最近、サプライチェーン攻撃を通じてオープンソースエコシステムを標的としてきた認証情報窃盗攻撃フレームワーク「Miasma」が、GitHub上で一時的にオープンソース化されました。 Miasmaは、以前GitHub上で流出した「Shai-Hulud」ワームの進化版であると見られており、多くの機能、技術、さらにはコードも共有しています。 ### Miasmaの動作方法 このマルウェアは、開発者のマシンに感染し、ビルド環境とクラウド認証情報を窃取します。その後、それらを利用して正規のリポジトリやパッケージを侵害します。そして、トロイの木馬化されたバージョンを公開して下流の開発者を感染させ、このサイクルを繰り返します。 この自律的でワームのような自己増殖メカニズムは、そのリーチを急速に拡大させることができ、単一の侵害を広範なサプライチェーン攻撃に変える可能性があります。 このマルウェアは、以前は「Red Hat npm packages」や、最近ではGitHub上の73のMicrosoftリポジトリに対する著名な攻撃に関連付けられていました。 ### 意図的な流出とソースコードの洞察 SafeDepの研究者は昨日、Miasmaのソースコードが、多数の侵害された開発者アカウントを通じてGitHub上で流出したと報告しました。これらのアカウントのそれぞれにおいて、攻撃者は「Miasma-Open-Source-Release」という名前のリポジトリにソースコードを流出させました。 これは、Shai-Huludのコードが以前公開された方法と同様に、攻撃者が意図的にソースコードを公開したことを示しており、偶発的な流出ではないことを示唆しています。  コードの分析によると、このツールキットはコマンド・アンド・コントロール（C2）インフラストラクチャを必要とせず、その目的のためにGitHubを利用していることが示されました。 ### 広範な認証情報収集とラテラルムーブメント このフレームワークは、クラウドプロバイダー、CI/CDシステム、パスワードマネージャー、Kubernetes、およびシークレットストアから認証情報を収集します。それらを悪用して、npm、PyPI、RubyGemsパッケージ、およびGitHubリポジトリ、Actionsワークフロー、JFrog Artifactoryインスタンスを侵害します。 また、SSHおよびAWS Systems Manager（SSM）を介してラテラルムーブメントを行い、Claude、Gemini、Cursor、Copilot、Kiro、ClineなどのAIコーディングツールの設定を汚染することもできます。  ### 「デッドマンズスイッチ」と回避的なペイロード 流出したMiasmaソースコードで明らかになった興味深い機能の1つは、「デッドマンズスイッチ」です。これは、マルウェアが被害者の盗まれたGitHubトークンを流出チャネルとして使用する際にインストールされます。 このコンポーネントは、1分ごとにトークンの有効性を監視し、無効化された場合は破壊的なコマンド（`rm -rf ~/; rm -rf ~/Documents`）を実行し、ユーザーのホームフォルダとドキュメントフォルダのファイルとディレクトリを再帰的に削除します。 このモニターは、Linuxではsystemdユーザーサービスとして、macOSではLaunchAgentとして実行され、最大72時間アクティブなままです。 もう1つの興味深い側面は、ビルドごとにユニークなペイロードを生成する5段階のビルドパイプラインです。 SafeDepによると、このプロセスは、埋め込まれたアセットのファイルごとのAES-256-GCM暗号化、ランダム化された文字列難読化、ソース変換、JavaScript難読化、および最終ペイロードを3層の暗号化でラップする自己解凍ローダーを組み合わせています。 ランダムなキーとランダム化された外部エンコーディングレイヤーにより、生成される各サンプルは以前のビルドと異なるため、シグネチャベースの検出と静的分析が困難になります。 ### オープンソースセキュリティへの影響 Shai-Huludの流出は、Miasmaのようなより高度なバリアントのリリースと、攻撃率の増加につながりました。同様に、Miasmaのソースコードの流出は、攻撃者がコードを採用し、さらに調整するため、同様の効果をもたらすと予想されます。 これは、サプライチェーン攻撃が前例のないペースでオープンソースエコシステムを標的とし続けているため、そのセキュリティに重大な影響を与える可能性があります。 ソフトウェア開発者は、プロジェクトの依存関係をピン留めし、新しくリリースされたパッケージアップデートを採用する前に数日間の遅延を導入し、隔離されたテスト環境で新しいビルドを検証することが推奨されます。