Microsoft confirmó el lunes que eliminó temporalmente algunos repositorios de GitHub en respuesta a un reciente incidente de seguridad que llevó a que 73 de sus proyectos de código abierto se vieran comprometidos para inyectar un ladrón de información en el código.

«Nuestra prioridad es proteger a los clientes y al ecosistema en general», dijo un portavoz de Microsoft a The Hacker News por correo electrónico. «Eliminamos temporalmente algunos repositorios mientras investigamos contenido potencialmente malicioso. Algunos de estos repositorios se restauraron después de la revisión, mientras que otros pueden permanecer fuera de línea mientras continúa el trabajo».

«Como parte de nuestra investigación, notificamos a un pequeño número de clientes que pueden haber eliminado contenido de los repositorios afectados. Continuaremos investigando y, si se identifica algo más que requiera la acción del cliente, nos comunicaremos directamente a través de nuestros canales de soporte establecidos».

El desarrollo se produce días después de que el fabricante de Windows cortara el acceso a docenas de sus proyectos de código abierto alojados en GitHub luego de informes de que fueron comprometidos como parte de una campaña en curso de la cadena de suministro de software con el nombre en código Miasma.

Entre los proyectos infectados se encuentra «durabletask», un paquete de Python que fue comprometido por primera vez el mes pasado por un grupo de cibercrimen conocido como TeamPCP para ofrecer un ladrón de información diseñado para sistemas Linux.

Un análisis más detallado de la carga útil de Miasma integrada en los proyectos ha descubierto capacidades para activar la ejecución automática de código cuando un desarrollador desprevenido abre el repositorio en una herramienta de codificación impulsada por inteligencia artificial (IA) o en un entorno de desarrollo integrado (IDE).

Los hallazgos son los últimos de una campaña sostenida en la cadena de suministro de software que ha violado paquetes de código abierto ampliamente utilizados para plantar malware capaz de propagarse a usuarios posteriores y más allá.

Esto incluye una ola PyPI más nueva vinculada a las ondas más amplias Mini Shai-Hulud, Miasma y Hades, que infecta un conjunto adicional de 23 paquetes, incluidos algunos Bibliotecas relacionadas con la bioinformática utilizadas en el aprendizaje de gráficos, fenotipado de pacientes, herramientas de fenopaquetes y flujos de trabajo científicos.

Algunos de los otros paquetes incluyen un conjunto de paquetes temáticos de AI y Model Context Protocol (MCP) y paquetes de estilo typosquat como rsquests, tlask y rlask que se hacen pasar por solicitudes y flask, y un langchain-core-mcp. La lista completa de paquetes legítimos y de cebo se encuentra a continuación:

• sueñogen 1.8.1
• aumentar 0.11.97
• achicar 0.8.101
• gpsea 0.9.14
• instructor-mcp 1.15.2, 1.15.3
• langchain-core-mcp 1.4.2, 1.4.3
• mem8 6.0.1
• mflux-streamlit 0.0.3, 0.0.4
• openai-mcp 2.41.1, 2.41.2
• plataforma orquesta8 3.3.2
• kit de herramientas de tienda de fenopacket 0.1.7
• ppkt2synergy 0.1.1
• herramientas pyphetools 0.9.120
• servidor-ray-mcp 0.2.1
• rlask 3.1.7
• rsquests 2.34.3
• tiktoken-mcp 0.13.1, 0.13.2
• tarea 3.1.4

El nuevo clúster emplea un nuevo mecanismo de entrega de carga útil, según Enchufelo que indica que los actores de la amenaza se están adaptando y experimentando activamente con diferentes métodos como parte de lo que se ha descrito como una «campaña de cadena de suministro en rápido movimiento».

Mientras que los paquetes anteriores utilizaban ganchos de inicio ejecutables .pth para iniciar Bun y ejecutar un ladrón de JavaScript ofuscado, el último conjunto incorpora diferentes enfoques:

• Extensiones .abi3.so nativas troyanizadas que ejecutan el ladrón cuando se importa el paquete
• Una variante del cargador de gancho de inicio .pth que busca en sys.path la carga útil «_index.js» en lugar de agrupar la carga útil en la misma rueda

«Esa última variante separa el cargador de la carga útil de JavaScript, lo que podría hacer que el paquete parezca menos malicioso durante el análisis estático», dijo Socket a The Hacker News.

