<p><img src="https://www.bleepstatic.com/content/hl-images/2026/05/19/box.jpg" alt="Hacker"></p> <p>O framework de roubo de credenciais **Miasma**, que recentemente visou ecossistemas de código aberto através de ataques de cadeia de suprimentos, foi brevemente disponibilizado como código aberto no **GitHub**.</p> <p>**Miasma** parece ser uma evolução do worm **Shai-Hulud** anterior, vazado anteriormente no **GitHub** e compartilhando muitas das mesmas funcionalidades, técnicas e até mesmo código.</p> <h3>Como o Miasma Opera</h3> <p>O malware infecta uma máquina de desenvolvedor, rouba o ambiente de build e as credenciais de nuvem, e então as utiliza para comprometer repositórios e pacotes legítimos. Ele publica versões trojanizadas para infectar desenvolvedores downstream, repetindo o ciclo.</p> <p>Este mecanismo autônomo de auto-propagação, semelhante a um worm, pode expandir rapidamente seu alcance, potencialmente transformando uma única violação em um ataque generalizado de cadeia de suprimentos.</p> <p>O malware foi anteriormente associado a ataques de alto perfil contra **pacotes npm da Red Hat** e, mais recentemente, a 73 repositórios da **Microsoft** no **GitHub**.</p> <h3>Vazamento Deliberado e Insights do Código Fonte</h3> <p>Pesquisadores da **SafeDep** relataram ontem que o código fonte do **Miasma** foi vazado no **GitHub** através de inúmeras contas de desenvolvedores comprometidas. Em cada uma dessas contas, os atores de ameaça vazaram o código fonte em um repositório chamado "Miasma-Open-Source-Release".</p> <p>Isso indica que os atores de ameaça liberaram deliberadamente o código fonte, em vez de ser um vazamento acidental, semelhante à forma como o código do **Shai-Hulud** foi publicado anteriormente.</p> <p><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/June/leaked-files.jpg" alt="Arquivos de código fonte publicados"></p> <p>A análise do código mostrou que o toolkit não requer infraestrutura de comando e controle (C2) para operar, pois utiliza o **GitHub** para esse propósito.</p> <h3>Extensiva Coleta de Credenciais e Movimentação Lateral</h3> <p>O framework coleta credenciais de provedores de nuvem, sistemas CI/CD, gerenciadores de senhas, **Kubernetes** e armazenamentos de segredos. Ele os abusa para comprometer pacotes **npm**, **PyPI** e **RubyGems**, bem como repositórios **GitHub**, fluxos de trabalho **Actions** e instâncias **JFrog Artifactory**.</p> <p>Ele também pode se mover lateralmente através de **SSH** e **AWS Systems Manager (SSM)**, e envenenar configurações de ferramentas de codificação de IA como **Claude**, **Gemini**, **Cursor**, **Copilot**, **Kiro** e **Cline**.</p> <p><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/June/architecture.jpg" alt="Diagrama de arquitetura"></p> <h3>O 'Dead-Man Switch' e Payloads Evasivos</h3> <p>Uma funcionalidade interessante revelada no código fonte vazado do **Miasma** é um "dead-man switch" (interruptor de homem morto) que é instalado quando o malware usa o token **GitHub** roubado de uma vítima como um canal de exfiltração.</p> <p>O componente monitora a validade do token a cada minuto e, se for revogado, executa um comando destrutivo (`rm -rf ~/; rm -rf ~/Documents`), deletando recursivamente arquivos e diretórios nas pastas home e Documents do usuário.</p> <p>O monitor é executado como um serviço de usuário **systemd** no **Linux** ou um **LaunchAgent** no **macOS**, e permanece ativo por até 72 horas.</p> <p>Outro aspecto interessante revelado é um pipeline de build de cinco estágios que gera payloads únicos para cada build.</p> <p>**SafeDep** relata que o processo combina criptografia **AES-256-GCM** por arquivo de ativos embarcados, ofuscação de strings aleatórias, transformações de código fonte, ofuscação de JavaScript e um loader auto-extraível que encapsula o payload final em três camadas de criptografia.</p> <p>Chaves aleatórias e uma camada de codificação externa aleatória garantem que cada amostra gerada seja diferente das builds anteriores, tornando a detecção baseada em assinatura e a análise estática mais difíceis.</p> <h3>Implicações para a Segurança de Código Aberto</h3> <p>O vazamento do **Shai-Hulud** levou ao lançamento de variantes mais avançadas, como o **Miasma**, e a um aumento nas taxas de ataque. Da mesma forma, espera-se que o vazamento do código fonte do **Miasma** tenha um efeito semelhante, à medida que os atores de ameaça adotam o código e o ajustam ainda mais.</p> <p>Isso pode ter consequências significativas para a segurança do ecossistema de código aberto, pois os ataques de cadeia de suprimentos continuam a visá-lo em um ritmo sem precedentes.</p> <p>Recomenda-se que os desenvolvedores de software fixem as dependências de projetos, introduzam atrasos de vários dias antes de adotar atualizações de pacotes recém-lançadas e validem novas builds em ambientes de teste isolados.</p>