أصدرت منظمة TeamPCP، وهي منظمة قرصنة ركزت سابقًا على هجمات سلسلة توريد النظام البيئي NPM، الدودة Mini Shai-Hulud (Mini Sandworm) كمصدر مفتوح. يتميز هذا النوع من الديدان بخصائص التكاثر الذاتي. بعد سرقة بيانات الاعتماد الحساسة بنجاح في بيئة التطوير، سيتم استدعاء بيانات الاعتماد مباشرة للاتصال بالموارد البعيدة ومواصلة الإصابة والانتشار. في البداية، استهدف برنامج Mini Shai-Hulud بشكل أساسي النظام البيئي لآلية NPM.

113380.png

الآن تم إصدار نسخة مختلفة من الدودة Miasma كمصدر مفتوح:

Miasma هي نسخة مختلفة من الدودة تعتمد على Mini Sandworm. تُستخدم الدودة أيضًا لشن هجمات على سلسلة التوريد، تستهدف بشكل أساسي النظام البيئي NPM وGitHub. يتضمن سلوكه الأساسي فحص البيئات المحلية والسحابية تلقائيًا بعد التثبيت وسرقة بيانات الاعتماد الحساسة المختلفة، مثل AWS وGCP وAzure وGitHub Token ومفاتيح SSH ورموز NPM ورموز PyPI وما إلى ذلك.

بعد سرقة بيانات الاعتماد بنجاح، سيستمر Miasma في إصابة بيانات الاعتماد هذه ونشرها بشكل عكسي. على سبيل المثال، بعد سرقة بيانات اعتماد NPM الخاصة بالمطورين، ستستخدم بيانات الاعتماد لنشر حزم البرامج التي تحمل الدودة نفسها. عندما يقوم برنامج المصب بتثبيت حزم البرامج الحاملة للفيروسات، فإنه سيستمر في تنشيط الفيروس المتنقل ويستمر في سرقة بيانات الاعتماد والانتشار. والأمر المخيف في هذه الدودة هو أنها تتمتع بقدرة قوية جدًا على التكاثر الذاتي، لذا يصعب قطع رابط العدوى تمامًا.

على GitHub، أطلق مطور يُدعى Yang Anyong فيروس Miasma كمصدر مفتوح ضمن حسابه الشخصي وقال إن هذا يهدف إلى تقليد روح المصدر المفتوح لـ TeamPCP. تم ترخيص كود المستودع بموجب ترخيص MIT حتى يتمكن المتسللون الآخرون من تنزيل الكود واستخدامه مباشرة. ومع ذلك، سرعان ما تم حذف المستودع وتم حظر حساب المطور بالكامل. من الواضح أن هذه كانت عملية قام بها GitHub.

بالطبع، هناك احتمال كبير بسرقة حساب هذا المطور واستخدامه لنشر الديدان كمصدر مفتوح. بعد كل شيء، هذا المطور نشط للغاية، ولديه موقع ويب شخصي مسجل على صفحته الرئيسية. هذا نوع من الإطراء. بعد كل شيء، إذا كانت الدودة مفتوحة المصدر حقًا، فيجب عليه تسجيل حساب صغير بدلاً من استخدام حسابه الحقيقي للنشر.