Independientemente del método utilizado, el resultado final es el mismo. Una vez ejecutado, el malware se dirige a las estaciones de trabajo de los desarrolladores y a los entornos de CI/CD, recopilando secretos de alto valor y exfiltrándolos a un repositorio público de GitHub.

Una capacidad clave del paquete de bioinformática es su capacidad para descarrilar y eludir escáneres y copilotos de analistas impulsados ​​por IA mediante una inyección rápida adversaria integrada dentro de un comentario de bloque de JavaScript, una característica detallada previamente por StepSecurity.

«La rama Hades de la actividad Shai-Hulud y Miasma se entiende mejor como una campaña de rápida cadena de suministro, no como un solo incidente de paquete», dijo el investigador de Socket Kirill Boychenko. «La variante langchain-core-mcp va más allá al instalar un cargador .pth que busca _index.js en sys.path, lo que significa que el cargador y la carga útil no necesitan vivir en la misma rueda».

Los repositorios GitHub de Microsoft se han convertido en los últimos en ser víctimas de la actual Miasma Campaña de ataque autorreplicante a la cadena de suministro.

El incidente afectó a 73 repositorios de Microsoft en cuatro de sus organizaciones de GitHub, incluidas Azure, Azure-Samples, Microsoft y MicrosoftDocs, según Código abiertoMalware. El desarrollo cuenta con GitHub para deshabilitar el acceso a esos repositorios.

«El personal de GitHub ha deshabilitado el acceso a este repositorio debido a una violación de los términos de servicio de GitHub», se lee en el mensaje al intentar acceder al «Azure/azure-functions-host» repositorio. «Si usted es el propietario del repositorio, puede comunicarse con el Soporte de GitHub para obtener más información».

Según OpenSourceMalware, algunos de los repositorios afectados por el incidente se enumeran a continuación:

• azure-search-openai-demo-purviewdatasecurity
• Conectores-NET-LSP
• Conectores-NET-SDK
• tarea duradera
• durabletask-dotnet
• durabletask-go
• tarea duradera-js
• tarea duradera-mssql
• funciones-contenedor-acción
• funciones caseras
• llm-ajuste fino
• documentos-controladores-de-windows

Lo que es notable de la última campaña es el nuevo compromiso del paquete PyPI «durabletask», que fue infectado por TeamPCP el mes pasado para entregar un ladrón de información en sistemas Linux.

«Un mes después, no solo desapareció Azure/durabletask, sino que también desaparecieron todos los repositorios hermanos en el ecosistema Durable Task, ubicados en una organización en Microsoft: las implementaciones .NET, Go, Java, JS, MSSQL, Netherite y protobuf, además del monitor Durable Functions», dijo el investigador de seguridad Paul McCarty (también conocido como 6mile).

«Cuando el repositorio en la raíz del compromiso del mes pasado es el centro de la eliminación de este mes, eso no es una coincidencia: es la misma reapertura de la herida. Quienquiera que tuviera esas credenciales en mayo probablemente nunca las perdió por completo».

Se considera que Miasma es una variante del gusano Mini Shai-Hulud que TeamPCP liberado públicamente a mediados de mayo de 2026. Desde entonces, ha seguido mutando y refinando sus tácticas, incluso cuando ha infectado más paquetes durante los últimos días, utilizando varias descripciones para los repositorios públicos recién creados que contienen los secretos robados –

• Miasma: la plaga que se extiende
• Miasma: la plaga que se extiende
• Miasma: la plaga que se extiende
• Hades – El fin de los condenados

Al momento de escribir, hay 13 repositorios con la descripción «Hades – El fin de los condenados» y 82 repositorios con los tres patrones de nombres restantes.

También se ha observado que Miasma se salta el registro npm por completo, y los actores de amenazas envían código malicioso directamente a «icflorescu/mantine-datatable» y a cuatro repositorios relacionados: «mantine-contextmenu», «next-server-actions-parallel», «mantine-datatable-v6» y «mantine-contextmenu-v6».

