Основы Интернет - технологий.

Исходный код малвари Miasma, от атак которой в последнее время страдают опенсорсные экосистемы, ненадолго появился на GitHub. По данным исследователей из компании SafeDep, код вредоноса был опубликован через скомпрометированные аккаунты разработчиков, и репозитории носили одинаковое название: Miasma-Open-Source-Release. Судя по всему, речь идет не о случайной утечке, а о намеренном раскрытии кода, как ранее произошло с червем Shai-Hulud. Напомним, что Miasma считается вариацией червя Shai-Hulud, исходный код которого группировка TeamPCP опубликовала в открытом доступе в мае 2026 года. Малварь заражает машины разработчиков и похищает широкий набор данных: секреты GitHub Actions, токены npm и PyPI, SSH-ключи, учетные данные AWS, Google Cloud и Azure, токены HashiCorp Vault, Kubernetes-секреты, конфигурации Docker, GPG-ключи, содержимое .env-файлов и так далее. После этого вредонос использует полученные данные для внесения изменений в легитимные репозитории и пакеты. Затем злоумышленники публикуют зараженные версии пакетов, распространяя атаку на всё новых разработчиков. Такой механизм самораспространения позволяет быстро превратить единичный взлом в масштабную атаку на цепочку поставок. Ранее Miasma связывали с компрометацией npm-пакетов Red Hat и атаками на десятки репозиториев Microsoft на GitHub. По данным аналитиков компании Socket, к настоящему времени удалось выявить 474 скомпрометированные публикации пакетов. Как теперь рассказали исследователи, анализ опубликованного на GitHub кода показал, что для работы Miasma не требуется собственная управляющая инфраструктура. Вместо традиционных C2-серверов червь злоупотребляет возможностями самого GitHub: через публичные коммиты он получает команды, конфигурации и информацию о каналах для эксфильтрации данных. Отмечается, что Miasma может похищать учетные данные облачных платформ, CI/CD-систем, Kubernetes-кластеров, менеджеров паролей и хранилищ секретов. После они используются для компрометации npm, PyPI и RubyGems, репозиториев GitHub, GitHub Actions и JFrog Artifactory. Кроме того, Miasma поддерживает боковое перемещение через SSH и AWS Systems Manager, а также способен внедрять вредоносные настройки в ИИ-инструменты для разработки (Claude, Gemini, Cursor, Copilot, Kiro и Cline). Эксперты пишут, что одной из самых неожиданных находок в коде стал встроенный «рубильник». Так, если для кражи данных используется похищенный GitHub-токен, вредонос каждые 60 секунд проверяет его работоспособность. Если владелец отзывает токен, запускается команда удаления файлов из домашнего каталога и директории Documents (в Linux за это отвечает сервис systemd, в macOS — LaunchAgent). Механизм может оставаться активным до 72 часов. Еще одна особенность Miasma — многоступенчатый пайплайн сборки. Так, для каждого нового билда генерируется уникальная полезная нагрузка с несколькими слоями шифрования, обфускацией строк и дополнительными преобразованиями исходного кода. В результате каждый образец червя отличается от предыдущего, что осложняет сигнатурное обнаружение и статический анализ. Не все эксперты считают публикацию исходников Miasma большой проблемой. К примеру, специалист компании Wiz Рами Маккарти (Rami McCarthy) отмечает, что исследователи уже изучили внутреннее устройство Miasma, и даже после раскрытия исходников Shai-Hulud не наблюдалось всплеска активности злоумышленников. Тем не менее в SafeDep предупреждают, что распространение исходного кода может привести к появлению новых модификаций малвари и росту количества атак на опенсорсные проекты.