Material publicado no GitHub inclui recursos para roubo de credenciais, infecção de pacotes e até contaminação de ferramentas de IA

Vazamento de worm – O código-fonte do Miasma, considerado um dos worms de supply chain mais sofisticados já identificados, foi divulgado publicamente no GitHub na segunda-feira (8) por meio de contas de desenvolvedores comprometidas.

Antes que os repositórios fossem removidos pela plataforma, a empresa de segurança SafeDep conseguiu analisar o conteúdo e concluiu que o material exposto vai muito além do malware original, reunindo um conjunto completo de ferramentas voltadas para ataques a cadeias de suprimento de software.

LEIA: Pix recebe proteção máxima de marca após críticas dos Estados Unidos

Os repositórios surgiram com o nome “Miasma-Open-Source-Release” e continham recursos capazes de ampliar significativamente o alcance da ameaça. Worms de supply chain são malwares que se propagam por meio da contaminação de pacotes legítimos de software. Quando um desenvolvedor instala um pacote comprometido e o utiliza em seus projetos, a infecção se espalha automaticamente para novos sistemas e dependências.

Antes do vazamento, o Miasma já havia comprometido mais de 100 projetos de código aberto da Red Hat e da Microsoft, alcançando posteriormente outras vítimas. A empresa de segurança Socket rastreou 473 artefatos de pacotes afetados até terça-feira.

Plataforma completa de ataque

Segundo a SafeDep, o material publicado não se limita ao worm responsável pela propagação da infecção. O vazamento inclui uma plataforma completa que permite aos operadores executar diferentes etapas de um ataque contra ambientes corporativos e ecossistemas de desenvolvimento.

Com o kit, é possível roubar credenciais de serviços em nuvem como AWS, Azure e Google Cloud, infectar pacotes distribuídos pelos repositórios npm, PyPI e RubyGems, comprometer repositórios e fluxos de automação hospedados no GitHub, infiltrar ferramentas de inteligência artificial utilizadas por desenvolvedores e ainda se movimentar lateralmente em redes corporativas por meio de conexões SSH.

O pesquisador Rami McCarthy, da empresa Wiz, confirmou que o repositório representa uma evolução do Mini Shai-Hulud, um worm anterior cujo código também foi disponibilizado publicamente no mês passado pelo grupo TeamPCP.

Comunicação escondida dentro do GitHub

Uma das características mais sofisticadas do Miasma é sua capacidade de operar sem infraestrutura própria. Todo o mecanismo de controle remoto, comunicação e coleta de dados acontece dentro do próprio GitHub.

O worm utiliza a ferramenta pública de busca de commits da plataforma como canal de comando e controle. Para isso, procura mensagens contendo sequências específicas, como “DontRevokeOrItGoesBoom” e “TheBeautifulSandsOfTime”, extraindo delas instruções cifradas enviadas pelos operadores.

A estratégia dificulta a detecção por ferramentas tradicionais de segurança. Em vez de se comunicar com servidores suspeitos, o malware utiliza um serviço amplamente confiável e acessado por desenvolvedores em todo o mundo.

O mecanismo também garante a renovação constante da infraestrutura utilizada pelos atacantes. Quando uma máquina é comprometida e o token de acesso de um desenvolvedor é roubado, o worm publica esse token de forma cifrada em um commit público identificado pela mensagem “DontRevokeOrItGoesBoom”.

Outras instâncias do malware realizam buscas por essa mesma sequência, localizam as credenciais e passam a utilizá-las em novos ataques. Dessa forma, cada conta comprometida alimenta automaticamente o próximo ciclo de infecção.

Revogar credenciais pode acionar destruição de arquivos

Os pesquisadores identificaram ainda uma funcionalidade destinada a dificultar a reação das vítimas. Após o roubo de um token, o Miasma instala silenciosamente um script de monitoramento que verifica a validade da credencial a cada 60 segundos.

Caso o usuário revogue o token comprometido, o script executa um comando que apaga todo o conteúdo da pasta pessoal e da pasta de Documentos da máquina afetada. O próprio nome da sequência utilizada pelo malware, “DontRevokeOrItGoesBoom”, funciona como um alerta explícito sobre essa consequência.

Ferramentas de IA também são alvo

Entre os recursos presentes no kit está um módulo voltado especificamente para comprometer ferramentas de inteligência artificial utilizadas no desenvolvimento de software, incluindo Claude, Gemini CLI, Cursor e Copilot.

O método consiste em inserir arquivos de configuração maliciosos em repositórios comprometidos. Quando o desenvolvedor inicia uma sessão com essas ferramentas em um projeto infectado, o payload pode ser executado automaticamente, sem exigir qualquer ação adicional.

Na prática, isso significa que apenas abrir um assistente de IA em um ambiente comprometido pode resultar na execução involuntária do malware.

Impacto do vazamento

Apesar da repercussão, Rami McCarthy, da Wiz, avalia que a disponibilização pública do código não necessariamente resultará em uma onda imediata de ataques. Segundo ele, após a divulgação do código do Mini Shai-Hulud pelo TeamPCP no mês passado, não houve registro de uso significativo do toolkit por criminosos oportunistas.

Especialistas destacam, contudo, que o principal impacto do vazamento está na dificuldade de atribuição de futuros incidentes. Com o código disponível publicamente, ataques que apresentem características semelhantes às do Miasma poderão ser realizados por diferentes agentes, tornando mais complexo identificar os responsáveis originais.

Diante do cenário, pesquisadores recomendam que organizações que dependem de pacotes de código aberto reforcem o monitoramento de alterações inesperadas em dependências de software, revisem as permissões concedidas a tokens de acesso e adotem ferramentas de segurança capazes de atuar na camada de protocolo de aplicação, em vez de depender exclusivamente da análise tradicional de tráfego de rede.

Junte cashback e transfira para sua conta com a Benefícios Rede Bee!

A Bee Fenati – a rede social dos profissionais de TI de todo o Brasil – segue em expansão para garantir aos seus usuários cada vez mais benefícios. Agora a plataforma conta com a Benefícios Rede Bee, que reúne descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poderá ser transferido direto para sua conta! (Saiba mais aqui)

Baixe o aplicativo nas lojas App Store e Play Store e aproveite agora! A Bee Fenati reúne em um único ambiente ofertas em áreas como educação, compras, viagens, lazer, serviços, tecnologia e muito mais. Dentre as marcas parceiras estão Magalu, Renner, Drogasil, C&A, Dell, Casas Bahia, Vivo, Petz, Drogaria São Paulo, e muito mais!

Além de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os usuários da plataforma receberão de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.

Este valor ficará em uma carteira digital dentro da plataforma da Benefícios Rede Bee e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode transferir o dinheiro direto para sua conta bancária!

Na prática, a ferramenta permitirá que sócios e contribuintes dos sindicatos filiados à Fenati (Federação Nacional dos Trabalhadores em Tecnologia da Informação) possam ZERAR o valor da sua contribuição assistencial e associativa!

Atualmente, o valor da contribuição é de R$ 32,50 por mês para sócios e R$ 35 por mês para contribuintes, ou seja, é possível recuperar todo esse valor e ainda acumular muito mais – tudo isso contribuindo para fortalecer a categoria e transformando as compras e serviços do cotidiano em ganho real.

(Com informações de Tecmundo)

(Foto: Reprodução/Magnific/leafart™)