کمپین حمله زنجیره تأمین میاسما (Miasma) با هدف قرار دادن 73 مخزن گیتهاب متعلق به مایکروسافت، وارد مرحله تازهای از گسترش خود شده و بار دیگر نشان داده است که مدل اعتماد حاکم بر اکوسیستم نرمافزارهای متنباز همچنان یکی از مهمترین چالشهای امنیتی زنجیره تأمین نرمافزار محسوب میشود. بر اساس ارزیابی محققان، میاسما گونهای تکاملیافته از کرم Mini Shai-Hulud محسوب میشود و اکنون دامنه فعالیت خود را به بخشی از زیرساخت توسعه مایکروسافت گسترش داده است.
بررسیهای محققان امنیتی نشان میدهد این حمله زنجیره تأمین با سوءاستفاده از اعتبارنامههای سرقتشده، مخازن کد و روابط اعتماد میان توسعهدهندگان، توانسته است چرخه آلودگی خود را در اکوسیستم متنباز حفظ کند؛ رویکردی که آن را به یکی از مهمترین و پایدارترین کمپینهای تهدید فعال در سال 2026 تبدیل کرده است.
گسترش حمله زنجیره تأمین میاسما به 73 مخزن گیتهاب مایکروسافت
بر اساس گزارش محققان OpenSourceMalware، تازهترین موج از فعالیت میاسما، 73 مخزن متعلق به مایکروسافت را در چهار سازمان گیتهاب شامل Azure، Azure-Samples، Microsoft و MicrosoftDocs تحت تأثیر قرار داده است. گیتهاب در پی این رخداد، دسترسی عمومی به شماری از مخازن مرتبط را مسدود کرد.
کاربرانی که قصد دسترسی به پروژه Azure Functions Host را داشتند، با پیامی از سوی گیتهاب مواجه شدند که اعلام میکرد این مخزن به دلیل نقض شرایط استفاده (Terms of Service) پلتفرم، از دسترس خارج شده است. برخی از مهمترین پروژههای تحت تاثیر عبارتند از:
- durabletask
- durabletask-dotnet
- durabletask-go
- durabletask-js
- durabletask-mssql
- functions-container-action
- homebrew-functions
- llm-fine-tuning
- windows-driver-docs
- Connectors-NET-SDK
- Connectors-NET-LSP
دامنه این حمله زنجیره تأمین نشان میدهد مهاجمان توانستهاند به بخش قابل توجهی از اکوسیستم توسعه نرمافزار و پروژههای متنباز مرتبط با Azure نفوذ کنند؛ موضوعی که میتواند ریسکهای امنیتی قابل توجهی را برای توسعهدهندگان، مدیران پروژهها و کاربران نهایی به همراه داشته باشد.
آلودگی مجدد durabletask؛ نشانهای از تداوم دسترسی مهاجمان
یکی از مهمترین نکات در تازهترین موج فعالیت میاسما، آلودهسازی مجدد بسته durabletask در مخزن PyPI است؛ بستهای که ماه گذشته نیز توسط گروه TeamPCP مورد سوءاستفاده قرار گرفته بود و برای توزیع یک بدافزار رباینده اطلاعات روی سیستمهای لینوکسی به کار میرفت. به اعتقاد پژوهشگران، بازگشت مجدد این بسته به کانون رخدادهای اخیر میتواند نشاندهنده تداوم دسترسی مهاجمان به بخشی از زیرساخت یا اعتبارنامههای به سرقترفته باشد.
پژوهشگری به نام پل مککارتی (Paul McCarty) با نام مستعار 6mile، در تحلیل این حمله زنجیره تأمین میگوید:
«تنها یک ماه بعد، نهفقط مخزن Azure/durabletask از دسترس خارج شده، بلکه تقریباً تمام پروژههای وابسته به اکوسیستم Durable Task در مایکروسافت نیز تحت تأثیر قرار گرفتهاند؛ از نسخههای مبتنی بر.NET، Go، جاوا (Java) و جاوااسکریپت (JavaScript) گرفته تا مایکروسافت SQL سرور (MSSQL)، ندرایت (Netherite)، پروتوباف (Protobuf) و حتی ابزار مانیتورینگ Durable Functions.»
او در ادامه با اشاره به ارتباط رخدادهای اخیر مرتبط با نفوذ ماه گذشته افزود:
«وقتی مخزنی که در کانون نفوذ ماه گذشته قرار داشت، حالا به محور اصلی حذف و از دسترس خارج شدن مخازن در این ماه تبدیل شده است، نمیتوان آن را یک موضوع تصادفی دانست؛ به احتمال زیاد، افرادی که در ماه می به این اعتبارنامهها دست یافته بودند، هرگز کنترل آنها را بهطور کامل از دست ندادهاند.»
میاسما چگونه در اکوسیستم متنباز گسترش پیدا میکند؟
بررسیها نشان میدهد میاسما گونهای تکاملیافته از کرم Mini Shai-Hulud است که توسط TeamPCP در اواسط ماه می 2026 بهصورت عمومی منتشرشد. این بدافزار از آن زمان تاکنون بهطور مداوم در حال تغییر و بهبود روشهای انتشار خود بوده و طی روزهای اخیر نیز موفق شده بستههای بیشتری را در اکوسیستم متنباز آلوده کند.
