Por dentro do toolkit de ataque à cadeia de suprimentos Miasma

O Miasma não é um script de ataque genérico. É um toolkit em TypeScript, executado via Bun, com arquitetura modular e grafo de dependências complexo (14.027 nós, 17.530 arestas), projetado para operar como worm autônomo em ambientes de desenvolvimento. Seu código-fonte foi divulgado publicamente no GitHub em junho de 2026, não por vazamento acidental, mas por contas de devs comprometidas, o que sugere intenção operacional. Ele se propaga roubando credenciais de AWS, Azure, GCP, Kubernetes, HashiCorp Vault, 1Password e Bitwarden, depois injeta versões trojanizadas em npm, PyPI e RubyGems. Em 3 de junho, comprometeu 57 pacotes npm em menos de duas horas, incluindo @vapi-ai/server-sdk (408 mil downloads/mês). Em 5 de junho, atingiu repositórios oficiais da Microsoft no Azure/durabletask, forçando a desativação automática de 73 repositórios em quatro organizações em 105 segundos.

A campanha Hades, ramificação do Miasma no PyPI, começou em 7 de junho com 19 pacotes comprometidos via hooks .pth, focando bibliotecas de machine learning e bioinformática. O toolkit usa GitHub como C2: busca strings específicas em commits públicos, verifica assinaturas criptográficas e entrega payloads sem servidores externos. Tem 'dead-man switch': apaga o diretório home se o PAT roubado for revogado. Também gera proveniência Sigstore válida para pacotes npm maliciosos, ou seja, o selo de confiança oficial atesta o malware.

Porque o Miasma redefine o que é possível em ataques à cadeia de suprimentos. Ele não explora uma falha única, mas orquestra múltiplas vulnerabilidades de configuração, permissões excessivas e confiança cega em ferramentas. Ao envenenar 13 ferramentas de IA (Claude, Gemini, Cursor, Copilot, Kiro, Cline), ele persiste mesmo após limpeza de dependências, o payload executa toda vez que o dev abre um projeto no IDE. Isso torna a detecção difícil e a remediação incompleta se feita apenas no nível de pacote. Além disso, seu uso de OIDC tokens de npm/PyPI/RubyGems permite publicação legítima de versões maliciosas, enganando pipelines de CI/CD e sistemas de verificação de integridade. Não há CVE registrado até hoje, porque o ataque não depende de bugs, mas de práticas ruins de segurança.

Desenvolvedores estão na linha de frente. Um único commit malicioso em um repositório público pode disparar injeção em IDEs com IA, roubo de credenciais de nuvem e publicação de pacotes trojanizados. A injeção em ferramentas como Copilot e Claude não exige interação: basta abrir um projeto. O Miasma também sequestra 'orphan-commits' em GitHub Actions, fazendo com que workflows legítimos executem código malicioso sem alteração visível no código-fonte. Para evitar infecção, devs devem revogar PATs imediatamente após suspeita, mas só depois de isolar a máquina, pois o dead-man switch apaga o home. Verificar dependências com npm ls --all ou pip list --outdated não adianta: o malware opera no nível de configuração do IDE e do runtime, não no código instalado.