
A estrutura de ataque e roubo de credenciais conhecida por Miasma foi recentemente partilhada de forma deliberada no GitHub através de contas comprometidas de programadores. Segundo a investigação publicada pela SafeDep, a ameaça surge como uma evolução direta do anterior verme Shai-Hulud, com o qual partilha funcionalidades e grande parte do código base.
O funcionamento desta ameaça baseia-se na infeção da máquina do programador para extrair credenciais da nuvem e dados do ambiente de construção. Com esta informação, os atacantes comprometem repositórios e pacotes legítimos para publicar versões adulteradas, infetando assim outros programadores num ciclo contínuo. Este malware já foi associado a incidentes graves que envolveram pacotes da Red Hat e repositórios da Microsoft na plataforma.
Um ataque silencioso à cadeia de fornecimento
O código agora tornado público revela que a ferramenta não precisa de uma infraestrutura tradicional de comando e controlo, recorrendo ao próprio GitHub para esse fim. A estrutura recolhe acessos de sistemas de integração contínua, gestores de palavras-passe e ambientes Kubernetes, abusando deles para comprometer registos populares como npm, PyPI e RubyGems.
Além de se propagar lateralmente através de ligações SSH, o software malicioso consegue envenenar as configurações de várias ferramentas de programação assistida por inteligência artificial, como o Copilot, Claude ou Gemini. Esta capacidade de propagação autónoma transforma uma única falha de segurança num ataque em grande escala a toda a cadeia de fornecimento de software.
Mecanismo de destruição e ofuscação avançada
Um dos pormenores mais preocupantes descobertos no código fonte é a presença de um mecanismo de destruição acionado caso o acesso seja revogado. Este sistema monitoriza constantemente a validade do token roubado e, se detetar que este foi cancelado, executa um comando que apaga todas as pastas e ficheiros pessoais do utilizador no sistema operativo infetado.
Para dificultar a análise e deteção, a ameaça utiliza um processo de construção dividido em cinco fases que gera cargas únicas para cada infeção. Este processo mistura encriptação de alto nível, ofuscação aleatória de texto e um carregador que oculta o código final em várias camadas.
A divulgação deste código fonte deverá acelerar a criação de novas variantes e aumentar a frequência deste tipo de incidentes. Como medida de precaução, é recomendado que as equipas de desenvolvimento fixem as dependências dos seus projetos, aguardem alguns dias antes de adotar novas atualizações e validem sempre as construções em ambientes de teste isolados.












Nenhum comentário
Seja o primeiro!