Kode sumber worm ‘Miasma’ sempat bocor di GitHub

Kerangka kerja serangan pencurian kredensial Miasma, yang baru-baru ini menargetkan ekosistem sumber terbuka melalui serangan rantai pasokan, sempat menjadi sumber terbuka di GitHub.

Miasma tampaknya merupakan evolusi dari worm Shai-Hulud sebelumnya, yang sebelumnya bocor di GitHub dan memiliki banyak fitur, teknik, dan bahkan kode yang sama.

Malware ini menginfeksi mesin pengembang, mencuri lingkungan build dan kredensial cloud, lalu menggunakannya untuk menyusupi repositori dan paket yang sah, menerbitkan versi trojan untuk menginfeksi pengembang hilir dan mengulangi siklus tersebut.

Mekanisme penyebaran mandiri yang otonom dan mirip worm ini dapat dengan cepat memperluas jangkauannya, berpotensi mengubah satu pelanggaran menjadi serangan rantai pasokan yang meluas.

Malware tersebut sebelumnya telah dikaitkan dengan serangan tingkat tinggi terhadap Paket npm Red Hat dan, baru-baru ini, 73 repositori Microsoft di GitHub.

Peneliti di SafeDep melaporkan kemarin kode sumber Miasma bocor di GitHub melalui banyak akun pengembang yang disusupi. Di setiap akun tersebut, pelaku ancaman membocorkan kode sumber dalam repo bernama “Miasma-Open-Source-Release.”

Hal ini menunjukkan bahwa pelaku ancaman sengaja merilis kode sumbernya, bukan kebocoran yang tidak disengaja, serupa dengan kode Shai-Hulud yang dipublikasikan sebelumnya.

Analisis kode menunjukkan bahwa toolkit ini tidak memerlukan infrastruktur perintah dan kontrol (C2) untuk beroperasi, karena menggunakan GitHub untuk tujuan tersebut.

Kerangka kerja ini mengumpulkan kredensial dari penyedia cloud, sistem CI/CD, pengelola kata sandi, Kubernetes, dan penyimpanan rahasia, dan menyalahgunakannya untuk menyusupi paket npm, PyPI, dan RubyGems, serta repositori GitHub, alur kerja Actions, dan instance JFrog Artifactory.

Itu juga dapat bergerak secara lateral melalui SSH dan AWS Systems Manager (SSM), dan meracuni konfigurasi alat pengkodean AI seperti Claude, Gemini, Cursor, Copilot, Kiro, dan Cline.

Salah satu fitur menarik yang terungkap dalam bocoran kode sumber Miasma adalah “saklar orang mati” yang dipasang ketika malware menggunakan token GitHub yang dicuri milik korban sebagai saluran eksfiltrasi.

Komponen memantau validitas token setiap menit dan, jika dicabut, menjalankan perintah destruktif (rm -rf ~/; rm -rf ~/Documents), menghapus file dan direktori secara rekursif di folder beranda dan Dokumen pengguna.

Monitor berjalan sebagai layanan pengguna systemd di Linux atau LaunchAgent di macOS, dan tetap aktif hingga 72 jam.

Aspek menarik lainnya yang terungkap adalah pipeline pembangunan lima tahap yang menghasilkan muatan unik untuk setiap pembangunan.

SafeDep melaporkan bahwa proses tersebut menggabungkan enkripsi AES-256-GCM per file dari aset yang disematkan, pengaburan string acak, transformasi sumber, pengaburan JavaScript, dan pemuat ekstraksi mandiri yang membungkus muatan akhir dalam tiga lapisan enkripsi.

Kunci acak dan lapisan pengkodean luar yang diacak memastikan bahwa setiap sampel yang dihasilkan berbeda dari versi sebelumnya, sehingga membuat deteksi berbasis tanda tangan dan analisis statis menjadi lebih sulit.

Kebocoran Shai Hulud menyebabkan keluarnya varian yang lebih maju, seperti Miasma, dan untuk meningkatkan tingkat serangan. Demikian pula, kebocoran kode sumber Miasma diperkirakan memiliki dampak serupa ketika pelaku ancaman mengadopsi kode tersebut dan menyesuaikannya lebih lanjut.

Hal ini dapat menimbulkan konsekuensi yang signifikan terhadap keamanan ekosistem sumber terbuka, karena serangan rantai pasokan terus menyasar ekosistem tersebut dengan kecepatan yang belum pernah terjadi sebelumnya.

Pengembang perangkat lunak disarankan untuk memasang pin pada dependensi proyek, melakukan penundaan beberapa hari sebelum mengadopsi pembaruan paket yang baru dirilis, dan memvalidasi versi baru di lingkungan pengujian yang terisolasi.