TeamPCP, хакерская организация, которая ранее занималась атаками на цепочки поставок экосистемы NPM, выпустила червя Mini Shai-Hulud (Mini Sandworm) с открытым исходным кодом. Этот тип червей обладает самовоспроизводящимися характеристиками. После успешной кражи конфиденциальных учетных данных в среде разработки он будет напрямую вызывать учетные данные для подключения к удаленным ресурсам и продолжать заражать и распространять. Первоначально Mini Shai-Hulud в основном ориентировался на экосистему NPM.
Теперь вариант версии червя Miasma также выпущен с открытым исходным кодом:
Миазма — вариант червя, основанный на Mini Sandworm. Червь также используется для проведения атак на цепочки поставок, в основном нацеленных на экосистему NPM и GitHub. Его основное поведение включает автоматическое сканирование локальных и облачных сред после установки и кражу различных конфиденциальных учетных данных, таких как AWS, GCP, Azure, токен GitHub, ключи SSH, токены NPM, токены PyPI и т. д.
После успешной кражи учетных данных Миазма продолжит заражать и распространяться обратно по этим учетным данным. Например, после кражи учетных данных разработчиков NPM он будет использовать эти учетные данные для публикации пакетов программного обеспечения, содержащих сам червь. Когда нижестоящее программное обеспечение устанавливает эти пакеты программного обеспечения, содержащие вирусы, оно продолжает активировать червя и продолжать воровать учетные данные и распространяться. Самое страшное в этом черве то, что он обладает очень сильной способностью к самовоспроизведению, поэтому канал заражения трудно полностью отключить.
На GitHub разработчик по имени Ян Анёнг опубликовал червя Miasma с открытым исходным кодом под своей личной учетной записью и заявил, что это было сделано для подражания духу открытого исходного кода TeamPCP. Код хранилища был лицензирован по лицензии MIT, чтобы другие хакеры могли загрузить код и использовать его напрямую. Однако вскоре склад был удален, а весь аккаунт разработчика забанен. Очевидно, это была операция, выполненная GitHub.
Конечно, существует высокая вероятность того, что аккаунт этого разработчика был украден и использован для публикации червей с открытым исходным кодом. В конце концов, этот разработчик довольно активен и имеет зарегистрированный личный сайт на своей домашней странице. Это своего рода лесть. В конце концов, если червь действительно имеет открытый исходный код, ему следует зарегистрировать небольшую учетную запись вместо того, чтобы использовать свою реальную учетную запись для публикации.