TeamPCP, una organización de piratas informáticos que anteriormente se centraba en ataques a la cadena de suministro del ecosistema NPM, lanzó el gusano Mini Shai-Hulud (Mini Sandworm) como código abierto. Este tipo de gusano tiene características de autorreplicación. Después de robar con éxito credenciales confidenciales en el entorno de desarrollo, llamará directamente a las credenciales para conectarse a recursos remotos y continuar infectando y propagándose. Inicialmente, Mini Shai-Hulud se centró principalmente en el ecosistema del NPM.
Ahora también se lanza una versión variante del gusano Miasma como código abierto:
Miasma es una versión variante del gusano basada en Mini Sandworm. El gusano también se utiliza para lanzar ataques a la cadena de suministro, dirigidos principalmente al ecosistema NPM y GitHub. Su comportamiento principal incluye escanear automáticamente entornos locales y en la nube después de la instalación y robar varias credenciales confidenciales, como AWS, GCP, Azure, token de GitHub, claves SSH, tokens NPM, tokens PyPI, etc.
Después de robar credenciales con éxito, Miasma continuará infectando y propagándose hacia atrás a lo largo de estas credenciales. Por ejemplo, después de robar las credenciales de NPM de los desarrolladores, las utilizará para publicar paquetes de software que contengan el propio gusano. Cuando el software instalado instala estos paquetes de software portadores de virus, continuará activando el gusano y seguirá robando credenciales y propagándose. Lo aterrador de este gusano es que tiene una capacidad de autorreplicación muy fuerte, por lo que es difícil cortar por completo el vínculo de infección.
En GitHub, un desarrollador llamado Yang Anyong lanzó el gusano Miasma como código abierto en su cuenta personal y dijo que esto era para imitar el espíritu de código abierto de TeamPCP. El código del almacén tenía la licencia MIT para que otros piratas informáticos pudieran descargar el código y usarlo directamente. Sin embargo, el almacén pronto se eliminó y se prohibió toda la cuenta de desarrollador. Obviamente, esta fue una operación realizada por GitHub.
Por supuesto, existe una alta probabilidad de que la cuenta de este desarrollador haya sido robada y utilizada para publicar gusanos como código abierto. Después de todo, este desarrollador es bastante activo y tiene un sitio web personal registrado en su página de inicio. Esta es una especie de halago. Después de todo, si el gusano es realmente de código abierto, debería registrar una cuenta pequeña en lugar de utilizar su cuenta real para publicar.