Auf den Punkt: Miasma repliziert sich autonom über Git-Repositories und löscht bei Blockierung des verwendeten GitHub-Tokens automatisch Benutzerdaten, wobei der nun öffentliche Quellcode zu weiteren Varianten führen wird.
Der Quellcode des Miasma-Wurms ist auf GitHub erschienen, nachdem Angreifer mehrere Entwicklerkonten kompromittierten. Das Schadprogramm verbreitet sich autonom durch Software-Repositories und löscht bei Blockierung des verwendeten GitHub-Tokens automatisch Nutzerdaten.
Die Sicherheitsfirma SafeDep hat gemeldet, dass der Quellcode des Angriffs-Frameworks Miasma gezielt auf GitHub unter mehreren Verzeichnissen mit der Bezeichnung „Miasma-Open-Source-Release“ veröffentlicht wurde. Die Attacke erfolgte über kompromittierte Softwareentwickler-Konten. Miasma stellt eine technologische Weiterentwicklung des früheren Wurms Shai-Hulud dar und teilt mit ihm Codeabschnitte sowie Angriffstechniken. Das Framework wurde bereits mit Angriffen auf Npm-Pakete von Red Hat sowie auf 73 Microsoft-Repositories in Verbindung gebracht.
Das Schadprogramm nutzt einen autonomen, wurmartigen Selbstreplikationsmechanismus: Es infiziert die Systeme von Softwareentwicklern, liest Build-Umgebungen und Cloud-Zugangsdaten aus und nutzt diese unmittelbar, um legitime Software-Repositories und Programmpakete zu kompromittieren. Durch die Veröffentlichung manipulierter Versionen werden nachgelagerte Entwickler infiziert, wodurch sich der Zyklus eigenständig fortsetzt. Der Quellcode zeigt, dass Miasma GitHub selbst als Befehlskanal missbraucht und keine eigene Command-and-Control-Infrastruktur benötigt. Das Framework sammelt Zugangsdaten von Cloud-Anbietern, CI/CD-Systemen, Passwortmanagern, Kubernetes-Umgebungen und geheimen Speichern, um Pakete auf Npm, PyPI, RubyGems sowie GitHub-Repositories und JFrog-Artifactory-Instanzen zu kompromittieren.
Besonders kritisch ist ein integrierter Totmannschalter im Code: Wenn der gestohlene GitHub-Token als Datenkanal genutzt wird, überwacht eine Komponente jede Minute dessen Gültigkeit. Falls der Token vom Besitzer oder von GitHub gesperrt wird, führt das Schadprogramm automatisch einen zerstörerischen Befehl aus und löscht rekursiv alle Dateien im Home-Verzeichnis sowie im Dokumente-Ordner. Dieser Überwachungsdienst läuft auf Linux als systemd-Benutzerdienst und auf macOS als LaunchAgent bis zu 72 Stunden lang.
Der Quellcode offenbart eine fünfstufige Build-Pipeline, die für jeden Kompiliervorgang einzigartige Payloads generiert. Der Prozess kombiniert AES-256-GCM-Verschlüsselung mit zufälliger String-Verschleierung, Quellcode-Transformationen, JavaScript-Obfuscation und einen selbstentpackenden Loader. Durch diese dynamische Generierung unterscheidet sich jede Datei strukturell von vorherigen Versionen, was eine signaturbasierte Erkennung durch Sicherheitssysteme erschwert. Sicherheitsexperten rechnen damit, dass die Veröffentlichung des Codes zu zahlreichen modifizierten Varianten führt.
Quelle: www.it-daily.net · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.