«La confirmación no agregó dependencias. Plantó un ejecutor de carga útil de 4,3 MB y lo conectó para que se ejecutara automáticamente a través de cinco herramientas de desarrollo: Claude Code, Gemini CLI, Cursor, VS Code y el script de prueba npm», SafeDep dicho. «El ataque detona cuando un desarrollador clona uno de los repositorios afectados y lo abre en un agente de codificación de IA. El dropper es el mismo cargador Bun preparado, aquí reutilizado para la persistencia del repositorio fuente de GitHub en lugar de envenenar el registro».

Estos ataques a la cadena de suministro de software han expuesto las debilidades subyacentes en el modelo de confianza que forma la base de la entrega de software en ecosistemas de código abierto, lo que la convierte en una de las campañas más importantes y sostenidas observadas hasta la fecha. Lo que separa la actividad de otros incidentes es su capacidad de propagarse exponencialmente por el ecosistema comprometiendo a los usuarios intermedios y repitiendo el mismo ciclo.

«La genialidad del gusano y la razón por la que las defensas convencionales fallaron en gran medida es que opera completamente dentro de canales legítimos. No explota una vulnerabilidad en npm o GitHub», FalconFeeds.io dicho. «Explota el modelo de confianza en el que se construyen esas plataformas: la suposición de que si un paquete está firmado con una clave válida y publicado por un mantenedor autenticado, es seguro».

«Shai-Hulud compromete la clave y al mantenedor, luego procede a actuar exactamente como lo haría un editor legítimo. Desde la perspectiva del registro, cada evento de publicación malicioso es indistinguible de una actualización de rutina».

Múltiples ataques a la cadena de suministro de software han afectado al ecosistema npm, y los actores de amenazas utilizan versiones maliciosas y envenenadas de más de 50 paquetes legítimos para distribuir un ladrón de información basado en Rust y un gusano que se propaga automáticamente, respectivamente.

De acuerdo a JFrogel ladrón de información «elimina todos los secretos que puede encontrar en la máquina de un desarrollador, se esconde detrás de un rootkit del núcleo eBPF y responde a su operador a través de Tor».

El ladrón también utiliza las credenciales robadas como mecanismo de propagación, generando similitudes con el infame gusano Shai-Hulud. El nuevo malware tiene un nombre en clave gusano de hierro por la empresa de seguridad de la cadena de suministro de software. Al publicarse en el registro npm en forma de paquetes troyanizados, este enfoque resulta en un ataque autorreplicante.

La actividad maliciosa se remonta a una cuenta npm comprometida llamada «asteroide«, que se ha descubierto que publica versiones de paquetes que contienen el binario Rust ELF que se ejecuta a través de un gancho de preinstalación.

El malware se dirige a 86 variables de entorno, varios archivos que pueden contener credenciales asociadas con OpenAI Codex, Anthropic, Claude, Google Gemini, Cursor, Amazon Web Services (AWS), Docker, Kubernetes y npm, configuraciones de bóveda y archivos de billetera de criptomonedas Exodus.

Una peculiaridad inusual que vale la pena mencionar aquí es que el ladrón incluye una lógica para que el componente de robo de datos de la billetera omita la billetera del propio actor de la amenaza. Al momento de escribir, el billetera de criptomonedas está vacío y no se han registrado transacciones.

JFrog describió a IronWorm como «un arma de cadena de suministro creada para encontrar secretos, modificar proyectos e inyectar código malicioso para autopropagarse en GitHub». Las confirmaciones maliciosas, que abarcan nueve organizaciones de GitHub, se introdujeron bajo el nombre del autor «claude» («claude@users.noreply.github.com») en un intento de imitar el chatbot de inteligencia artificial (IA) de Anthropic.

«El paquete malicioso npm fue publicado por asteroiddao; asteroiddao corresponde a la organización asteroid-dao GitHub; y ocrybit es miembro de esa organización, así como de organizaciones Arweave relacionadas», explicó la compañía.