مهاجمان برای مخازن عمومی جدیدی که حاوی اطلاعات محرمانه سرقتشده بودند، از نامها و توضیحات مختلفی استفاده کردهاند که از جمله آنها میتوان به موارد زیر اشاره کرد:
- Miasma: The Spreading Blight
- Miasma : The Spreading Blight
- Miasma – The Spreading Blight
- Hades – The End for the Damned
بر اساس این گزارش، در زمان انتشار خبر دستکم 13 مخزن با توضیح Hades – The End for the Damned و 82 مخزن دیگر با سایر الگوهای نامگذاری مرتبط با میاسما شناسایی شده بودند.
دور زدن npm و گسترش مستقیم حمله زنجیره تأمین در مخازن گیتهاب
همچنین محققان مشاهده کردهاند که میاسما در برخی موارد بدون استفاده از رجیستری npm فعالیت کرده و عاملان تهدید کد مخرب را مستقیماً به مخزن icflorescu/mantine-datatable و چهار مخزن مرتبط دیگر ارسال کردهاند:
- mantine-contextmenu
- next-server-actions-parallel
- mantine-datatable-v6
- mantine-contextmenu-v6
این رویکرد نشان میدهد این حمله زنجیره تأمین دیگر صرفاً به آلودهسازی بستههای نرمافزاری محدود نیست و اکنون خودِ مخازن کد را نیز به بستر انتشار آلودگی تبدیل کرده است.
شرکت SafeDep در تحلیل این فعالیت اعلام کرد:
«در این کامیت هیچ وابستگی (Dependency) جدیدی اضافه نشده بود. در عوض، یک اجراکننده پیلود به حجم 4.3 مگابایت در مخزن قرار داده شده و بهگونهای پیکربندی شده بود که از طریق پنج ابزار توسعهدهندگان شامل Claude Code، Gemini CLI، Cursor، VS Code و اسکریپت npm test بهصورت خودکار اجرا شود.»
این شرکت در ادامه توضیح داد:
«آلودگی زمانی فعال میشود که یک توسعهدهنده مخزن آلوده را کلون (Clone) کرده و آن را در یک عامل کدنویسی مبتنی بر هوش مصنوعی (AI Coding Agent) باز کند. دراپر (Dropper) مورد استفاده همان لودر مرحلهای Bun است که این بار بهجای آلودهسازی رجیستری، برای ایجاد پایداری (Persistence) در مخازن مبدأ گیتهاب به کار گرفته شده است.»
چرا این حمله اهمیت دارد؟
این حمله زنجیره تأمین بار دیگر نشان میدهد که مدل اعتماد (Trust Model) حاکم بر اکوسیستم نرمافزارهای متنباز تا چه اندازه میتواند به نقطه ضعف تبدیل شود. در چنین اکوسیستمی، توسعهدهندگان و سازمانها معمولاً به بستهها، مخازن کد و بهروزرسانیهایی اعتماد میکنند که از سوی مدیران پروژههای متنباز منتشر میشوند؛ موضوعی که در صورت سوءاستفاده مهاجمان، میتواند پیامدهای گستردهای در سراسر زنجیره توسعه نرمافزار به همراه داشته باشد.
آنچه میاسما را از بسیاری از رخدادهای مشابه متمایز میکند، توانایی آن در گسترش زنجیرهای و مستمر آلودگی است. این کرم با هدف قرار دادن کاربران و پروژههای وابسته، دامنه نفوذ خود را بهصورت تصاعدی افزایش میدهد و هر قربانی جدید میتواند به نقطه آغاز موج بعدی آلودگی تبدیل شود. همین ویژگی باعث شده این کمپین به یکی از گستردهترین و ماندگارترین تهدیدات علیه اکوسیستم متنباز در سالهای اخیر تبدیل شود.
راز موفقیت میاسما
به گفته FalconFeeds.io، آنچه میاسما را به تهدیدی متفاوت تبدیل کرده، نحوه عملکرد آن در بسترهای کاملاً قانونی و مورد اعتماد است. به گفته این شرکت:
«دلیل موفقیت این کرم و ناکارآمدی بسیاری از راهکارهای دفاعی متداول این است که فعالیتهای خود را کاملاً از طریق کانالهای معتبر انجام میدهد. این بدافزار هیچ آسیبپذیری را در npm یا گیتهاب اکسپلویت نمیکند.»
به گفته این منبع، حمله زنجیره تأمین میاسما بهجای سوءاستفاده از آسیبپذیریهای فنی، مدل اعتماد حاکم بر این پلتفرمها را هدف قرار میدهد؛ مدلی که بر این فرض استوار است که هر بسته نرمافزاری که با یک کلید معتبر امضا شده و توسط یک مسئول پروژه احراز هویتشده منتشر شود، قابل اعتماد است.
FalconFeeds.io در ادامه توضیح میدهد:
«Shai-Hulud با نفوذ به کلیدهای امضای دیجیتال و حسابهای مسئولان پروژهها، خود را بهجای یک ناشر معتبر جا میزند و سپس دقیقاً همانند یک توسعهدهنده قانونی اقدام به انتشار بهروزرسانی میکند. به همین دلیل، از دید رجیستری هر انتشار مخرب تفاوتی با یک بهروزرسانی عادی ندارد و شناسایی آن بسیار دشوار است.»
