitHub Copilot呢啲工具。呢啲檔案設計成當開發者複製（clone）並喺佢哋嘅IDE（整合開發環境）打開受感染嘅倉庫時，就會自動執行 。換句話講，閱讀程式碼呢個行為本身——唔使安裝任何套件——就已經可以觸發惡意代碼。

去到2026年6月5日，蠕蟲蔓延到微軟嗰度。一個標題為「Switched DataConverter to OrchestrationContext [skip ci]」嘅惡意提交，出現喺 Azure/durabletask 呢個倉庫，佢嘅元數據（metadata）仲被竄改成顯示提交日期係2020年3月9日，好大可能係為咗避開嫌疑 。呢次提交就係橋頭堡。由呢度開始，蠕蟲擴散到微軟旗下四個GitHub組織——Azure、Azure-Samples、Microsoft同MicrosoftDocs——總共73個倉庫 。受影響嘅項目包括好似 azure-functions-host 呢類核心基礎設施，同埋成個Durable Task系列（涵蓋.NET、Go、Java、JavaScript、MSSQL同Python）。

攻擊嘅根源：TeamPCP同Mini Shai-Hulud嘅開源

要理解Miasma，就要先理解TeamPCP點解決定將佢哋嘅武器開源。

TeamPCP（同時被追蹤為Replicating Marauder、TGR-CRI-1135同UNC6780）係一個犯罪組織，喺2025年同2026年初一路完善一個能夠自我散播嘅供應鏈蠕蟲家族。佢哋嘅行動喺2026年5月11日達到高峰，當日佢哋透過172個npm同PyPI套件，發布咗373個惡意套件版本，總下載次數超過5.18億 。單係呢場行動，就展示咗隻蠕蟲有能力由GitHub Actions運行器嘅記憶體中提取OIDC令牌、攞到有效嘅簽章憑證，同埋製作出一啲能夠通過來源驗證嘅惡意套件 。

然後，喺2026年5月12日，TeamPCP將成個「Mini Shai-Hulud」嘅原始碼，以MIT授權條款發布到GitHub上面 。同時，佢哋仲喺地下論壇BreachForums宣布搞比賽，出1,000蚊美金等值嘅門羅幣（Monero），獎勵用佢哋個框架發動最大型供應鏈攻擊嘅人 。訊息非常清晰：呢個工具箱而家係公家財產。

五日之內，一個npm用戶帳戶就已經推送咗四個惡意套件，其中一個幾乎係「Shai-Hulud」蠕蟲嘅原樣複製。安全公司OX Security分析過個複製品，發現佢係「幾乎完全冇修改過就咁拎嚟用」，唯一唔同嘅係攻擊者用咗自己嘅命令與控制伺服器同私密金鑰 。供應鏈攻擊嘅工業化已經開始——而防守方嗰時仲懵然不知。

開源之後嘅第十七日，Miasma就擊中咗紅帽。呢個惡意軟體嘅程式碼係「Mini Shai-Hulud」嘅結構性變種，只係將原本引用《沙丘》嘅主題，換成希臘神話嘅 branding 。但係攻擊手法——preinstall 腳本執行、被混淆嘅JavaScript惡意代碼、憑證竊取同CI/CD自我散播——基本上係一模一樣 。

好關鍵嘅一點係，研究人員冇辦法斬釘截鐵咁將Miasma歸咎於TeamPCP本身。雲端安全聯盟（Cloud Security Alliance）明確指出，「唔可以排除係有其他模仿者用咗同一個公開發布嘅程式碼庫」。Palo Alto Networks嘅Unit 42團隊都加強咗呢個講法，話「歸屬判定仍然唔確定」，因為原始碼嘅公開發布，意味住任何一個有能力嘅人都可以複製同樣嘅攻擊 。呢種含糊唔係註腳——而係開源策略嘅一個刻意設計，目的係令成個生態系統充滿噪音，壓垮溯源嘅努力 。

模仿者湧現：Phantom Gyp同生態系統擴散

呢個開源框架唔單止催生咗Miasma——仲引發咗一波即時嘅模仿活動。

2026年6月3日，一個叫做 Phantom Gyp 嘅新變種出現，波及到另外57個npm套件，包括 @vapi-ai/server-sdk 同 ai-sdk-ollama 。呢個變種利用一個武器化咗嘅 binding.gyp 檔案，喺套件安裝期間執行惡意程式碼，繞過咗已經備受關注嘅 postinstall 執行路徑 。OpenSourceMalware嘅研究人員確認，呢場攻擊係首次證實有人用咗TeamPCP嘅框架嚟發動真實攻擊，雖然TeamPCP從未認頭 。

去到6月8日，SANS互聯網風暴中心（SANS Internet Storm Center）報告指，更廣泛嘅攻擊者群體而家都積極咁使用緊嗰個開源咗嘅Mini Shai-Hulud框架，有多個獨立嘅黑客組織發動咗佢哋自己嘅攻擊 。呢個惡意軟體更擴散到npm以外嘅地方：研究人員發現咗一個似乎係由大語言模型（LLM）翻譯出嚟嘅Ruby變種——一個粗糙但用到嘅移植版本，並唔係原始開源程式碼嘅一部分 。由npm到多個生態系統嘅快速適應，突顯咗攻擊面嘅徹底改變。