«El malware robó las credenciales de ocrybit y las usó para enviar confirmaciones a través de repositorios a los que podía acceder. Esas confirmaciones colocaron malware en otros paquetes, que luego podrían publicarse e infectar al siguiente desarrollador. Y luego desapareció».

Es más, la carga útil maliciosa está equipada para intercambiar los flujos de trabajo de GitHub Actions existentes por uno que sea capaz de recolectar los secretos, escribirlos en un archivo de apariencia inofensiva y cargarlo como un artefacto de compilación, eliminando así la necesidad de un servidor externo de comando y control (C2).

Las capacidades del malware no terminan ahí. En entornos de CI, abusa del flujo de publicación confiable de npm para obtener tokens de corta duración para enviar versiones envenenadas que contienen el malware al registro.

También incorpora una carga útil eBPF que funciona como un rootkit a nivel de kernel para ocultar procesos y frustrar análisis. Sin embargo, en los sistemas donde el bloqueo del kernel está habilitado, los trucos para ocultar procesos fallan y los supuestos procesos y sockets vuelven a ser visibles.

El gusano miasma emerge nuevamente

La revelación surge como Laboratorios Endor y PasoSeguridad arrojar luz sobre una distinta campaña de ataque a la cadena de suministro que ha comprometido 57 paquetes npm en más de 286 versiones maliciosas para servir una nueva variante del gusano Miasma, que previamente infectó 32 paquetes en más de 90 versiones bajo el espacio de nombres npm @redhat-cloud-services en 72 segundos a principios de esta semana.

Algunos de los paquetes afectados se enumeran a continuación:

• ai-sdk-ollama
• autotel
• esperando
• analizador de efectos
• complemento-eslint-esperando
• historias-ejecutables-ciprés
• http-uploader-dev
• montado
• nodo-env-resolver
• nodo-env-resolver-aws

Los datos robados a través del malware se filtran a una cuenta de GitHub ahora inaccesible «liuende501«, que actuó como un punto de exfiltración. Se almacenaron hasta 236 repositorios en la cuenta. Actualmente no se sabe si GitHub eliminó la cuenta o si el propio actor de la amenaza la eliminó.

«Esta ola utiliza una técnica que llamamos ‘Phantom Gyp’: en lugar de los scripts de ciclo de vida previos o posteriores a la instalación que las herramientas de seguridad normalmente monitorean, el atacante abusa de un archivo vinculante.gyp de 157 bytes para activar la ejecución del código durante la instalación de npm, evitando por completo la mayoría de los controles de seguridad de los scripts de instalación», dijo el investigador de StepSecurity, Sai Likhith.

Como en el caso de Miasmala cadena de ataque está diseñada para descargar e instalar el tiempo de ejecución de Bun JavaScript, usándolo para cargar un recolector de credenciales integral diseñado para extraer secretos de AWS, Google Cloud, Microsoft Azure, HashiCorp Vault, Docker, Kubernetes, GitHub Actions, npm, RubyGems, PyPI, SSH, administradores de contraseñas y asistentes de IA.

«La capacidad más novedosa y preocupante de esta variante es su objetivo en configuraciones de asistente de codificación de IA», dijo la compañía. «El malware inyecta archivos persistentes de puerta trasera en repositorios de proyectos que se ejecutan cada vez que un desarrollador abre el proyecto en su IDE asistido por IA».

Se recomienda a los desarrolladores que hayan instalado una versión afectada que roten las credenciales, desactiven los scripts de instalación y las reconstrucciones nativas de forma predeterminada y se aseguren de que los paquetes estén fijados con hashes de integridad.

En una actualización compartida esta semana, Red Hat reveló que la causa principal detrás del incidente de la cadena de suministro de Miasma fue probablemente una cuenta de GitHub comprometida que se utilizó para enviar confirmaciones no autorizadas a los repositorios de la organización RedHatInsights GitHub.

«La carga útil operaba en Linux, macOS y Windows descargando dinámicamente el tiempo de ejecución de Bun correcto para cada plataforma, aunque los ejecutores de CI/CD de Linux parecían ser el objetivo principal», explicó Microsoft. dicho de la campaña.

