SafeDep сообщила о публикации кода червя Miasma на GitHub

Исследователи SafeDep обнаружили на GitHub репозитории Miasma-Open-Source-Release, вероятно созданные через скомпрометированные аккаунты разработчиков. Miasma описывается как набор для атак на цепочки поставок ПО: он крадет учетные данные разработчиков и использует их для заражения пакетов и репозиториев.

Компания SafeDep, занимающаяся безопасностью цепочек поставок ПО, сообщила, что исходный код вредоносного инструментария Miasma ненадолго появился в публичных репозиториях GitHub под названием Miasma-Open-Source-Release. По оценке исследователей, такие репозитории, скорее всего, публиковались через скомпрометированные аккаунты разработчиков.

Miasma описывается не просто как червь, а как набор для атак на экосистему разработки. Он ориентирован на кражу учетных данных из облачных сред, CI/CD, Kubernetes, менеджеров паролей и хранилищ секретов, после чего может использовать их для компрометации репозиториев GitHub, GitHub Actions, JFrog Artifactory и пакетов в npm, PyPI и RubyGems.

Отдельная особенность Miasma — использование GitHub как инфраструктуры управления и обмена данными, что снижает зависимость от отдельного C2-сервера. SafeDep также указывает на механизм «dead-man switch»: при отзыве украденного GitHub-токена компонент вредоносной программы может попытаться удалить данные в пользовательских каталогах.

В опубликованном анализе также описана многоступенчатая сборка с обфускацией и случайными ключами, из-за которой каждый сгенерированный образец отличается от предыдущих. Это усложняет статическое обнаружение и сигнатурный анализ.

Для разработчиков и команд безопасности эта история важна как очередной пример атак, нацеленных не на конечных пользователей, а на инфраструктуру сборки и публикации ПО. Среди практических мер защиты — фиксация версий зависимостей, осторожное внедрение недавно выпущенных обновлений пакетов, проверка новых сборок в изолированной среде и регулярный аудит токенов доступа к GitHub, пакетным реестрам и облачным сервисам.