Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un logo Microsoft in 3D centrale, circondato da vermi che sembrano malware, rappresentando l'attacco di Miasma su 73 repository Microsoft contaminati. L'immagine illustra il pericolo della supply chain attack che minaccia gli hyperscaler, mostrando come i vermi malware cercano di infettare i repository Microsoft, mettendo a rischio la sicurezza delle piattaforme cloud.

73 repository Microsoft contaminati da Miasma: lo spettro della supply chain colpisce gli hyperscaler

8 Giugno 2026 06:55
In sintesi

Il worm Miasma ha infettato 73 repository Microsoft su GitHub, colpendo progetti di Azure, intelligenza artificiale e librerie utilizzate da migliaia di sviluppatori. Questo attacco autopropagante ha reso temporaneamente non disponibile il codice e ha sollevato preoccupazioni sulla sicurezza delle credenziali degli utenti. La situazione richiede una verifica separata per garantire l'integrità del codice.

GitHub ha disabilitato l’accesso a 73 repository Microsoft dopo una nuova ondata di attacchi attraverso il worm Miasma. Nello specifico, sono stati colpiti i progetti di quattro organizzazioni Microsoft su GitHub: Azure, Azure-Samples, Microsoft e MicrosoftDocs.

I repository interessati includevano componenti di Azure, esempi di codice, documentazione e progetti dell’ecosistema Sustainable Task.  Quando provi ad aprire uno dei repository disabilitati, Azure/azure-functions-host su GitHub, viene mostrata una notifica standard relativa al blocco dell’accesso a causa di una violazione dei termini di servizio.

Al proprietario del repository viene chiesto di contattare il supporto GitHub per ulteriori informazioni.

Advertising

La pagina mostra un messaggio che indica che l'accesso a questo repository è stato limitato a causa della violazione dei termini di servizio di GitHub e fornisce informazioni di contatto per il supporto GitHub.

Per gli sviluppatori di terze parti, ciò significa una cosa semplice: il codice è temporaneamente non disponibile e le ultime modifiche non possono essere considerate attendibili senza una verifica separata.

Secondo OpenSourceMalware, i progetti interessati includono anche

  • azure-search-openai-demo-purviewdatasecurity,
  • Connectors-NET-LSP,
  • Connectors-NET-SDK,
  • durevoletask, durevoletask-dotnet,
  • durevoletask-go,
  • durevoletask-js,
  • durevoletask-mssql

L’elenco completo è molto più lungo, ma anche questi nomi mostrano perché l’incidente ha suscitato allarme. Miasma è andato verso repository relativi a funzioni cloud, connettori, documentazione, demo di intelligenza artificiale e componenti per diversi ecosistemi linguistici.

A maggio un omonimo pacchetto PyPI erano stato infettato tramite un token di pubblicazione compromesso. Si tratta di durabletask 1.4.1, 1.4.2 e 1.4.3 dove è stato caricato un modulo aggiuntivo e tentato di rubare credenziali da AWS, Azure, Google Cloud, Kubernetes, gestori di password e configurazioni di strumenti di sviluppo. Secondo SafeDep, il repository GitHub in quell’episodio non è stato violato: l’aggressore ha raccolto i pacchetti modificati localmente e li ha caricati direttamente su PyPI. Il ricercatore Paul McCarthy, noto come 6mile, collega la nuova ondata con l’infezione di maggio e ammette che le credenziali utilizzate allora avrebbero potuto essere conservate dagli aggressori.

Advertising

Miasma è considerato una variante di Mini Shai-Hulud, un worm che si auto-propaga per attacchi alla catena di fornitura del software. TeamPCP ha pubblicato Mini Shai-Hulud a metà maggio 2026, dopodiché le tecniche si sono diffuse rapidamente oltre la versione iniziale. Miasma cambia i dettagli, perfeziona i metodi di blocco e viene distribuito attraverso nuovi pacchetti, repository e account. Negli ultimi giorni la campagna ha continuato a infettare progetti e a creare archivi pubblici contenenti segreti rubati.

Per tali repository, gli aggressori hanno utilizzato diverse descrizioni: Miasma: The Spreading Blight, Miasma: The Spreading Blight, Miasma – The Spreading Blight e Hades – The End for the Damned.  Miasma non si limita al classico schema di infettare il registro npm. I ricercatori hanno notato che gli aggressori a volte aggirano completamente npm e inseriscono codice dannoso direttamente nei repository di origine. Uno di questi episodi ha interessato icflorescu/mantine-datatable e quattro progetti correlati: mantine-contextmenu, next-server-actions-parallel, mantine-datatable-v6 e mantine-contextmenu-v6.

In questo caso, il commit dannoso non ha aggiunto nuove dipendenze. Nel progetto è stato inserito un modulo di esecuzione di 4,3 MB e il lancio è stato legato contemporaneamente a diversi strumenti di sviluppo familiari: Claude Code, Gemini CLI, Cursor, VS Code e lo script di test npm.

L’attacco non funziona quando il pacchetto viene pubblicato su npm, ma successivamente quando lo sviluppatore clona uno dei repository interessati e apre il codice nell’agente AI per la programmazione


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Carolina Vivianti 300x300
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance