Кампания вредоносного ПО с функцией самовоспроизведения, известная как Miasma, произвела настоящий переполох в мире открытого исходного кода. Сообщалось, что червь заразил почти 73 репозитория Microsoft на GitHub, которые пришлось временно отключить для выяснения того, как злоумышленники скомпрометировали проекты и внедрили в код вредоносное ПО для кражи паролей.
Эти репозитории GitHub принадлежат различным организациям, включая Microsoft Azure, Azure-Samples, Microsoft и MicrosoftDocs. Вредоносное ПО позволило злоумышленникам красть пароли и учетные данные при открытии скомпрометированных инструментов в популярных приложениях для кодирования с использованием ИИ, таких как Claude Code, Gemini CLI, VS Code и Cursor.
Фирма по безопасности Cloudsmith, сайт анализа вредоносного ПО OpenSourceMalware и издание 404 Media были одними из первых, кто сообщил об этой атаке. Для справки: Miasma — это вариант червя Mini Shai-Hulud, исходный код которого был опубликован группой угроз TeamPCP. Свое путешествие он начал с компрометации учетной записи сотрудника Red Hat для атаки на пространство имен npm @redhat-cloud-services.
Ранее в этом месяце подразделение Microsoft Threat Intelligence сообщило, что злоумышленники, стоящие за Miasma, опубликовали 32 вредоносных пакета в более чем 90 версиях в области действия npm @redhat-cloud-services для кражи облачных учетных данных.
Червь быстро перешел к атаке непосредственно на исходные репозитории, а не на реестры пакетов. Известно, что он полностью обходит реестр npm для нескольких целей и внедряет вредоносный код прямо в публичные репозитории, такие как “icflorescu/mantine-datatable”. Такой подход к доставке был разработан для использования в качестве оружия против инструментов кодирования на базе ИИ.
Вредоносная полезная нагрузка Miasma, внедренная в проекты, может запускать автоматическое выполнение кода при открытии зараженного репозитория в инструменте кодирования ИИ или IDE. Список затронутых проектов включает “durabletask” — пакет Python, скомпрометированный TeamPCP месяцем ранее для доставки средства кражи информации, предназначенного для систем Linux.
Тем не менее, Microsoft начала восстанавливать некоторые репозитории, пострадавшие от кампании вредоносного ПО, как сообщает The Hacker News. Представитель компании заявил следующее:
Наш приоритет — защита клиентов и более широкой экосистемы. Мы временно удалили некоторые репозитории, пока расследовали наличие потенциально вредоносного контента. Некоторые из этих репозиториев были восстановлены после проверки, в то время как другие могут оставаться офлайн, пока работа продолжается.
Microsoft продолжит расследование атаки. Компания уведомила небольшое число клиентов, которые могли удалить свой контент из затронутых репозиториев. Компания снова свяжется с клиентами по установленным каналам поддержки, “если будет выявлено что-либо еще, требующее действий со стороны клиента”.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Aditya Tiwari
