Un gusano de cadena de suministro llamado Miasma ha comprometido 73 repositorios de GitHub pertenecientes a cuatro organizaciones de Microsoft —Azure, Azure-Samples, Microsoft y MicrosoftDocs— en el ataque de supply chain más significativo del año. Lo reporta hoy TheNextWeb con análisis técnico detallado de StepSecurity. GitHub desactivó los repositorios afectados en 105 segundos tras detectar la amenaza.
El detalle que hace este ataque diferente a los anteriores: el malware no se activa cuando instalas un paquete npm. Se activa cuando un desarrollador abre un repositorio en un agente de codificación de IA como Claude Code, Gemini CLI, Cursor o VS Code. Es el primer ataque documentado a escala que usa los propios agentes de IA como vector de ejecución.
¿Cómo funciona Miasma técnicamente?
Miasma es una variante del gusano Mini Shai-Hulud, publicado por el grupo TeamPCP en BreachForums en mayo de 2026. Su cadena de ataque es de tres pasos.
Primero, el atacante compromete credenciales de GitHub de un desarrollador con acceso a los repositorios objetivo (en este caso usó credenciales de un empleado de Red Hat detectadas en logs de infostealers desde abril de 2026). Segundo, hace un commit malicioso titulado chore: update dependencies [skip ci] —inofensivo en apariencia— que introduce un payload runner de 4,3 MB en el repositorio. Tercero, el payload está configurado para ejecutarse automáticamente cuando el desarrollador abre el proyecto en cinco herramientas específicas: Claude Code, Gemini CLI, Cursor, VS Code y el script de pruebas de npm.
Una vez ejecutado, el gusano es una cosechadora de credenciales multi-cloud: extrae tokens de AWS, Azure, GCP, Kubernetes, npm y GitHub, y los sube a repositorios públicos creados al vuelo en GitHub. Con esas credenciales robadas, el gusano se propaga: hace nuevos commits maliciosos en todos los repositorios a los que tiene acceso de escritura el desarrollador comprometido.
Entre los repositorios afectados están proyectos de infraestructura crítica de Azure: azure-search-openai-demo, durabletask y sus implementaciones en .NET, Go, JS y MSSQL, functions-container-action y windows-driver-docs.
La táctica «Phantom Gyp»: evadir los escáneres de seguridad
La sofisticación técnica de Miasma está en cómo esquiva las herramientas de seguridad. Los escáneres de paquetes npm típicamente monitorizan los scripts de ciclo de vida (preinstall, postinstall). Miasma no los usa. En su lugar, abusa de un archivo binding.gyp de 157 bytes para disparar la ejecución de código durante la instalación, un vector que la mayoría de herramientas de seguridad no monitoriza de la misma forma. StepSecurity lo ha bautizado como «Phantom Gyp».
Esta campaña es la tercera de Miasma en una semana. El 1 de junio comprometió 32 paquetes bajo el namespace @redhat-cloud-services en npm. El 3 de junio golpeó el repositorio mantine-datatable (1.225 estrellas en GitHub) y cuatro repositorios relacionados. El 5 de junio llegó a los repositorios de Azure de Microsoft.
¿Qué deben hacer los desarrolladores?
Si clonaste o actualizaste alguno de los 73 repositorios afectados en los últimos días y los abriste en Claude Code, Cursor o VS Code, asume que tus credenciales pueden estar comprometidas. Las acciones inmediatas: rotar tokens de AWS, Azure, GCP, npm y GitHub; revisar el historial de commits en repositorios sobre los que tienes acceso de escritura; y buscar repositorios creados recientemente en GitHub con el nombre «Miasma: The Spreading Blight» que podrían contener tus credenciales exfiltradas.
StepSecurity ha publicado una base de datos de todas las versiones de paquetes comprometidas en esta campaña que puede integrarse en pipelines CI/CD para bloquear automáticamente merges que introduzcan alguno de esos paquetes.
El ataque es también una advertencia directa sobre la superficie de ataque que crean los agentes de IA para desarrolladores. Cualquier herramienta que ejecuta código automáticamente al abrir un proyecto —que es exactamente lo que hacen Claude Code, Cursor y Gemini CLI para ofrecer su funcionalidad— es un vector de ejecución potencial si el código del repositorio ha sido manipulado.
Mi valoración
Lo que más me convence es la contención de GitHub: 105 segundos desde la detección hasta la desactivación es una respuesta de clase mundial. El daño potencial de 73 repositorios de Azure con cientos de miles de usuarios downstream habría sido enorme si la contención hubiera tardado horas.
Lo que más me preocupa es el vector de los agentes de IA. Los agentes de codificación funcionan precisamente porque tienen permisos amplios para leer, escribir y ejecutar código en el entorno del desarrollador. Esa confianza implícita es el mismo mecanismo que Miasma explota. A medida que Claude Code, Cursor y sus competidores se vuelven herramientas de trabajo estándar para millones de desarrolladores, la superficie de ataque en este vector va a crecer exponencialmente.
Lo más estructuralmente significativo es que la cadena de ataque empieza meses antes del ataque visible: las credenciales de Red Hat comprometidas se detectaron en logs de infostealers en abril, siete semanas antes del ataque en Microsoft. Ese gap entre la exposición de credenciales y el uso ofensivo es tiempo que los equipos de seguridad tienen para actuar, si monitorizan los canales correctos. La pregunta a 12 meses es si los proveedores de agentes de IA como Anthropic, Google y Cursor implementan controles de verificación de integridad de repositorios antes de ejecutar cualquier código automático. Mi predicción: veremos al menos dos de ellos anunciar alguna forma de verificación de firma de commits en los próximos seis meses.
Preguntas frecuentes
¿Cómo sé si mi entorno ha sido comprometido?
Revisa tu historial de actividad en GitHub (Settings → Security Log) en busca de repositorios creados con nombres como «Miasma – The Spreading Blight», «nemean-hydra-XXXXX» o «Hades – The End for the Damned». También revisa los logs de acceso de AWS CloudTrail, Azure Monitor y GCP Cloud Audit Logs en busca de actividad de credenciales inusual en los últimos 7 días.
¿Afecta Miasma solo a desarrolladores con acceso de escritura a repos de Microsoft?
No. La propagación funciona con cualquier repositorio sobre el que el desarrollador comprometido tenga acceso de escritura. El ataque a Microsoft fue el más visible por el tamaño y el impacto potencial downstream, pero Miasma se ha propagado a docenas de repositorios independientes de proyectos open source.
¿Es seguro usar Claude Code o Cursor ahora mismo?
Los agentes de codificación en sí no están comprometidos. El riesgo es abrir un repositorio comprometido en esas herramientas. El consejo de seguridad es verificar la integridad de los commits recientes de cualquier repositorio externo antes de abrirlo en un agente de IA, especialmente si proviene de una fuente con la que no trabajas regularmente.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario