### El Renacido Asalto de Miasma a Microsoft GitHub Los repositorios de **GitHub** de **Microsoft** se han convertido en las últimas víctimas de la persistente campaña de ataque a la cadena de suministro auto-replicante **Miasma**. El sofisticado gusano logró infiltrarse en 73 repositorios distribuidos en cuatro de las organizaciones de **Microsoft** en **GitHub**: **Azure**, **Azure-Samples**, **Microsoft** y **MicrosoftDocs**. Según el análisis de **OpenSourceMalware**, la magnitud del compromiso llevó a **GitHub** a deshabilitar el acceso a estos repositorios afectados. Los intentos de acceder a repositorios como "[Azure/azure-functions-host](https://github.com/Azure/azure-functions-host)" ahora muestran un mensaje indicando una violación de los términos de servicio de **GitHub**. Los repositorios clave impactados por el incidente incluyen: * azure-search-openai-demo-purviewdatasecurity * Connectors-NET-LSP * Connectors-NET-SDK * durabletask * durabletask-dotnet * durabletask-go * durabletask-js * durabletask-mssql * functions-container-action * homebrew-functions * llm-fine-tuning * windows-driver-docs ### Amenazas Persistentes: Re-compromiso y Expansión del Alcance Esta última campaña es particularmente preocupante debido a la re-compromisión del paquete "durabletask" de **PyPI**. Este paquete fue previamente infectado por **TeamPCP** el mes pasado para distribuir un ladrón de información en sistemas Linux. El investigador de seguridad **Paul McCarty** (alias 6mile) señaló el extenso impacto: "Un mes después, no solo ha desaparecido Azure/durabletask, sino también todos los repositorios hermanos en el ecosistema de Durable Task, ubicados en la organización **Microsoft**: las implementaciones de .NET, Go, Java, JS, MSSQL, Netherite y protobuf, además del monitor de Durable Functions." **McCarty** añadió: "Cuando el repositorio en la raíz del compromiso del mes pasado es el centro de la deshabilitación de este mes, eso no es una coincidencia; es la misma herida que se reabre. Quienquiera que tuviera esas credenciales en mayo, plausiblemente nunca las perdió por completo."  Se cree que **Miasma** es una variante del gusano **Mini Shai-Hulud**, que **TeamPCP** lanzó públicamente a mediados de mayo de 2026, según informó **Akamai**. Desde su lanzamiento inicial, el gusano ha mutado continuamente y refinado sus tácticas de ataque, infectando más paquetes y creando nuevos repositorios públicos con secretos robados bajo nombres como "Miasma: The Spreading Blight" y "Hades - The End for the Damned". ### Tácticas en Evolución: Inyección Directa y Explotación de Agentes de IA En una preocupante evolución de sus métodos, se ha observado que **Miasma** elude por completo el registro **npm**. Los actores de amenazas están insertando directamente código malicioso en repositorios como "icflorescu/mantine-datatable" y cuatro repositorios relacionados: "mantine-contextmenu", "next-server-actions-parallel", "mantine-datatable-v6" y "mantine-contextmenu-v6". **SafeDep** destacó este nuevo enfoque, declarando: "El commit no añadió dependencias. Plantó un 'payload runner' de 4.3 MB y lo configuró para ejecutarse automáticamente a través de cinco herramientas de desarrollador: **Claude Code**, **Gemini CLI**, **Cursor**, **VS Code** y el script de prueba de **npm**." **SafeDep** elaboró aún más sobre el vector de ataque: "El ataque se detona cuando un desarrollador clona uno de los repositorios afectados y lo abre en un **agente de codificación de IA**. El 'dropper' es el mismo cargador 'staged' de **Bun**, aquí reutilizado para la persistencia en el 'source-repo' de **GitHub** en lugar del envenenamiento del registro." ### La Genialidad Engañosa de los Gusanos de Cadena de Suministro Estos continuos ataques a la cadena de suministro de software exponen debilidades fundamentales en el modelo de confianza que sustenta los ecosistemas de código abierto. La campaña **Miasma** destaca por su capacidad de propagarse exponencialmente al comprometer a usuarios 'downstream' y repetir el ciclo de infección. **FalconFeeds.io** describió acertadamente la sofisticación del gusano: "La genialidad del gusano y la razón por la que las defensas convencionales fallaron en gran medida es que opera completamente dentro de canales legítimos. No explota una vulnerabilidad en **npm** o **GitHub**." "Explota el modelo de confianza en el que se basan esas plataformas: la suposición de que si un paquete está firmado con una clave válida y publicado por un mantenedor autenticado, es seguro", explicó **FalconFeeds.io**. "**Shai-Hulud** compromete la clave y al mantenedor, y luego procede a actuar exactamente como lo haría un publicador legítimo. Desde la perspectiva del registro, cada evento de publicación malicioso es indistinguible de una actualización rutinaria." Este incidente sirve como un crudo recordatorio para los profesionales de seguridad de TI y los usuarios preocupados por la privacidad sobre la necesidad crítica de una vigilancia mejorada, prácticas sólidas de seguridad en la cadena de suministro y una verificación exhaustiva de todos los componentes de software, incluso aquellos de fuentes confiables.