TeamPCP, une organisation de hackers qui se concentrait auparavant sur les attaques de la chaîne d'approvisionnement de l'écosystème NPM, a publié le ver Mini Shai-Hulud (Mini Sandworm) en open source. Ce type de ver possède des caractéristiques d’auto-réplication. Après avoir réussi à voler des informations d’identification sensibles dans l’environnement de développement, il appellera directement les informations d’identification pour se connecter aux ressources distantes et continuera à infecter et à se propager. Initialement, Mini Shai-Hulud ciblait principalement l’écosystème NPM.
Désormais, une variante du ver Miasma est également publiée en open source :
Miasma est une variante du ver basée sur Mini Sandworm. Le ver est également utilisé pour lancer des attaques sur la chaîne d’approvisionnement, ciblant principalement l’écosystème NPM et GitHub. Son comportement principal consiste à analyser automatiquement les environnements locaux et cloud après l'installation et à voler diverses informations d'identification sensibles, telles qu'AWS, GCP, Azure, le jeton GitHub, les clés SSH, les jetons NPM, les jetons PyPI, etc.
Après avoir réussi à voler les informations d’identification, Miasma continuera à infecter et à se propager à rebours via ces informations d’identification. Par exemple, après avoir volé les identifiants NPM des développeurs, il utilisera ces identifiants pour publier des packages logiciels contenant le ver lui-même. Lorsque le logiciel en aval installe ces packages logiciels porteurs de virus, il continue d'activer le ver, de voler les informations d'identification et de se propager. Ce qui est effrayant à propos de ce ver, c'est qu'il a une très forte capacité d'auto-réplication, de sorte que le lien d'infection est difficile à couper complètement.
Sur GitHub, un développeur nommé Yang Anyong a publié le ver Miasma en open source sous son compte personnel et a déclaré que c'était pour imiter l'esprit open source de TeamPCP. Le code de l'entrepôt était sous licence MIT afin que d'autres pirates puissent télécharger le code et l'utiliser directement. Cependant, l'entrepôt a été rapidement supprimé et l'intégralité du compte développeur a été bannie. Il s'agissait évidemment d'une opération réalisée par GitHub.
Bien entendu, il existe une forte probabilité que le compte de ce développeur ait été volé et utilisé pour publier des vers en open source. Après tout, ce développeur est très actif et possède un site Web personnel enregistré sur sa page d’accueil. C'est une sorte de flatterie. Après tout, si le ver est vraiment open source, il devrait créer un petit compte au lieu d'utiliser son compte réel pour publier.