Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un imponente verme meccanico robotico emerge dalle dune di un deserto sabbioso, sollevando nuvole di polvere. La creatura cyborg ha un corpo massiccio segmentato con placche metalliche beige e grigie. La testa è dotata di grandi fauci meccaniche artigliate, luci azzurre e arancioni disposte in cerchio e sensori sulla sommità. Sullo sfondo si vedono montagne rocciose e piccoli veicoli fuoristrada che fuggono sulla sabbia, enfatizzando le dimensioni colossali del mostro fantascientifico.

Miasma è libero! Il codice sorgente del “parassita” è stato pubblicato su GitHub

11 Giugno 2026 14:23
In sintesi

Il codice sorgente del malware Miasma è stato pubblicato su GitHub tramite account sviluppatore compromessi. Questo worm infetta i computer degli sviluppatori, rubando dati sensibili e modificando pacchetti legittimi per diffondere l'attacco. Miasma sfrutta le capacità di GitHub per ricevere comandi e configurazioni, evitando l'uso di infrastrutture di controllo tradizionali.

Il codice sorgente del malware Miasma, i cui attacchi hanno recentemente afflitto gli ecosistemi open source, è apparso brevemente su GitHub. Secondo i dati dei ricercatori di SafeDep, il codice del malware è stato pubblicato tramite degli account sviluppatore compromessi e i repository avevano lo stesso nome: Miasma-Open-Source-Release.

Apparentemente non si tratta di una fuga di notizie accidentale, ma di una divulgazione deliberata del codice, come è accaduto in precedenza con il worm Shai-Hulud.

Ricordiamo che Miasma è considerato una variante del worm Shai-Hulud, il cui codice sorgente proviene dal gruppo TeamPCP che lo ha reso di sominio pubblico a maggio 2026.

Advertising

Il malware infetta i computer degli sviluppatori e ruba un’ampia gamma di dati: segreti GitHub Actions, token npm e PyPI, chiavi SSH, credenziali AWS, Google Cloud e Azure, token HashiCorp Vault, segreti Kubernetes, configurazioni Docker, chiavi GPG, e molto altro ancora,

Il malware utilizza i dati ottenuti per apportare modifiche a repository e pacchetti legittimi. Gli aggressori poi pubblicano versioni infette dei pacchetti, diffondendo l’attacco a un numero sempre maggiore di sviluppatori. Questo meccanismo di auto-propagazione ti consente di trasformare rapidamente un singolo hack in un attacco su larga scala alla catena di approvvigionamento.

In precedenza, Miasma era stato associato alla compromissione dei pacchetti npm di Red Hat e agli attacchi su dozzine di repository Microsoft su GitHub.

Secondo gli analisti di Socket, ad oggi sono state identificate 474 pubblicazioni di pacchetti compromessi.

Come hanno affermato i ricercatori, un’analisi del codice pubblicato su GitHub ha dimostrato che Miasma non necessita di una propria infrastruttura di controllo per funzionare. Invece dei tradizionali server C2, il worm abusa delle capacità di GitHub stesso: attraverso commit pubblici, riceve comandi, configurazioni e informazioni sui canali per l’esfiltrazione dei dati.

Advertising

È noto che Miasma può rubare credenziali di piattaforme cloud, sistemi CI/CD, cluster Kubernetes, gestori di password e archivi segreti. Vengono quindi utilizzati per compromettere npm, PyPI e RubyGems, repository GitHub, GitHub Actions e JFrog Artifactory. Inoltre, Miasma supporta il movimento laterale tramite SSH e AWS Systems Manager ed è anche in grado di inserire impostazioni dannose negli strumenti di sviluppo dell’intelligenza artificiale (Claude, Gemini, Cursor, Copilot, Kiro e Cline).

Gli esperti scrivono che una delle scoperte più inaspettate nel codice è stato un interruttore integrato. Pertanto, se un token GitHub rubato viene utilizzato per rubare dati, il malware ne controlla la funzionalità ogni 60 secondi. Se il proprietario revoca il token, viene lanciato un comando per eliminare i file dalla directory home e dalla directory Documenti (in Linux è responsabile il servizio systemd, in macOS – LaunchAgent). Il meccanismo può rimanere attivo fino a 72 ore.

Un’altra caratteristica di Miasma è la pipeline di assemblaggio in più fasi. Per ogni nuova build, viene generato un payload univoco con diversi livelli di crittografia, offuscamento delle stringhe e trasformazioni aggiuntive del codice sorgente. Di conseguenza, ogni campione di worm è diverso dal precedente, il che complica il rilevamento delle firme e l’analisi statica.

Non tutti gli esperti considerano la pubblicazione del codice sorgente di Miasma un grosso problema. Ad esempio, lo specialista di Wiz Rami McCarthy osserva che i ricercatori hanno già studiato la struttura interna di Miasma e, anche dopo la divulgazione del codice sorgente di Shai-Hulud, non si è verificato alcun aumento nell’attività degli aggressori. Tuttavia, SafeDep avverte che la distribuzione del codice sorgente potrebbe portare alla comparsa di nuove modifiche del malware e ad un aumento del numero di attacchi ai progetti open source.



📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response