Зафіксовано масштабну та агресивну кампанію з компрометації програмного забезпечення через ланцюжки поставок, в ході якої новий саморозмножуваний комп’ютерний хробак Miasma атакував і заразив 73 офіційні репозиторії корпорації Microsoft на платформі GitHub. Шкідливе програмне забезпечення використовувало автоматизовані алгоритми для створення підроблених записів про внесення змін, які зовні повністю імітували роботу офіційного системного бота “github-actions”, призначеного для автоматизації розробки. Проте ці зміни не мали обов’язкового цифрового підпису, що вказує на звичайний несанкціонований віддалений запуск команд сторонніми особами. Хробак таємно впроваджував у файлову структуру проектів сильно обфускований та зашифрований стійким алгоритмом AES шкідливий файл розміром 4.3 МБ, розташований за шляхом .github/setup.js. Цей компонент розроблений для автоматичного збору та викрадення конфіденційних даних розробників і запрограмований на миттєве виконання в момент, коли програміст просто відкриває папку проекту в сучасних редакторах коду типу VS Code, Claude Code, Cursor, Gemini або запускає процеси тестування за допомогою команди npm test.

Адміністрація GitHub негайно зафіксувала аномальну активність і повністю заблокувала відкритий доступ до всіх 73 постраждалих сховищ Microsoft для локалізації загрози та перешкоджання її подальшому розповсюдженню серед сторонніх користувачів. Спільне технічне розслідування аналітиків з безпеки та представників спільноти OpenSourceMalware показало, що хробак Miasma успішно використовував механізми довірених шляхів публікації та легітимні облікові записи підрозділів розробки, через що стандартні системи моніторингу не фіксували підозрілої поведінки на початкових етапах. Наслідки цієї кібератаки мають довгостроковий характер, оскільки головною ціллю шкідливого ПЗ є не руйнування систем, а непомітне захоплення робочих станцій інженерів та їхніх інтегрованих ШІ-помічників, які автоматично обробляють інструкції з налаштування репозиторіїв. Усі викрадені хробаком автентифікаційні дані зловмисники здатні використовувати для подальших цільових проникнень у внутрішні корпоративні мережі підприємств. Наразі інженери безпеки проводять примусове анулювання всіх скомпрометованих токенів доступу та детальний аудит логів безперервної інтеграції, при цьому вчасна реакція дозволила запобігти масовому отруєнню та публікації шкідливих оновлень у публічному глобальному реєстрі пакетів npm, повністю захистивши кінцевих споживачів програмних продуктів.