Código-fonte do worm Miasma é divulgado no GitHub, intensificando preocupações com segurança em código aberto
O código-fonte do worm Miasma, responsável por ataques recentes a ecossistemas de código aberto, apareceu brevemente no GitHub. A divulgação, possivelmente intencional, levanta preocupações sobre novas variantes e ataques à cadeia de suprimentos.
MundiX News·11 de junho de 2026·6 min de leitura·👁 9 views
O código-fonte do malware Miasma, cujos ataques têm afetado recentemente ecossistemas de código aberto, apareceu por um breve período no GitHub. Segundo pesquisadores da SafeDep, o código do malware foi publicado através de contas de desenvolvedores comprometidas, com os repositórios ostentando o mesmo nome: "Miasma-Open-Source-Release". Aparentemente, não se trata de um vazamento acidental, mas sim de uma divulgação intencional do código, semelhante ao que ocorreu anteriormente com o worm Shai-Hulud.
Para recapitular, o Miasma é considerado uma variação do worm Shai-Hulud, cujo código-fonte foi disponibilizado publicamente pelo grupo TeamPCP em maio de 2026. O malware infecta máquinas de desenvolvedores e rouba uma ampla gama de dados, incluindo segredos do GitHub Actions, tokens npm e PyPI, chaves SSH, credenciais da AWS, Google Cloud e Azure, tokens do HashiCorp Vault, segredos do Kubernetes, configurações do Docker, chaves GPG, conteúdo de arquivos .env, entre outros. Posteriormente, o malware utiliza os dados obtidos para fazer alterações em repositórios e pacotes legítimos. Os atacantes, então, publicam versões infectadas dos pacotes, espalhando o ataque para cada vez mais desenvolvedores. Esse mecanismo de auto-propagação permite que um único comprometimento se transforme rapidamente em um ataque em larga escala à cadeia de suprimentos.
Anteriormente, o Miasma foi associado à compromissão de pacotes npm da Red Hat e a ataques a dezenas de repositórios da Microsoft no GitHub. De acordo com analistas da Socket, até o momento, 474 publicações de pacotes comprometidos foram identificadas. Agora, pesquisadores revelaram que a análise do código publicado no GitHub demonstrou que o Miasma não requer uma infraestrutura de comando e controle (C2) própria para operar. Em vez de servidores C2 tradicionais, o worm abusa das funcionalidades do próprio GitHub: ele recebe comandos, configurações e informações sobre canais de exfiltração de dados através de commits públicos.
É notável que o Miasma é capaz de roubar credenciais de plataformas de nuvem, sistemas de CI/CD, clusters Kubernetes, gerenciadores de senhas e cofres de segredos. Essas credenciais são então usadas para comprometer npm, PyPI e RubyGems, repositórios do GitHub, GitHub Actions e JFrog Artifactory. Além disso, o Miasma suporta movimentação lateral via SSH e AWS Systems Manager, e também é capaz de injetar configurações maliciosas em ferramentas de desenvolvimento de IA (como Claude, Gemini, Cursor, Copilot, Kiro e Cline).
Especialistas apontam que uma das descobertas mais inesperadas no código foi um "interruptor" embutido. Se um token do GitHub roubado for usado para roubar dados, o malware verifica sua validade a cada 60 segundos. Se o proprietário revogar o token, um comando é acionado para excluir arquivos do diretório home e da pasta Documents (no Linux, o serviço systemd é responsável por isso; no macOS, o LaunchAgent). Esse mecanismo pode permanecer ativo por até 72 horas.
Outra característica do Miasma é seu pipeline de build em várias etapas. Para cada novo build, uma carga útil (payload) única é gerada com várias camadas de criptografia, ofuscação de strings e transformações adicionais no código-fonte. Como resultado, cada amostra do worm difere da anterior, o que dificulta a detecção por assinatura e a análise estática.
Nem todos os especialistas consideram a publicação do código-fonte do Miasma um grande problema. Por exemplo, Rami McCarthy, especialista da Wiz, observa que os pesquisadores já estudaram o funcionamento interno do Miasma, e mesmo após a divulgação do código-fonte do Shai-Hulud, não houve um aumento na atividade maliciosa. No entanto, a SafeDep adverte que a disseminação do código-fonte pode levar ao surgimento de novas modificações do malware e a um aumento no número de ataques a projetos de código aberto.
