Miasma 蠕蟲於 6 月 6 日在 2 分鐘內感染了 70 多個微軟 GitHub 開源程式庫,GitHub 自動防禦系統在惡意程式碼提交後 105 秒內關停了 73 個受感染程式庫。受影響的程式庫主要涵蓋 Azure Functions 主機進程,以及 Durable Task 任務編排框架在多語言下的開源版本。
攻擊鏈:確認的技術機制與受影響範圍
依據 StepSecurity 研究人員和 BankInfoSecurity 的確認報道,此次攻擊的技術路徑如下:攻擊者使用此前已被攻破的貢獻者帳戶憑證,修改了多個程式庫之間共同繼承的設定檔,使惡意程式碼在數秒內擴散至數十個程式庫。惡意載荷針對現代開發工作流程中的自動化功能,在 AI 助手(Claude Code、Cursor、Gemini CLI)解析設定檔時執行。
蠕蟲成功啟動後會竊取雲憑證、認證令牌和開發者機密,並利用這些憑證在 GitHub 生態系統中尋找下一個可入侵的程式庫。StepSecurity 同時指出,此次事件可能與此前對 DurableTask Python Azure 任務調度程式的入侵相關,但用於訪問受影響程式庫的確切路徑仍在調查中。
與 5 月 GitHub 被盜案的確認關聯
依據安全研究人員的分析,此次攻擊與 2026 年 5 月 TeamPCP 實施的 GitHub 內部程式碼被盜案存在直接關聯:TeamPCP 在微軟應用市場上架了含有惡意軟體的 VS Code 擴充程式,一名 GitHub 員工在 11 分鐘的上架窗口期內下載中招,導致憑證和密鑰被竊;攻擊者利用竊取的憑證從 GitHub 盜取了約 3,800 個內部程式庫;此後 TeamPCP 公開發布了 Mini Shai-Hulud 自我複製蠕蟲框架。
此次入侵微軟 70+ 開源程式庫的 Miasma 蠕蟲,是 Mini Shai-Hulud 的變種升級版本。這也是微軟 Durable Task 開源專案在數週內第二次遭到入侵——2026 年 5 月底曾被植入惡意 Python 依賴包。
常見問題
開發者如何判斷自己的環境是否受到此次 Miasma 攻擊的影響?
依據安全研究人員的建議,應採取以下步驟:檢查是否曾拉取(clone/pull)受影響的 Azure Functions 或 Durable Task 相關程式庫;審計本地開發環境是否有可疑的設定檔變動;輪換(rotate)可能已被暴露的 AWS、GCP、Azure 雲憑證、SSH 金鑰、npm/PyPI 令牌和 Kubernetes 金鑰;驗證本地程式庫的完整性。GitHub 已在微軟完成初步調查和惡意程式碼移除後,逐步恢復了受影響的 73 個程式庫。
為何 AI 程式設計助手(Claude Code、Cursor、Gemini CLI)會成為 Miasma 的攻擊媒介?
Miasma 蠕蟲的設計專門針對 AI 程式設計工作流程。攻擊者在程式庫的設定檔中植入惡意載荷,而 AI 助手在協助開發者打開或分析專案時,通常會自動解析這些設定檔。這一解析過程在未經充分隔離的情況下,會觸發惡意程式碼的執行,使 AI 助手成為無意中的惡意程式碼執行器。
GitHub 在 105 秒內關停 73 個程式庫的自動防禦機制是如何運作的?
依據 StepSecurity 研究人員的說明,GitHub 的自動防禦系統在惡意程式碼提交後 105 秒內識別了攻擊模式並關停了受影響的程式庫。GitHub 截至報道時未公開說明自動防禦系統的具體技術細節、觸發機制,以及是否有下游組織在關停前已受到影響。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
