以前は NPM エコシステムのサプライ チェーン攻撃に重点を置いていたハッカー組織 TeamPCP は、ワーム Mini Shai-Hulud (Mini Sandworm) をオープンソースとしてリリースしました。このタイプのワームには自己複製する特性があります。開発環境で機密認証情報の窃取に成功すると、その認証情報を直接呼び出してリモート リソースに接続し、感染と拡散を続けます。当初、Mini Shai-Hulud は主に NPM エコシステムをターゲットにしていました。
現在、ワーム Miasma の亜種バージョンもオープンソースとしてリリースされています。
Miasma は、Mini Sandworm をベースにしたワームの亜種です。このワームは、主に NPM エコシステムと GitHub を標的としたサプライ チェーン攻撃を開始するためにも使用されます。その中心となる動作には、インストール後のローカルおよびクラウド環境の自動スキャンと、AWS、GCP、Azure、GitHub トークン、SSH キー、NPM トークン、PyPI トークンなどのさまざまな機密認証情報の窃取が含まれます。
認証情報の窃取に成功した後も、Miasma は感染を続け、これらの認証情報に沿って逆方向に拡散します。たとえば、開発者の NPM 認証情報を盗んだ後、その認証情報を使用して、ワーム自体を搭載したソフトウェア パッケージを公開します。ダウンストリーム ソフトウェアがこれらのウイルスを運ぶソフトウェア パッケージをインストールすると、引き続きワームをアクティブ化し、認証情報を盗んで拡散し続けます。このワームの怖いところは、自己複製能力が非常に強いため、感染経路を完全に断ち切るのが難しいことです。
GitHub では、Yang Anyong という開発者が個人アカウントで Miasma ワームをオープンソースとしてリリースし、これは TeamPCP のオープンソース精神を模倣するためであると述べました。ウェアハウス コードは MIT ライセンスに基づいてライセンス供与されているため、他のハッカーがコードをダウンロードして直接使用できます。しかし、ウェアハウスはすぐに削除され、開発者アカウント全体が禁止されました。これは明らかに GitHub によって実行された操作です。
もちろん、この開発者のアカウントが盗まれ、ワームをオープンソースとして公開するために使用された可能性が高くなります。結局のところ、この開発者は非常にアクティブであり、ホームページに個人 Web サイトを登録しています。これは一種のお世辞です。結局のところ、ワームが本当にオープンソースである場合は、実際のアカウントを使用して公開するのではなく、小規模なアカウントを登録する必要があります。