Il verme Miasma auto-replicante colpisce 73 repository Microsoft GitHub in un attacco alla catena di approvvigionamento

      TL;DRIl verme Miasma ha colpito 73 repository GitHub di Microsoft tra Azure e le organizzazioni Microsoft. Pianta payload che si attivano in strumenti di codifica AI come Claude Code e Cursor.

      Il verme Miasma, in grado di auto-replicarsi, ha raggiunto i repository GitHub di Microsoft. GitHub ha disabilitato 73 repository in quattro organizzazioni Microsoft, tra cui Azure, Azure-Samples, Microsoft e MicrosoftDocs, dopo che il verme ha piantato codice malevolo che raccoglie le credenziali degli sviluppatori. Si tratta della più significativa escalation finora in una campagna di attacco alla supply chain in corso che si sta diffondendo nell'ecosistema open-source da settimane.

      L'attacco ha sfruttato credenziali precedentemente compromesse. Il mese scorso, il gruppo di minaccia TeamPCP ha infettato il pacchetto “durabletask” di PyPI ospitato nell'organizzazione Azure di Microsoft per consegnare un ladro di informazioni. Il ricercatore di sicurezza Paul McCarty ha sottolineato che lo stesso repository è al centro della disattivazione di questo mese.

      “Quando il repository alla radice della compromissione del mese scorso è il fulcro della disattivazione di questo mese, non è una coincidenza, è la stessa ferita che si riapre,” ha detto McCarty. “Chiunque avesse quelle credenziali a maggio plausibilmente non le ha mai perse completamente.”

      Ciò che rende questa campagna particolarmente pericolosa è il modo in cui il payload detona. L'attaccante ha piantato un runner di payload di 4,3 MB progettato per essere eseguito automaticamente attraverso cinque strumenti per sviluppatori: Claude Code, Gemini CLI, Cursor, VS Code e lo script di test npm. Uno sviluppatore deve solo clonare un repository colpito e aprirlo in un agente di codifica AI affinché il malware venga eseguito.

      Una volta attivato, il verme basato su Bun raccoglie credenziali per AWS, Azure, GCP, Kubernetes, npm e GitHub. Utilizza quindi quei token rubati per impegnarsi in qualsiasi repository a cui la vittima può scrivere, diffondendosi autonomamente nell'ecosistema.

      Tra i repository disabilitati ci sono progetti critici per l'infrastruttura Azure: azure-search-openai-demo, durabletask e le sue implementazioni .NET, Go, JS e MSSQL, functions-container-action, llm-fine-tuning e windows-driver-docs. OpenSourceMalware ha riportato che GitHub ha contenuto l'attacco entro 105 secondi, ma l'entità degli utenti downstream colpiti rimane poco chiara.

      Miasma è una variante del verme Mini Shai-Hulud che TeamPCP ha rilasciato pubblicamente a metà maggio 2026. Lo Shai-Hulud originale è apparso a settembre 2025 come il primo malware auto-replicante osservato nell'ecosistema npm. Da allora si è mutato attraverso npm e PyPI, compromettendo in precedenza 32 pacchetti Red Hat e colpendo pacchetti TanStack, Mistral AI e UiPath.

      Il verme ha anche iniziato a saltare completamente il registro npm. SafeDep lo ha trovato mentre spingeva codice malevolo direttamente ai repository sorgente, inclusi “icflorescu/mantine-datatable” e quattro progetti correlati. Al momento della scrittura, più di 80 repository pubblici su GitHub portano il modello di denominazione della campagna Miasma.

      Il problema fondamentale non è una vulnerabilità in npm o GitHub. “Sfrutta il modello di fiducia su cui sono costruite quelle piattaforme,” ha detto la società di sicurezza FalconFeeds.io nella sua analisi. “L'assunzione che se un pacchetto è firmato con una chiave valida e pubblicato da un manutentore autenticato, è sicuro.” Il verme compromette la chiave e il manutentore, poi agisce esattamente come un editore legittimo. Dal punto di vista del registro, ogni evento di pubblicazione malevola appare come un aggiornamento di routine.

      Il targeting degli agenti di codifica AI è un'evoluzione notevole. Gli sviluppatori si affidano sempre più a strumenti come Claude Code e Cursor per lavorare con repository sconosciuti. Un verme che si attiva quando un agente AI apre un progetto sfrutta un nuovo modello di comportamento che non esisteva un anno fa. È malware della supply chain progettato per l'era dello sviluppo assistito dall'AI.