TeamPCP, uma organização hacker que anteriormente se concentrava em ataques à cadeia de suprimentos do ecossistema NPM, lançou o worm Mini Shai-Hulud (Mini Sandworm) como um código aberto. Este tipo de worm possui características auto-replicantes. Depois de roubar credenciais confidenciais no ambiente de desenvolvimento, ele chamará diretamente as credenciais para se conectar a recursos remotos e continuará a infectar e se espalhar. Inicialmente, o Mini Shai-Hulud tinha como alvo principal o ecossistema NPM.
Agora, uma versão variante do worm Miasma também foi lançada como código aberto:
Miasma é uma versão variante do worm baseada no Mini Sandworm. O worm também é usado para lançar ataques à cadeia de suprimentos, visando principalmente o ecossistema NPM e o GitHub. Seu comportamento principal inclui a verificação automática de ambientes locais e de nuvem após a instalação e o roubo de várias credenciais confidenciais, como AWS, GCP, Azure, GitHub Token, chaves SSH, tokens NPM, tokens PyPI, etc.
Depois de roubar credenciais com sucesso, o Miasma continuará a infectar e se espalhar ao longo dessas credenciais. Por exemplo, depois de roubar as credenciais NPM dos desenvolvedores, ele usará as credenciais para publicar pacotes de software que contenham o próprio worm. Quando o software downstream instala esses pacotes de software contendo vírus, ele continuará a ativar o worm e a roubar credenciais e se espalhar. O que é assustador sobre esse worm é que ele tem uma capacidade de auto-replicação muito forte, de modo que é difícil interromper completamente a ligação da infecção.
No GitHub, um desenvolvedor chamado Yang Anyong lançou o worm Miasma como código aberto em sua conta pessoal e disse que isso era para imitar o espírito de código aberto do TeamPCP. O código do warehouse foi licenciado sob a licença do MIT para que outros hackers pudessem baixar o código e usá-lo diretamente. No entanto, o armazém foi logo excluído e toda a conta do desenvolvedor foi banida. Obviamente, esta foi uma operação realizada pelo GitHub.
Claro, há uma grande probabilidade de que a conta desse desenvolvedor tenha sido roubada e usada para publicar worms como código aberto. Afinal, esse desenvolvedor é bastante ativo e possui um site pessoal cadastrado em sua página inicial. Isso é uma espécie de lisonja. Afinal, se o worm for realmente de código aberto, ele deveria registrar uma conta pequena em vez de usar sua conta real para publicar.