機構嘅應對：速度、中斷同政策

對Miasma嘅回應異常迅速，而且異常公開，反映出入侵嘅規模同主要平台擁有者嘅介入。

GitHub嘅回應非常即時。平台喺2026年6月5日偵測到事件後，大概105分鐘之內，就停用咗超過70個微軟擁有嘅倉庫 。被停用嘅倉庫橫跨Azure、Azure-Samples、Microsoft同MicrosoftDocs呢啲組織 。幾日之內，所有倉庫都被還原並宣告為乾淨，雖然一啲受影響嘅微軟CI/CD管線喺落架期間受到干擾 。

微軟喺2026年6月2日透過佢哋嘅威脅情報團隊（Threat Intelligence）發布咗詳細嘅技術分析，涵蓋咗由最初紅帽被入侵到CI/CD被利用嘅成條攻擊鏈 。微軟仲做咗一個極之唔尋常嘅舉動，就係移除咗自己73個倉庫，佢哋向BleepingComputer表示，呢個決定係出於擔心嗰啲倉庫分發咗「潛在嘅惡意內容」。對微軟內部CI/CD工作流程嘅干擾，證明咗即使係平台擁有者，都一樣冇可能免受供應鏈蠕蟲嘅下游後果影響。

紅帽喺2026年6月1日發布咗安全公告RHSB-2026-006，確認咗呢次入侵，並表示違規行為僅限於內部開發工具，對Red Hat Enterprise Linux或OpenShift產品冇影響 。公司撤銷咗所有受影響嘅npm套件版本，並通知咗下游嘅使用者。

**英國國家網絡安全中心（NCSC）**就將呢次事件升級，推動更廣泛嘅政策。2026年6月4日，NCSC發表咗一篇網誌，明確呼籲各機構檢視佢哋嘅開源依賴項目（open-source dependencies），同減少遭受供應鏈攻擊嘅風險 。呢個時間點並唔係巧合——篇文章直接引用咗Miasma攻擊作為催化劑 。去到2026年6月9日，NCSC發布咗更新版嘅《Cyber Essentials供應鏈實戰手冊》，呼籲英國公司將Cyber Essentials認證，列為對供應商嘅標準要求 。

NCSC嘅指引集中喺三個範疇：可見性（審計套件更新、識別未經預期嘅依賴項目，同維護一份軟件物料清單）、評估（評估供應商嘅安全實踐），同埋行動（將保護供應鏈視為董事會級別嘅優先事項）。英國政府亦就TeamPCP嘅攻擊行動正式介入，反映出一個轉變：開源依賴項目嘅安全，而家已被視為國家網絡安全政策嘅議題，而唔單止係個別開發者嘅個人習慣。

點解Miasma咁緊要：更廣泛嘅啟示

Miasma攻擊唔係史上最大型嘅供應鏈入侵，亦都唔係最精密嘅。但對於理解跟住落嚟會發生咩事，佢可能係最具啟發性嘅一次。

首先，開源攻擊框架已經將生態系統武器化。 TeamPCP決定以MIT授權發布Mini Shai-Hulud，係一個刻意嘅策略：武裝一支模仿者大軍、製造歸屬判定混亂，同迫使防守方要應對無數使用同一套策略嘅獨立攻擊者 。呢個唔係理論——框架發布五日之內就已經記錄到模仿活動，而Miasma本身嘅歸屬，幾個禮拜之後仍然未有定論 。

第二，npm嘅preinstall勾點係一個系統性漏洞。 呢次攻擊反覆利用一個為合法構建腳本設計嘅功能，但呢個功能對生命週期腳本嘅執行，缺乏足夠嘅控制 。喺Phantom Gyp變種入面，binding.gyp成為咗一個額外嘅執行載體，證明咗攻擊者會積極咁搵新嘅生命週期嚟騎劫 。對preinstall同其他生命週期腳本施加登錄庫層面嘅限制，而家係一個極之迫切嘅事項。

第三，AI編碼助手已經成為一個執行面。 Miasma係首批記錄在案、專門針對Claude Code、Cursor、Copilot同Gemini CLI，透過惡意規則檔案嚟傳遞惡意代碼嘅供應鏈攻擊之一 。當開發者複製一個倉庫然後打開佢，嗰啲設計嚟幫佢哋寫更好程式碼嘅AI工具，反而可能會執行惡意程式碼。隨住AI輔助開發成為默認嘅工作流程，呢個攻擊面好有可能會擴大。

第四，CI/CD管線而家係最高價值嘅目標。 蠕蟲有能力由GitHub Actions運行器嘅記憶體提取OIDC令牌，並製作出帶有有效SLSA來源證證（provenance attestations）嘅套件，意味住標準嘅加密驗證——供應鏈完整性嘅黃金標準——係可以被擊破嘅 。如果來源檢查通過咗，防守方就冇任何訊號可以標記出入侵。保護CI/CD管線免受憑證洩露，已經唔再係一個選擇。

最後，政府嘅干預已經觸及開源依賴項目管理。 NCSC更新咗嘅實戰手冊唔係諮詢性質——而係一個具體要求，要英國公司將供應鏈安全嵌入到採購流程入面 。嗰啲將依賴項目審查視為一次性審計，而唔係一個持續過程嘅機構，佢哋嘅安全狀態仲停留喺「前Miasma時代」。