«En los sistemas de desarrollo, el malware robó claves Secure Shell (SSH), credenciales de interfaz de línea de comandos (CLI), datos del navegador y de la billetera, mientras que en entornos CI/CD extrajo la memoria del ejecutor de GitHub Actions en busca de secretos, escaló privilegios usando sudo sin contraseña y volvió a publicar paquetes envenenados con niveles de cadena de suministro falsificados para artefactos de software (SLSA) para continuar con la propagación descendente».

Se considera que la carga útil Miasma es un derivado del gusano Shai-Hulud utilizado por EquipoPCP en campañas recientes, introduciendo cambios en gran medida «cosméticos» manteniendo similar la funcionalidad subyacente. A pesar de la superposición en el oficio, la atribución del último conjunto de ataques sigue sin estar clara, dado que TeamPCP ha publicado públicamente el código Shai-Hulud.

Desde entonces, OX Security ha descubierto etapas adicionales en la cadena de ataque de Miasma, incluidas búsquedas de confirmaciones de GitHub que contienen la cadena «firedalazer» (que reemplaza el punto muerto «FIRESCALE» previamente marcado) para recuperar otra carga útil, un archivo JavaScript («index.js») que contiene una versión alternativa del gusano Shai-Hulud, transformando efectivamente la infección en un bucle perpetuo.

En este caso, los datos robados se filtran a repositorios públicos de GitHub, cada uno con la descripción «Miasma: The Spreading Blight» o «Miasma – The Spreading Blight». Es importante señalar aquí que la versión anterior dice «Miasma: The Spreading Blight», que no tiene un espacio entre Miasma y el símbolo «:». Hay actualmente 82 repositorios de este tipo creado en las cuentas de usuario «0tabek16» y «windy629».

«El actor de amenazas puede cambiar dinámicamente las confirmaciones de ‘firedalazer’ en GitHub, haciendo que las nuevas versiones del malware sean más adaptables y más sofisticadas», afirman los investigadores de seguridad Moshe Siman Tov Bustan y Nir Zadok. dicho.

«Esto convierte a GitHub en algo más peligroso que un punto muerto. Es un C2 adaptable, uno que se apoya en una plataforma confiable y ampliamente incluida en la lista blanca, haciendo que la detección a nivel de red sea casi inútil. La mayoría de las herramientas de seguridad no están configuradas para tratar el tráfico de GitHub como sospechoso. El actor de la amenaza lo sabe».

Una nueva campaña de ataque a la cadena de suministro Mini Shai-Hulud, con nombre en código Miasmaha comprometido paquetes de @redhat-cloud-services para robar credenciales y secretos de las máquinas de los desarrolladores y entregar un gusano autopropagante.

«Esta es efectivamente una campaña Mini Shai-Hulud: utiliza las mismas tácticas centrales de ejecución en el momento de la instalación, recolección de credenciales, segmentación de CI/CD, exfiltración cifrada y posible propagación descendente», afirmó Socket. dicho.

Actualmente se desconoce exactamente quién está detrás de la actividad de ataque, dado que TeamPCP, un infame grupo de cibercrimen, ha abierto las herramientas de ataque vinculadas al gusano Shai-Hulud, abriendo la puerta para que otros actores de amenazas realicen ataques similares y dificultando la atribución definitiva.

Los nombres de algunos de los paquetes afectados se enumeran a continuación:

• @redhat-cloud-services/vulnerabilidades-cliente
• @redhat-cloud-services/tsc-transform-importaciones
• @redhat-cloud-services/cliente-de-inventario-topológico
• @redhat-cloud-services/fuentes-cliente
• @redhat-cloud-services/rule-components
• @redhat-cloud-services/cliente-de-remediaciones
• @redhat-cloud-services/rbac-client

Por análisis de Seguridad del Aikido, JFrog, microsoft, Seguridad buey, SafeDep, PasoSeguridady Fenómenolos paquetes npm contienen un enlace de preinstalación ofuscado que está diseñado para recopilar secretos de GitHub Actions, tokens npm, credenciales de nube, material de Kubernetes y Vault, claves SSH, credenciales de Git y otros archivos confidenciales.

