TeamPCP, eine Hackerorganisation, die sich zuvor auf Angriffe auf die Lieferkette von NPM-Ökosystemen konzentrierte, hat den Wurm Mini Shai-Hulud (Mini Sandworm) als Open Source veröffentlicht. Diese Art von Wurm verfügt über selbstreplizierende Eigenschaften. Nachdem vertrauliche Anmeldeinformationen in der Entwicklungsumgebung erfolgreich gestohlen wurden, werden die Anmeldeinformationen direkt aufgerufen, um eine Verbindung zu Remote-Ressourcen herzustellen und die Infektion und Verbreitung fortzusetzen. Ursprünglich zielte Mini Shai-Hulud hauptsächlich auf das NPM-Ökosystem ab.
Jetzt ist auch eine Variante des Wurms Miasma als Open Source veröffentlicht:
Miasma ist eine Variante des Wurms, die auf Mini Sandworm basiert. Der Wurm wird auch für Angriffe auf die Lieferkette eingesetzt, die hauptsächlich auf das NPM-Ökosystem und GitHub abzielen. Zu seinem Kernverhalten gehört das automatische Scannen lokaler und Cloud-Umgebungen nach der Installation und das Stehlen verschiedener vertraulicher Anmeldeinformationen, wie z. B. AWS, GCP, Azure, GitHub-Token, SSH-Schlüssel, NPM-Token, PyPI-Token usw.
Nach dem erfolgreichen Diebstahl von Zugangsdaten wird Miasma diese Zugangsdaten weiterhin infizieren und rückwärts verbreiten. Beispielsweise werden nach dem Diebstahl der NPM-Zugangsdaten von Entwicklern diese zum Veröffentlichen von Softwarepaketen verwendet, die den Wurm selbst enthalten. Wenn Downstream-Software diese virentragenden Softwarepakete installiert, aktiviert sie den Wurm weiterhin, stiehlt weiterhin Anmeldeinformationen und verbreitet sich. Das Beängstigende an diesem Wurm ist, dass er über eine sehr starke Selbstreplikationsfähigkeit verfügt, sodass es schwierig ist, die Infektionsverbindung vollständig zu unterbrechen.
Auf GitHub veröffentlichte ein Entwickler namens Yang Anyong den Miasma-Wurm als Open Source unter seinem persönlichen Account und sagte, dass dies den Open-Source-Geist von TeamPCP nachahmen wolle. Der Warehouse-Code wurde unter der MIT-Lizenz lizenziert, sodass andere Hacker den Code herunterladen und direkt verwenden konnten. Das Warehouse wurde jedoch bald gelöscht und das gesamte Entwicklerkonto gesperrt. Dies war offensichtlich eine von GitHub durchgeführte Operation.
Natürlich besteht eine hohe Wahrscheinlichkeit, dass das Konto dieses Entwicklers gestohlen und zur Veröffentlichung von Würmern als Open Source verwendet wurde. Immerhin ist dieser Entwickler recht aktiv und hat auf seiner Homepage eine registrierte persönliche Website. Das ist eine Art Schmeichelei. Denn wenn der Wurm wirklich Open Source ist, sollte er ein kleines Konto registrieren, anstatt sein echtes Konto zum Veröffentlichen zu verwenden.