<p><img src="https://www.bleepstatic.com/content/hl-images/2026/05/19/box.jpg" alt="Hacker"></p> <p>El framework de ataque para robo de credenciales **Miasma**, que recientemente ha atacado ecosistemas de código abierto a través de ataques a la cadena de suministro, fue publicado brevemente como código abierto en **GitHub**.</p> <p>**Miasma** parece ser una evolución del gusano anterior **Shai-Hulud**, previamente filtrado en **GitHub** y que comparte muchas de las mismas características, técnicas e incluso código.</p> <h3>Cómo Opera Miasma</h3> <p>El malware infecta una máquina de desarrollador, roba el entorno de compilación y las credenciales en la nube, y luego las utiliza para comprometer repositorios y paquetes legítimos. Publica versiones troyanizadas para infectar a desarrolladores posteriores, repitiendo el ciclo.</p> <p>Este mecanismo de auto-propagación autónomo y similar a un gusano puede expandir rápidamente su alcance, convirtiendo potencialmente una sola brecha en un ataque generalizado a la cadena de suministro.</p> <p>El malware ha estado previamente vinculado a ataques de alto perfil contra **paquetes npm de Red Hat** y, más recientemente, a 73 repositorios de **Microsoft** en **GitHub**.</p> <h3>Filtración Deliberada y Perspectivas del Código Fuente</h3> <p>Investigadores de **SafeDep** informaron ayer que el código fuente de **Miasma** fue filtrado en **GitHub** a través de numerosas cuentas de desarrolladores comprometidas. En cada una de esas cuentas, los actores de amenazas filtraron el código fuente en un repositorio llamado "Miasma-Open-Source-Release".</p> <p>Esto indica que los actores de amenazas liberaron deliberadamente el código fuente, en lugar de ser una filtración accidental, similar a cómo se publicó el código de **Shai-Hulud** anteriormente.</p> <p><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/June/leaked-files.jpg" alt="Archivos de código fuente publicados"></p> <p>El análisis del código mostró que el kit de herramientas no requiere infraestructura de comando y control (C2) para operar, ya que utiliza **GitHub** para ese propósito.</p> <h3>Extensa Recolección de Credenciales y Movimiento Lateral</h3> <p>El framework recolecta credenciales de proveedores de la nube, sistemas CI/CD, gestores de contraseñas, **Kubernetes** y almacenes de secretos. Las abusa para comprometer paquetes de **npm**, **PyPI** y **RubyGems**, así como repositorios de **GitHub**, flujos de trabajo de **Actions** e instancias de **JFrog Artifactory**.</p> <p>También puede moverse lateralmente a través de **SSH** y **AWS Systems Manager (SSM)**, y envenenar configuraciones de herramientas de codificación de IA como **Claude**, **Gemini**, **Cursor**, **Copilot**, **Kiro** y **Cline**.</p> <p><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/June/architecture.jpg" alt="Diagrama de arquitectura"></p> <h3>El 'Interruptor de Hombre Muerto' y Payloads Evasivos</h3> <p>Una característica interesante revelada en el código fuente filtrado de **Miasma** es un "interruptor de hombre muerto" que se instala cuando el malware utiliza el token de **GitHub** robado de una víctima como canal de exfiltración.</p> <p>El componente monitorea la validez del token cada minuto y, si se revoca, ejecuta un comando destructivo (`rm -rf ~/; rm -rf ~/Documents`), eliminando recursivamente archivos y directorios en las carpetas de inicio y Documentos del usuario.</p> <p>El monitor se ejecuta como un servicio de usuario **systemd** en **Linux** o un **LaunchAgent** en **macOS**, y permanece activo hasta por 72 horas.</p> <p>Otro aspecto interesante revelado es un pipeline de compilación de cinco etapas que genera payloads únicos para cada compilación.</p> <p>**SafeDep** informa que el proceso combina cifrado **AES-256-GCM** por archivo de activos incrustados, ofuscación de cadenas aleatorias, transformaciones de código fuente, ofuscación de JavaScript y un cargador autoextraíble que envuelve el payload final en tres capas de cifrado.</p> <p>Las claves aleatorias y una capa de codificación externa aleatoria aseguran que cada muestra generada difiera de las compilaciones anteriores, dificultando la detección basada en firmas y el análisis estático.</p> <h3>Implicaciones para la Seguridad del Código Abierto</h3> <p>La filtración de **Shai-Hulud** condujo al lanzamiento de variantes más avanzadas, como **Miasma**, y a un aumento en las tasas de ataque. De manera similar, se espera que la filtración del código fuente de **Miasma** tenga un efecto similar a medida que los actores de amenazas adopten el código y lo ajusten aún más.</p> <p>Esto podría tener consecuencias significativas para la seguridad del ecosistema de código abierto, ya que los ataques a la cadena de suministro continúan apuntándolo a un ritmo sin precedentes.</p> <p>Se aconseja a los desarrolladores de software que fijen las dependencias de los proyectos, introduzcan retrasos de varios días antes de adoptar actualizaciones de paquetes recién lanzadas y validen las nuevas compilaciones en entornos de prueba aislados.</p>