Червь Miasma атакует Azure-депозит и крадет данные

5 июня 2026 года червь Miasma осуществил значительную Compromise цепочки поставок, атаковав репозиторий Microsoft-owned Azure/durabletask на GitHub. По данным отчета, атака была тщательно подготовлена и включала вредоносный commit с заголовком «Switched DataConverter to OrchestrationContext skip ci», который изменил метаданные так, чтобы он выглядел созданным еще 9 марта 2020 года.

Коммит содержал encrypted JavaScript-файл setup.js и дополнительные configuration files с hooks для AI-моделей Claude и Gemini. Ключевая особенность инцидента — то, что payload запускался немедленно после открытия repository, тогда как предыдущие тактики злоумышленников обычно требовали установки malicious packages. Это повышает риск для developers уже на этапе обычного просмотра кода.

Как работала атака

Авторы отчета отмечают, что кампания Miasma отличается более точным и отточенным механизмом выявления целей для exfiltration. В отличие от предыдущих итераций, где использовались узнаваемые фразы, в этом варианте применяются уникальные markers, позволяющие обозначать compromised repositories.

Дополнительно кампания проверяет наличие конкретных компонентов StepSecurity’s Harden-Runner, вероятно, чтобы избежать detection в development environments. Такая направленность указывает на стремление обойти logging и alerting mechanisms, увеличивая вероятность того, что worm выполнит задачу без обнаружения.

Что именно крадет Miasma

Вредоносный code червя рассчитан на масштабную exfiltration data и способен собирать конфиденциальную информацию с платформ GitHub, AWS, Azure и Google Cloud.

Методика exfiltration строится следующим образом:

• содержимое repository захватывается и приводится к формату файла README.md;
• результат маркируется специфическим идентификатором: «Hades * The End for the Damned»;
• вредоносное ПО создает results folder с JSON-файлами, в которых инкапсулируются извлеченные данные.

По мнению авторов отчета, именно эта последовательность действий подтверждает злонамеренные намерения оператора Miasma и его ориентацию на систематический сбор информации.

Рекомендации по сдерживанию

Для организаций, затронутых данной кампанией, в отчете перечислены следующие меры mitigation:

• выявить и завершить любые активные процессы systemd, которые могли быть задействованы в ходе атаки;
• провести тщательный анализ system logs на предмет следов выполнения artifacts, включая файлы в /tmp/;
• ротация credentials для критически важных компонентов инфраструктуры, включая cloud accounts и SSH keys;
• мониторить необычное поведение в cloud resources;
• сверять network traffic с конкретными domains и IP addresses, связанными с command-and-control инфраструктурой worm.

Отчет подчеркивает, что именно сочетание оперативной изоляции, проверки журналов и быстрой смены учетных данных может снизить последствия атаки и ограничить дальнейшее распространение угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Червь Miasma атакует Azure-депозит и крадет данные".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.