دودة "Miasma" تصيب 73 مستودعًا من مستودعات Microsoft على GitHub، مستهدفة المطورين بأدوات البرمجة بالذكاء الاصطناعي

وصلت دودة سلسلة التوريد "Miasma" إلى بنية Microsoft التحتية على GitHub في 5 يونيو 2026، مما أدى إلى اختراق 73 مستودعًا عبر أربع منظمات Microsoft على GitHub — وهي Azure وAzure-Samples وMicrosoft وMicrosoftDocs — قبل أن تعطل أنظمة الكشف الآلي من GitHub المستودعات المتأثرة في حوالي 105 ثوانٍ. يُعد هذا الحادث الأحدث في حملة "Miasma" المستمرة التي استهدفت الآن حزم PyPI وحزم npm الخاصة بـ Red Hat والبنية التحتية للمستودعات مفتوحة المصدر الخاصة بـ Microsoft في غضون ستة أسابيع، كما ورد عن The Hacker News وشركة الأمن StepSecurity.

كان ناقل الهجوم عبارة عن إيداع خبيث تم دفعه إلى مستودع Azure/durabletask باستخدام حساب مساهم تم اختراقه سابقًا. أدخل الإيداع ملفات تكوين مصممة خصيصًا لتنفيذ حمولة سرقة بيانات الاعتماد عندما يفتح المطور المستودع في أدوات البرمجة المدعومة بالذكاء الاصطناعي — بما في ذلك Claude Code وGemini CLI وCursor وVS Code مع بعض الإضافات الذكاء الاصطناعي. بمجرد تشغيل الحمولة، تسرق بيانات اعتماد المصادقة لـ AWS وAzure وGoogle Cloud وKubernetes وnpm وGitHub، ثم تستخدم تلك البيانات لانتشار الدودة إلى مستودعات أخرى يمكن الوصول إليها من الحسابات المخترقة.

مستودع durabletask في مركز الحدث

يُعد مستودع Azure/durabletask مهمًا لأنه جذر نظام "Durable Task Framework" من Microsoft — وهي مكتبة تنسيق مستخدمة على نطاق واسع لبناء سير عمل موثوق به وحالة حالة في .NET وGo وJavaScript وبيئات تشغيل أخرى. تعتمد Azure Functions، وهي خدمة سحابية رئيسية من Microsoft، على هذا النظام. أشار باحث الأمن Paul McCarty، المعروف باسم 6mile، إلى نطاق التتابع: لم يتم تعطيل مستودع Azure/durabletask الجذر فحسب، بل تم أيضًا إيقاف كل مستودع شقيق في نظام "Durable Task" البيئي، بما في ذلك durabletask-dotnet وdurabletask-go وdurabletask-js وdurabletask-mssql ومراقب "Durable Functions".

حزمة durabletask نفسها على PyPI تم اختراقها من قبل TeamPCP في هجوم منفصل في 19 مايو 2026، مما أصاب الحزمة بسرقة معلومات تستهدف أنظمة Linux. إعادة استخدام نفس المستودع كناقل إعادة إصابة بعد شهر يشير إلى أن TeamPCP أجرت استطلاعًا على النظام البيئي بشكل محدد، مع تحديد durabletask كمركز انتشار عالي القيمة مع تعرض واسع للتنزيلات في المصب.

حملة Miasma

Miasma هي متغير من دودة "Mini Shai-Hulud" التي طورتها مجموعة التهديد TeamPCP. تحركت الحملة عبر ثلاث موجات متميزة في عام 2026:

في 1 يونيو، أصابت Miasma 32 حزمة npm تابعة لـ Red Hat في حملة سرقة بيانات اعتماد وثقتها Wiz وSOC Prime. في 19 مايو، نفس حساب المساهم المخترق أصاب حزمة durabletask على PyPI بسرقة معلومات لأنظمة Linux. في 5 يونيو، وصلت الدودة إلى مستودعات Microsoft على GitHub، موسعة نطاق الحملة إلى أحد أنظمة البيئية مفتوحة المصدر الأكثر استخدامًا في العالم للمؤسسات.

ما يميز Miasma عن هجمات سلسلة التوريد التقليدية هو آلية التكاثر الذاتي: بدلاً من أن يضطر الجهة المهددة إلى اختراق كل هدف يدويًا، تستخدم الدودة بيانات اعتماد مسروقة من ضحية واحد لتحديد وإصابة مستودعات إضافية. يحدث الانتشار تلقائيًا، ولهذا السبب فإن نافذة استجابة GitHub البالغة 105 ثوانٍ — رغم سرعتها — لا تزال تؤدي إلى اختراق 73 مستودعًا قبل الاحتواء.

سطح الهجوم لأدوات البرمجة بالذكاء الاصطناعي

استخدام ملفات تكوين أدوات البرمجة بالذكاء الاصطناعي كآلية تشغيل الحمولة هو تطور ملحوظ في تقنية هجوم سلسلة التوريد. عندما يفتح المطورون مستودعًا في Claude Code أو Cursor أو Gemini CLI أو أدوات مماثلة، غالبًا ما تقرأ تلك الأدوات ملفات التكوين تلقائيًا من المستودع لإعداد السياق — مطالبات خاصة بالمشروع، أو تكوينات أدوات، أو إعدادات بيئة. أدخلت إيداعات Miasma الخبيثة ملفات تكوين تسيء استخدام سياق التنفيذ الموثوق به لتشغيل حمولة سرقة بيانات الاعتماد دون تفاعل صريح من المطور. يقوم المطور ببساطة بفتح المستودع وتُشغل الحمولة قبل أن يرى أي كود.

هذه التقنية فعالة على وجه التحديد لأن أدوات البرمجة بالذكاء الاصطناعي مصممة لتكون مفيدة واستباقية — فهي تقرأ ملفات تكوين المستودع لخدمة المطور بشكل أفضل، وهذا السلوك يصبح آلية توصيل عندما يتم اختراق المستودع. يجب على المطورين الذين فتحوا أيًا من المستودعات الـ73 المتأثرة التابعة لـ Microsoft في بيئة برمجة مدعومة بالذكاء الاصطناعي بين وقت الإيداع ونافذة احتواء GitHub تدقيق بيانات اعتمادهم السحابية وتدوير أي رموز أو أسرار قد تكون متاحة على جهاز التطوير.

إجراءات فورية

للمطورين الذين عملوا مع أي من المستودعات المتأثرة في 5 يونيو: يجب تدوير جميع بيانات الاعتماد السحابية (حسابات خدمة AWS وAzure وGCP وKubernetes)، وإلغاء وإعادة إنشاء رموز الوصول npm، والتحقق من رموز الوصول الشخصية لـ GitHub بحثًا عن أي نشاط غير مصرح به. للمؤسسات التي تعتمد على "Durable Task Framework": يجب التحقق من أن أي حزم مثبتة من نافذة 5 يونيو تطابق المجاميع الاختبارية المتوقعة، ومراقبة أي اتصالات صادرة غير معتادة من أنظمة البناء.

الدرس الأوسع من مسار Miasma هو أن أدوات البرمجة بالذكاء الاصطناعي أدخلت سطح هجوم جديد في سلسلة توريد البرمجيات لا يزال مجتمع الأمن يخطط له. ملفات تكوين المستودع التي تُنفذ تلقائيًا في سياقات أدوات موثوقة هي ناقل يحتاج إلى سياسات أمنية صريحة — على مستوى الأداة (التحقق قبل تنفيذ التكوين عن بُعد) وعلى مستوى المؤسسة (مراقبة ملفات تكوين غير متوقعة في المستودعات الموثوقة).