El gusano Miasma ha logrado comprometer 73 repositorios oficiales de Microsoft en GitHub, afectando proyectos de Azure y herramientas de documentación. Esta campaña de ataque a la cadena de suministro es una evolución del gusano Mini Shai-Hulud y ha provocado que GitHub inhabilite temporalmente el acceso a repositorios críticos para evitar una propagación mayor entre desarrolladores que utilizan estas librerías.
A diferencia de los ataques tradicionales, Miasma no explota una vulnerabilidad técnica en la plataforma de GitHub, sino que abusa del modelo de confianza. Los atacantes utilizan credenciales comprometidas de contribuidores legítimos para inyectar archivos de configuración maliciosos. El ataque se activa automáticamente cuando un desarrollador clona el repositorio y lo abre utilizando agentes de codificación de inteligencia artificial como Claude Code, Gemini CLI, Cursor o mediante tareas automáticas en Visual Studio Code.
El alcance técnico incluye la manipulación de archivos como settings.json y setup.mdc, diseñados para ejecutar cargas útiles (payloads) de forma persistente. Se ha observado que el ataque se centra especialmente en el ecosistema de Durable Task, afectando implementaciones en .NET, Go, Java y JS. La persistencia del ataque sugiere que las rotaciones de credenciales tras incidentes previos no fueron completas o que los atacantes lograron recolectar nuevos tokens de acceso mediante el propio ciclo de propagación del gusano.
Las empresas deben realizar una auditoría inmediata de sus dependencias y flujos de trabajo de desarrollo. Es fundamental verificar que los equipos no estén utilizando repositorios inhabilitados o versiones comprometidas de paquetes en PyPI y npm. Además, se recomienda restringir la ejecución automática de tareas en los entornos de desarrollo (IDE) y herramientas de IA de terceros hasta que se valide la integridad del código fuente descargado, incluso si proviene de organizaciones reconocidas.
Qué significa para tu empresa: Los ataques a la cadena de suministro demuestran que la confianza ciega en proveedores de software representa un riesgo operativo real. Para mitigar incidentes que ocurren fuera de su red local, es vital contar con una estrategia de seguridad gestionada por capas. El uso de protección de endpoints EDR/XDR permite detectar comportamientos anómalos y la ejecución de scripts maliciosos en las estaciones de trabajo de sus desarrolladores, bloqueando la amenaza antes de que logre comprometer la propiedad intelectual o los activos de la organización.
Fuente original: The Hacker News — ver artículo →