O código-fonte do malware Miasma, cujos ataques têm afetado recentemente ecossistemas de código aberto, apareceu por um breve período no GitHub. Segundo pesquisadores da SafeDep, o código do malware foi publicado através de contas de desenvolvedores comprometidas, com os repositórios ostentando o mesmo nome: "Miasma-Open-Source-Release". Aparentemente, não se trata de um vazamento acidental, mas sim de uma divulgação intencional do código, semelhante ao que ocorreu anteriormente com o worm Shai-Hulud.
Para recapitular, o Miasma é considerado uma variação do worm Shai-Hulud, cujo código-fonte foi disponibilizado publicamente pelo grupo TeamPCP em maio de 2026. O malware infecta máquinas de desenvolvedores e rouba uma ampla gama de dados, incluindo segredos do GitHub Actions, tokens npm e PyPI, chaves SSH, credenciais da AWS, Google Cloud e Azure, tokens do HashiCorp Vault, segredos do Kubernetes, configurações do Docker, chaves GPG, conteúdo de arquivos .env, entre outros. Posteriormente, o malware utiliza os dados obtidos para fazer alterações em repositórios e pacotes legítimos. Os atacantes, então, publicam versões infectadas dos pacotes, espalhando o ataque para cada vez mais desenvolvedores. Esse mecanismo de auto-propagação permite que um único comprometimento se transforme rapidamente em um ataque em larga escala à cadeia de suprimentos.
Anteriormente, o Miasma foi associado à compromissão de pacotes npm da Red Hat e a ataques a dezenas de repositórios da Microsoft no GitHub. De acordo com analistas da Socket, até o momento, 474 publicações de pacotes comprometidos foram identificadas. Agora, pesquisadores revelaram que a análise do código publicado no GitHub demonstrou que o Miasma não requer uma infraestrutura de comando e controle (C2) própria para operar. Em vez de servidores C2 tradicionais, o worm abusa das funcionalidades do próprio GitHub: ele recebe comandos, configurações e informações sobre canais de exfiltração de dados através de commits públicos.
É notável que o Miasma é capaz de roubar credenciais de plataformas de nuvem, sistemas de CI/CD, clusters Kubernetes, gerenciadores de senhas e cofres de segredos. Essas credenciais são então usadas para comprometer npm, PyPI e RubyGems, repositórios do GitHub, GitHub Actions e JFrog Artifactory. Além disso, o Miasma suporta movimentação lateral via SSH e AWS Systems Manager, e também é capaz de injetar configurações maliciosas em ferramentas de desenvolvimento de IA (como Claude, Gemini, Cursor, Copilot, Kiro e Cline).
Especialistas apontam que uma das descobertas mais inesperadas no código foi um "interruptor" embutido. Se um token do GitHub roubado for usado para roubar dados, o malware verifica sua validade a cada 60 segundos. Se o proprietário revogar o token, um comando é acionado para excluir arquivos do diretório home e da pasta Documents (no Linux, o serviço systemd é responsável por isso; no macOS, o LaunchAgent). Esse mecanismo pode permanecer ativo por até 72 horas.
Outra característica do Miasma é seu pipeline de build em várias etapas. Para cada novo build, uma carga útil (payload) única é gerada com várias camadas de criptografia, ofuscação de strings e transformações adicionais no código-fonte. Como resultado, cada amostra do worm difere da anterior, o que dificulta a detecção por assinatura e a análise estática.
Nem todos os especialistas consideram a publicação do código-fonte do Miasma um grande problema. Por exemplo, Rami McCarthy, especialista da Wiz, observa que os pesquisadores já estudaram o funcionamento interno do Miasma, e mesmo após a divulgação do código-fonte do Shai-Hulud, não houve um aumento na atividade maliciosa. No entanto, a SafeDep adverte que a disseminação do código-fonte pode levar ao surgimento de novas modificações do malware e a um aumento no número de ataques a projetos de código aberto.
