Gusano de miasma
La campaña de ataques autorreplicantes de Miasma en la cadena de suministro se ha extendido más allá de los registros de paquetes y ahora afecta directamente a los repositorios de GitHub. Según los hallazgos de OpenSourceMalware, el incidente afectó a 73 repositorios en cuatro organizaciones de Microsoft GitHub: Azure, Azure-Samples, Microsoft y MicrosoftDocs. Como resultado, GitHub restringió el acceso a los repositorios comprometidos por infringir sus Términos de Servicio.
Los usuarios que intentan acceder a los proyectos afectados, incluido el repositorio de Azure Functions Host, reciben un aviso que indica que el personal de GitHub ha deshabilitado el acceso y que los propietarios del repositorio deben ponerse en contacto con el soporte técnico de GitHub para obtener más información.
Entre los repositorios afectados por la campaña se encuentran:
azure-search-openai-demo-purviewdatasecurity,
Conectores-NET-LSP,
Conectores-NET-SDK,
tarea duradera,
DurableTask-dotnet,
tarea duradera-adelante,
Durabletask-js,
DurableTask-MSSQL
acción-contenedor-de-funciones,
funciones caseras,
ajuste fino de llm,
Documentación de controladores de Windows
Tabla de contenido
El ecosistema de tareas duraderas sufre un segundo revés.
Uno de los aspectos más significativos de la actividad reciente es la aparente nueva vulneración del ecosistema 'durabletask'. El paquete PyPI durabletask ya había sido infectado por TeamPCP en mayo de 2026 y utilizado para distribuir un malware de robo de información dirigido a sistemas Linux.
Un mes después, el impacto parece mucho mayor. No solo ha desaparecido el repositorio principal de Azure/durabletask, sino que también se han visto afectados repositorios relacionados en todo el ecosistema de Microsoft. Entre los proyectos comprometidos se incluyen implementaciones para .NET, Go, Java, JavaScript, MSSQL, Netherite, protobuf y los componentes de supervisión de Durable Functions.
Los investigadores de seguridad creen que la conexión entre la brecha de seguridad original y la actual operación de desmantelamiento difícilmente sea accidental. La recurrencia sugiere que las credenciales comprometidas durante el incidente anterior podrían no haber estado completamente protegidas, lo que permitió a los atacantes recuperar o mantener el acceso.
Miasma evoluciona a partir del gusano Mini Shai-Hulud.
Los investigadores consideran que Miasma es una variante del gusano Mini Shai-Hulud que TeamPCP publicó a mediados de mayo de 2026. Desde entonces, el malware ha evolucionado continuamente, perfeccionando sus técnicas de propagación e infectando paquetes y repositorios adicionales.
La campaña ha utilizado varias descripciones de repositorios al crear repositorios públicos que exponen secretos robados, incluyendo 'Miasma: The Spreading Blight', 'Miasma: The Spreading Blight', 'Miasma - The Spreading Blight' y 'Hades - The End for the Damned'. Las observaciones actuales indican que 13 repositorios llevan la descripción 'Hades' y 82 repositorios utilizan una de las variaciones de nombres relacionadas con Miasma.
Las infecciones directas de repositorio señalan una nueva estrategia de ataque.
En un cambio notable de tácticas, se ha observado que Miasma elude por completo el registro de npm. En lugar de envenenar paquetes a través de los canales de distribución tradicionales, los ciberdelincuentes modificaron directamente el repositorio de GitHub 'icflorescu/mantine-datatable' junto con cuatro proyectos asociados: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 y mantine-contextmenu-v6.
La modificación maliciosa no introdujo dependencias adicionales, lo que dificultó su detección. En cambio, los atacantes insertaron un programa malicioso de 4,3 MB configurado para ejecutarse automáticamente a través de cinco herramientas de desarrollo ampliamente utilizadas: Claude Code, Gemini CLI, Cursor, Visual Studio Code y el script de prueba de npm. La infección se activa cuando los desarrolladores clonan un repositorio afectado y lo abren en un entorno de codificación asistido por IA. Los investigadores identificaron la carga útil como el mismo cargador Bun por etapas utilizado previamente en ataques dirigidos al registro, pero adaptado para persistir a largo plazo en los repositorios de código fuente.
Explotar la confianza en lugar de las vulnerabilidades
La campaña Miasma pone de manifiesto las debilidades fundamentales del modelo de confianza que sustenta la distribución moderna de software de código abierto. A diferencia de muchos ataques a la cadena de suministro que se basan en la explotación de fallos de software, esta operación tiene éxito abusando de los mecanismos legítimos de desarrollo y publicación.
Su capacidad para propagarse recursivamente a través de los usuarios posteriores y comprometer repetidamente nuevos objetivos la ha convertido en una de las amenazas más importantes y persistentes a la cadena de suministro de software observadas hasta la fecha. La eficacia de la campaña radica en su capacidad para propagarse exponencialmente por todo el ecosistema, convirtiendo a los usuarios infectados en nuevos vectores de compromiso.
La metodología subyacente de Shai-Hulud no se centra en vulnerabilidades de plataformas como npm o GitHub. En cambio, socava la premisa fundamental de que el software publicado por mantenedores autenticados y firmado con credenciales válidas es confiable. Al comprometer tanto las cuentas de los mantenedores como sus claves de firma asociadas, los atacantes pueden realizar actividades de publicación maliciosas que parecen completamente legítimas.
Desde la perspectiva de los registros de paquetes y las plataformas de repositorio, estas versiones maliciosas son prácticamente indistinguibles de las actualizaciones de software rutinarias. Esta capacidad de operar completamente dentro de flujos de trabajo de confianza explica por qué muchos controles de seguridad convencionales han tenido dificultades para detectar y detener la campaña.
