Tu asistente de IA ahora trabaja para hackers: Miasma "entrena" a Claude y Copilot para ejecutar órdenes maliciosas
Hartos de mantener servidores, los hackers se mudaron a GitHub y nadie se dio cuenta.
Cuando GitHub publicó otro código fuente, eso atrajo inesperadamente la atención de especialistas en seguridad. En los últimos días comenzaron a aparecer masivamente en la plataforma repositorios con el nombre Miasma-Open-Source-Release. Según los autores el estudio, la mayoría de esos repositorios se publicaron a través de cuentas de desarrolladores previamente comprometidas. Uno de ellos fue eliminado pronto; sin embargo, los especialistas lograron conservar su contenido y estudiarlo en detalle.
El análisis del código mostró que Miasma no es simplemente un código malicioso autorreplicable para ataques a las cadenas de suministro de software. Los autores del proyecto crearon un conjunto de herramientas completo, capaz de usar credenciales robadas para atacar paquetes en PyPI, npm y RubyGems, repositorios de GitHub, sistemas de compilación GitHub Actions, repositorios corporativos JFrog Artifactory, entornos de desarrollo con inteligencia artificial y servicios en la nube.
Según la documentación del proyecto, Miasma está escrito en TypeScript y está diseñado para ejecutarse tanto en los ordenadores de los desarrolladores como en sistemas de integración continua y entrega. El código recopila secretos, se propaga a través de paquetes y repositorios, y también usa acceso SSH y el servicio AWS Systems Manager para luego moverse por la infraestructura.
Una de las características más inusuales fue la dependencia casi total de GitHub como centro de mando. En lugar de servidores propios, los atacantes usan la búsqueda en commits públicos para transmitir comandos, buscar claves de acceso robadas y obtener actualizaciones. Ese enfoque permite ocultar la actividad maliciosa entre el tráfico normal hacia la popular plataforma de desarrollo.
Los investigadores encontraron tres canales de control independientes. Cada uno usa su propia consulta de búsqueda, claves criptográficas separadas y distintos mecanismos de entrega de comandos. Un canal está destinado a buscar tokens de GitHub robados, otro permite ejecutar código JavaScript arbitrario, y el tercero descarga y ejecuta regularmente scripts en Python.
Miasma recopila credenciales de numerosas fuentes. Entre ellas están los servicios Amazon Web Services, Microsoft Azure, Google Cloud, Kubernetes, HashiCorp Vault, así como los gestores de contraseñas 1Password y Bitwarden. Con los permisos adecuados, el código malicioso puede buscar secretos en los entornos de GitHub Actions e incluso extraer datos directamente de la memoria de los nodos de trabajo.
Los autores describieron detalladamente cómo el código malicioso se propaga a través de paquetes de software. Si encuentra un token de publicación válido, descarga un paquete legítimo, inyecta su propia carga, incrementa el número de versión y publica la compilación comprometida de nuevo en el registro. Para npm se incluye soporte para las firmas de origen de paquetes Sigstore, lo que ayuda a enmascarar las versiones alteradas como legítimas.
Además, Miasma es capaz de infectar más de una decena de herramientas populares de programación con soporte de inteligencia artificial, incluyendo Claude, Gemini, Cursor, Copilot, Kiro y Cline. Para ello el código malicioso modifica archivos de configuración, forzando a los asistentes a ejecutar comandos adicionales al iniciar las sesiones de trabajo.
Los autores del proyecto también incluyeron mecanismos para persistir en el sistema. En la máquina infectada puede instalarse un módulo persistente en segundo plano que cada hora se conecta a GitHub en busca de nuevos comandos. Al mismo tiempo, el programa trata de evitar ejecutarse en dispositivos donde se detecten soluciones populares de protección de endpoints.
La función más agresiva resultó ser el llamado «interruptor de emergencia». Si los atacantes usan un token de GitHub robado de la víctima para exfiltrar datos, el código malicioso puede establecer un monitoreo separado de su estado. Si el token es revocado, se ejecutará un comando que elimina el directorio personal del usuario y el contenido de la carpeta de documentos.
Los autores del estudio señalan que Miasma demuestra una evolución notable en los ataques a las cadenas de suministro de software. En lugar de un paquete malicioso aislado, los atacantes han creado una plataforma multifuncional capaz de robar credenciales, propagarse a través de canales de desarrollo de confianza, eludir mecanismos de defensa y usar servicios en la nube populares para continuar desarrollando el ataque.