Foto: The Hacker News
Microsoftovi GitHub repozitoriji postali su najnovija meta tekuće kampanje Miasma, samoreplicirajućeg napada na lanac opskrbe. Prema OpenSourceMalwareu, incident je zahvatio 73 repozitorija u četiri Microsoftove GitHub organizacije, među kojima su Azure, Azure-Samples, Microsoft i MicrosoftDocs, a GitHub je zbog toga onemogućio pristup tim repozitorijima.
Poruka koja se prikazuje pri pokušaju otvaranja repozitorija Azure/azure-functions-host navodi da je pristup onemogućen zbog kršenja GitHubovih uvjeta korištenja. U istom obavještenju stoji da se vlasnik repozitorija može obratiti GitHub Supportu za više informacija. Security researcher Paul McCarty, poznat kao 6mile, rekao je da je posebno značajno ponovno kompromitiranje paketa durabletask na PyPI-u, koji je prošlog mjeseca već bio zaražen kako bi na Linux sustavima isporučivao kradljivca informacija.
McCarty navodi i da, mjesec dana kasnije, nije nestao samo Azure/durabletask nego i svi sestrinski repozitoriji u Durable Task ekosustavu unutar Microsofta, uključujući .NET, Go, Java, JS, MSSQL, Netherite i protobuf implementacije, kao i Durable Functions monitor. Dodao je da činjenica da je repozitorij na korijenu prošlomjesečne kompromitacije ovoga puta postao središte napada ne izgleda slučajno, nego kao ponovno otvaranje iste rane, uz napomenu da su vjerodajnice vjerojatno ostale u rukama napadača u svibnju.
Prema procjeni, Miasma je varijanta crva Mini Shai-Hulud, koji je TeamPCP javno objavio sredinom svibnja 2026. Kampanja se od tada nastavila mijenjati i prilagođavati, a posljednjih dana zarazila je i više paketa. Kao naziv za novonastale javne repozitorije sa ukradenim tajnama koriste se različiti obrasci, a u trenutku pisanja zabilježeno je 13 repozitorija s opisom "Hades – The End for the Damned" te još 82 repozitorija s preostala tri obrasca imenovanja.
Zabilježeno je i da Miasma zaobilazi npm registry te da napadači zlonamjerni kod izravno guraju u repozitorij icflorescu/mantine-datatable i četiri povezana repozitorija: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 i mantine-contextmenu-v6. SafeDep navodi da commit nije dodao ovisnosti, nego je ubacio 4,3 MB velik runner za payload i postavio ga da se automatski izvršava kroz pet razvojnih alata: Claude Code, Gemini CLI, Cursor, VS Code i npm test script. Prema SafeDepu, napad se aktivira kada razvojni inženjer klonira jedan od pogođenih repozitorija i otvori ga u AI kodnom agentu, dok je dropper isti višefazni Bun loader, ali ovdje prenamijenjen za trajnost na GitHub izvorima, a ne za trovanje registra.
Vezane vijesti
