Código-fonte do perigoso worm Miasma vaza no Github e se torna kit de cibercrime
Uma grave ameaça cibernética acaba de ganhar um novo e preocupante capítulo. O código-fonte do Miasma, um dos worms de supply chain mais avançados já identificados, foi publicado abertamente no GitHub nesta segunda-feira (8). O vazamento ocorreu por meio de contas de desenvolvedores comprometidas, expondo uma ferramenta poderosa que vai muito além de um simples malware.
O Miasma já havia comprometido mais de 100 projetos de código aberto da Red Hat e da Microsoft antes de se espalhar para outras vítimas. A empresa de segurança Socket rastreou 473 artefatos de pacotes afetados até terça-feira, evidenciando a amplitude da contaminação e o risco iminente para a segurança digital global.
Vazamento revela kit completo de ataque cibernético
A empresa de segurança SafeDep agiu rapidamente, conseguindo analisar um dos repositórios antes que o GitHub o removesse. A análise confirmou o pior: o material divulgado não é apenas o worm original, mas um kit completo para ataques a cadeias de suprimento de software, acessível a qualquer um com intenções maliciosas. Este kit permite que operadores roubem credenciais de serviços de nuvem como AWS, Azure e Google Cloud.
Além disso, o kit facilita a infecção de pacotes em repositórios populares como npm, PyPI e RubyGems, comprometendo fluxos de automação no GitHub. Ele também permite a infiltração em ferramentas de inteligência artificial usadas por desenvolvedores e a movimentação lateral dentro de redes corporativas via SSH. O pesquisador Rami McCarthy, da empresa Wiz, destacou que este repositório é uma evolução do Mini Shai-Hulud, outro worm cujo código foi aberto ao público no mês passado pelo grupo TeamPCP.
Miasma: a estratégia de propagação e evasão de defesas
Um dos aspectos mais alarmantes do Miasma é sua capacidade de se espalhar e operar sem depender de infraestrutura própria. Todo o controle remoto, a coleta de dados e a comunicação com os atacantes são realizados inteiramente dentro do próprio GitHub, tornando-o extremamente difícil de detectar por defesas tradicionais.
O worm utiliza a função de busca pública de commits do GitHub como seu canal de comando e controle. Ele vasculha mensagens de commit em busca de strings específicas, como “DontRevokeOrItGoesBoom” e “TheBeautifulSandsOfTime”, para extrair instruções cifradas. Essa técnica permite que o Miasma passe despercebido por ferramentas de segurança de rede, que geralmente são configuradas para identificar tráfego suspeito direcionado a servidores desconhecidos.
Ameaça à inteligência artificial e a armadilha da revogação
O Miasma emprega um mecanismo engenhoso para garantir um fluxo contínuo de novas credenciais. Ao infectar uma máquina e roubar o token de acesso de um desenvolvedor, ele embute esse token cifrado em um commit público no GitHub, acompanhado da mensagem “DontRevokeOrItGoesBoom”. Instâncias futuras do worm em outras máquinas buscam essa string, encontram o token da vítima e o utilizam como base para novos ataques, perpetuando o ciclo de infecção.
A tentativa de revogar um token roubado acarreta uma consequência grave. O Miasma instala um script de monitoramento silencioso na máquina da vítima, que verifica a validade do token a cada 60 segundos. Se o token for revogado, o script executa um comando que apaga todo o conteúdo da pasta pessoal do usuário e da pasta de Documentos, um aviso literal contido na própria string de busca.
Além disso, o kit inclui um módulo específico para envenenar ferramentas de inteligência artificial amplamente usadas por desenvolvedores, como Claude, Gemini CLI, Cursor e Copilot. O worm insere arquivos de configuração maliciosos nos repositórios, fazendo com que essas ferramentas executem o payload automaticamente ao iniciar uma sessão. Isso significa que um desenvolvedor pode, inadvertidamente, ativar o malware ao simplesmente abrir seu assistente de IA em um projeto infectado.
Impacto do vazamento e recomendações de segurança
Apesar da gravidade do vazamento, McCarthy, da Wiz, ponderou que a abertura do código não significa necessariamente uma explosão imediata de novos ataques. Ele lembrou que, quando o TeamPCP divulgou o código do Mini Shai-Hulud, não houve um aumento significativo de atacantes oportunistas utilizando o toolkit. Grupos sofisticados tendem a preferir desenvolver suas próprias versões privadas de malware.
O maior risco, segundo os pesquisadores, reside na dificuldade de atribuição de futuros ataques. Com o código público, qualquer incidente que apresente as características do Miasma poderá ter sido executado por qualquer pessoa, dificultando a identificação do grupo original. Para organizações que dependem de pacotes de código aberto, a recomendação é reforçar a segurança.
É crucial monitorar alterações inesperadas em dependências, revisar permissões de tokens de acesso e, fundamentalmente, adotar ferramentas que operem na camada de protocolo de aplicação. A dependência exclusiva da análise de tráfego de rede pode não ser suficiente para detectar ameaças tão sofisticadas quanto o Miasma.
Você encontra mais notícias em nosso site www.sobralonline.com.br e redes sociais. Siga-nos para ficar por dentro das últimas novidades: @SobralOnline.
