### MiasmaによるMicrosoft GitHubへの再度の攻撃 **Microsoft**の**GitHub**リポジトリが、進行中の**Miasma**自己複製サプライチェーン攻撃キャンペーンの最新の犠牲者となりました。この洗練されたワームは、**Microsoft**の4つの**GitHub**組織（**Azure**、**Azure-Samples**、**Microsoft**、**MicrosoftDocs**）にまたがる73のリポジトリに潜入することに成功しました。 **OpenSourceMalware**による分析によると、侵害の規模が大きかったため、**GitHub**はこれらの影響を受けたリポジトリへのアクセスを無効にしました。「[Azure/azure-functions-host](https://github.com/Azure/azure-functions-host)」のようなリポジトリへのアクセス試行は、現在**GitHub**の利用規約違反を示すメッセージを表示しています。 このインシデントの影響を受けた主要なリポジトリには以下が含まれます。 * azure-search-openai-demo-purviewdatasecurity * Connectors-NET-LSP * Connectors-NET-SDK * durabletask * durabletask-dotnet * durabletask-go * durabletask-js * durabletask-mssql * functions-container-action * homebrew-functions * llm-fine-tuning * windows-driver-docs ### 執拗な脅威：再侵害とリーチの拡大 今回のキャンペーンは、「durabletask」**PyPI**パッケージの再侵害という点で特に懸念されます。このパッケージは、先月**TeamPCP**によってLinuxシステム上で情報窃盗マルウェアを配布するために侵害されていました。 セキュリティ研究者の**Paul McCarty**（別名6mile）は、その広範な影響について次のように述べています。「1ヶ月後、Azure/durabletaskがなくなっただけでなく、Durable Taskエコシステムのすべての兄弟リポジトリも、**Microsoft**の別の組織にあり、.NET、Go、Java、JS、MSSQL、Netherite、protobufの実装、さらにDurable Functionsモニターも同様です。」 **McCarty**氏はさらに、「先月の侵害の根源となったリポジトリが今月のテイクダウンの中心である場合、それは偶然ではありません。それは同じ傷が再び開いているのです。5月にそれらの認証情報を保持していた者は、おそらくそれらを完全に失っていません。」と付け加えています。  **Miasma**は、**Akamai**が報じたように、2026年5月中旬に**TeamPCP**が一般公開した**Mini Shai-Hulud**ワームの亜種であると考えられています。初期リリース以来、ワームは継続的に変異し、攻撃戦術を洗練させ、より多くのパッケージを感染させ、「Miasma: The Spreading Blight」や「Hades - The End for the Damned」のような名前で盗まれた秘密を保持する新しい公開リポジトリを作成しています。 ### 進化する戦術：直接注入とAIエージェントの悪用 その手法の懸念すべき進化として、**Miasma**は**npm**レジストリを完全に回避することが観察されています。攻撃者は、「icflorescu/mantine-datatable」および関連する4つのリポジトリ（「mantine-contextmenu」、「next-server-actions-parallel」、「mantine-datatable-v6」、「mantine-contextmenu-v6」）に悪意のあるコードを直接プッシュしています。 **SafeDep**はこの新しいアプローチを強調し、「コミットは依存関係を追加しませんでした。4.3MBのペイロードランナーを埋め込み、5つの開発者ツール（**Claude Code**、**Gemini CLI**、**Cursor**、**VS Code**、および**npm**テストスクリプト）を介して自動的に実行されるように配線しました。」と述べています。 **SafeDep**はさらに攻撃ベクトルについて説明しました。「攻撃は、開発者が影響を受けたリポジトリのいずれかをクローンし、それを**AIコーディングエージェント**で開いたときに爆発します。ドロッパーは、レジストリの汚染ではなく、**GitHub**ソースリポジトリの永続性のために再利用された、同じステージングされた**Bun**ローダーです。」 ### サプライチェーンワームの欺瞞的な巧妙さ これらの進行中のソフトウェアサプライチェーン攻撃は、オープンソースエコシステムを支える信頼モデルにおける根本的な弱点を露呈しています。**Miasma**キャンペーンは、下流のユーザーを侵害し、感染サイクルを繰り返すことによって指数関数的に伝播する能力で際立っています。 **FalconFeeds.io**は、ワームの洗練度を的確に描写しました。「ワームの巧妙さと、従来の防御がほとんど失敗した理由は、それが完全に正規のチャネル内で動作することです。**npm**または**GitHub**の脆弱性を悪用するものではありません。」 「それは、それらのプラットフォームが構築されている信頼モデルを悪用しています。つまり、パッケージが有効なキーで署名され、認証されたメンテナーによって公開された場合、それは安全であるという仮定です。」と**FalconFeeds.io**は説明しました。「**Shai-Hulud**はキーとメンテナーを侵害し、その後、正規のパブリッシャーと全く同じように動作します。レジストリの観点からは、すべての悪意のある公開イベントは、通常の更新と区別がつきません。」 このインシデントは、ITセキュリティ専門家およびプライバシーを意識したユーザーにとって、強化された警戒、堅牢なサプライチェーンセキュリティプラクティス、そして信頼できるソースからのものであっても、すべてのソフトウェアコンポーネントの徹底的な検証の極めて重要な必要性についての厳しいリマインダーとなります。