Como se observó en oleadas anteriores de Mini Shai-Hulud, el malware también contiene una lógica de exfiltración cifrada que transmite los datos a «api.anthropic».[.]com:443/v1/api» y utiliza GitHub como mecanismo alternativo. Esto indica intentos realizados por el atacante de robar credenciales y utilizarlas como arma para envenenar aún más la cadena de suministro de software.

«Confirma el sobre de resultados cifrado a través de la API de GitHub», dijo Socket. «El mensaje de confirmación puede incluir: IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner:«.

Otro paso notable que lleva a cabo el malware es evitar la ejecución en sistemas en idioma ruso, un patrón que también se observa en las campañas de la cadena de suministro de GlassWorm.

«Para npm, la carga útil llama al intercambio de tokens OIDC y a los puntos finales whoami, vuelve a empaquetar un tarball (updateTarball, package-updated.tgz) y firma el artefacto a través de Sigstore», dijo SafeDep. «Las credenciales robadas se filtran a repositorios públicos de GitHub creados por atacantes, cada uno con la descripción Miasma: The Spreading Blight».

La primera confirmación que contiene la cadena «Miasma: The Spreading Blight» apareció el 29 de mayo de 2026, señaló OX Security, lo que indica que esta variante estaba activa desde entonces o que el actor de amenazas comenzó a realizar pruebas en ese momento.

En cuanto a GitHub, el malware enumera los repositorios en los que el token puede escribir, lee action.yml/action.yaml a través de GraphQL y confirma un flujo de trabajo a través de la mutación createCommitOnBranch para que la confirmación aparezca como un cambio firmado y verificado. Otras acciones llevadas a cabo por el malware se enumeran a continuación:

• Intente escalar privilegios lanzando un contenedor que monte de forma vinculante el host /etc/sudoers.d y otorgue al corredor de CI sudo sin contraseña
• Verifique la protección de endpoints de CrowdStrike, SentinelOne, Carbon Black y StepSecurity Harden-Runner antes de comenzar las acciones maliciosas.
• Establezca persistencia inyectando un gancho SessionStart en Anthropic Claude Code y un task.json con «runOn»: «folderOpen» para proyectos de Microsoft Visual Studio Code para que el malware se inicie automáticamente durante cada sesión.

«Uno de los principales cambios en esta nueva variante es la incorporación de nuevos recolectores de datos centrados en identidades en la nube», dijeron los investigadores de Wiz. «Específicamente, se agregaron recopiladores de identidades de GCP y Azure que recopilan todas las identidades a las que tiene acceso la máquina infectada. Mientras que las versiones anteriores del malware se centraban principalmente en extraer secretos de estos entornos, esta variante sugiere un mayor enfoque del atacante en obtener y aprovechar el acceso a la propia nube.

A diferencia de las versiones anteriores, también se ha descubierto que el malware genera una carga útil cifrada de forma única para cada infección, lo que hace que la detección y el seguimiento de versiones sean significativamente más difíciles.

La evidencia sugiere que el compromiso de la cuenta de GitHub de un empleado de Red Hat fue el paciente cero que se utilizó para inyectar la carga útil en estos paquetes. Se dice que la cuenta comprometida envió confirmaciones huérfanas maliciosas a dos repositorios de RedHatInsights, evitando la revisión del código.

Se recomienda aislar los hosts que han instalado las versiones afectadas, eliminar las versiones maliciosas, rotar las credenciales expuestas, revisar si hay signos de actividad sospechosa de GitHub o npm, auditar el entorno en busca de artefactos de persistencia que involucren cambios en los archivos de configuración (~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, .github/setup.js) y aplicar controles de acceso estrictos.

«Debido a que el malware incluye ejecución en segundo plano y posibles mecanismos de persistencia de herramientas de desarrollador, desinstalar el paquete npm o eliminar node_modules no debe considerarse una limpieza suficiente», explicó Socket.

«Para los sistemas CI/CD, suspenda las ejecuciones de flujo de trabajo afectadas, invalide los artefactos de compilación producidos durante la ventana de exposición y revise si se creó alguna versión, imagen de contenedor, paquete npm o artefacto de implementación después de instalar el paquete malicioso».