Ваш ИИ-ассистент теперь работает на хакеров. Miasma умеет «обучать» Claude и Copilot выполнять команды злоумышленников

Когда на GitHub опубликовали очередной исходный код, это неожиданно привлекло внимание специалистов по безопасности. За последние дни на платформе начали массово появляться репозитории с названием Miasma-Open-Source-Release. По мнению авторов исследования, большинство этих репозиториев разместили через ранее скомпрометированные учётные записи разработчиков. Один из них вскоре удалили, однако специалисты успели сохранить его содержимое и подробно изучить.

Изучение кода показало, что Miasma представляет собой не просто самораспространяющийся вредоносный код для атак на цепочки поставок программного обеспечения. Авторы проекта создали полноценный набор инструментов, способный использовать украденные учётные данные для атак на пакеты в PyPI, npm и RubyGems, репозитории GitHub, системы сборки GitHub Actions, корпоративные хранилища JFrog Artifactory, среды разработки с искусственным интеллектом и облачные сервисы.

Согласно документации внутри проекта, Miasma написан на TypeScript и предназначен для запуска как на компьютерах разработчиков, так и в системах непрерывной интеграции и доставки обновлений. Код собирает секреты, распространяется через программные пакеты и репозитории, а также использует SSH-доступ и сервис AWS Systems Manager, чтобы затем перемещаться по инфраструктуре.

Одной из самых необычных особенностей стала практически полная зависимость от GitHub в качестве командного центра. Вместо собственных серверов злоумышленники используют поиск по открытым коммитам для передачи команд, поиска украденных ключей доступа и получения обновлений. Такой подход позволяет скрывать вредоносную активность среди обычного трафика к популярной платформе разработки.

Исследователи обнаружили сразу три независимых канала управления. Каждый использует собственную поисковую строку, отдельные криптографические ключи и разные механизмы доставки команд. Один канал предназначен для поиска украденных токенов GitHub, другой позволяет выполнять произвольный код JavaScript, а третий регулярно загружает и запускает сценарии на Python.

Miasma собирает учётные данные из большого числа источников. Среди них – сервисы Amazon Web Services, Microsoft Azure, Google Cloud, Kubernetes, HashiCorp Vault, а также менеджеры паролей 1Password и Bitwarden. При наличии соответствующих прав вредоносный код может искать секреты в средах GitHub Actions и даже извлекать данные напрямую из памяти рабочих узлов.

Авторы подробно рассмотрели, как вредоносный код распространяется через программные пакеты. Если он находит действующий токен публикации, то скачивает легитимный пакет, внедряет собственную нагрузку, повышает номер версии и публикует заражённую сборку обратно в реестр. Для npm предусмотрена поддержка цифровых подтверждений происхождения пакета Sigstore, что помогает маскировать подменённые версии под легитимные.

Кроме того, Miasma способен заражать более десятка популярных инструментов программирования с поддержкой искусственного интеллекта, включая Claude, Gemini, Cursor, Copilot, Kiro и Cline. Для этого вредоносный код изменяет конфигурационные файлы, заставляя помощников выполнять дополнительные команды при запуске рабочих сессий.

Авторы проекта предусмотрели и механизмы, позволяющие закрепиться в системе. На заражённой машине может устанавливаться постоянный фоновый модуль, который каждый час обращается к GitHub в поисках новых команд. При этом программа старается избегать запуска на устройствах, где обнаружены популярные средства защиты конечных точек.

Наиболее агрессивной функцией оказался так называемый «аварийный выключатель». Если злоумышленники используют украденный токен GitHub жертвы, чтобы передавать данные, вредоносный код может установить отдельный мониторинг его состояния. Если токен отзовут, запустится команда, удаляющая домашний каталог пользователя и содержимое папки с документами.

Разработчики исследования отмечают, что Miasma демонстрирует заметную эволюцию атак на цепочки поставок программного обеспечения. Вместо единичного вредоносного пакета злоумышленники создали многофункциональную платформу, способную одновременно красть учётные данные, распространяться через доверенные каналы разработки, обходить защитные механизмы и использовать популярные облачные сервисы для дальнейшего развития атаки.