Cacing Miasma Serang 73 Repository Microsoft di GitHub, Serangan Rantai Pasok Makin Ganas
Cacing Miasma Serang 73 Repository Microsoft di GitHub, Serangan Rantai Pasok Makin Ganas
CLB.my.id - Serangan rantai pasok perangkat lunak yang dijuluki “Miasma” telah menginfeksi 73 repository Microsoft di GitHub, menyebar di empat organisasi sekaligus: Azure, Azure-Samples, Microsoft, dan MicrosoftDocs. GitHub terpaksa menonaktifkan akses ke seluruh repository yang terdampak karena melanggar ketentuan layanan.
Serangan ini bukan kali pertama terjadi pada ekosistem yang sama. Repository “durabletask” yang menjadi korban kompromi oleh kelompok peretas TeamPCP bulan lalu untuk menyebarkan pencuri informasi di Linux, kembali terinfeksi. Cacing Miasma menyebar ke seluruh repository saudara di ekosistem Durable Task, termasuk versi .NET, Go, Java, JS, dan MSSQL.
Bukan Mengeksploitasi Celah Teknis, Melainkan Model Kepercayaan
Yang membuat serangan ini istimewa adalah cara kerjanya. Cacing Miasma bukan mengeksploitasi kerentanan teknis di npm atau GitHub. Ia mengeksploitasi model kepercayaan yang menjadi fondasi ekosistem open source: asumsi bahwa jika sebuah paket ditandatangani dengan kunci valid dan dipublikasikan oleh maintainer terautentikasi, maka paket itu aman.
“Cacing ini jenius, dan alasan pertahanan konvensional sebagian besar gagal adalah karena ia beroperasi sepenuhnya di dalam saluran yang sah,” jelas tim FalconFeeds.io. Dari sudut pandang registry, setiap event publikasi yang berbahaya tidak bisa dibedakan dari pembaruan rutin.
Menyerang Langsung Lewat AI Coding Agent
Miasma menunjukkan evolusi baru dengan melewati registry npm sama sekali. Cacing ini mendorong kode berbahaya langsung ke repository GitHub. Payload sebesar 4,3 MB ditanam melalui commit dan dihubungkan untuk dieksekusi secara otomatis melalui lima alat pengembang: Claude Code, Gemini CLI, Cursor, VS Code, dan skrip npm test.
“Serangan ini meledak ketika seorang developer mengkloning repository yang terpengaruh dan membukanya di AI coding agent,” jelas tim SafeDep. “Dropper yang sama dengan staged Bun loader, di sini diadaptasi untuk persistensi repository sumber GitHub, bukan keracunan registry.”
Miasma Terus Bermutasi
Cacing ini merupakan varian dari worm Mini Shai-Hulud yang dirilis secara publik oleh TeamPCP pada pertengahan Mei 2026. Sejak saat itu, Miasma terus bermutasi dan menyempurnakan taktiknya. Repository publik yang baru dibuat menggunakan deskripsi seperti “Miasma: The Spreading Blight” dan “Hades: The End for the Damned.”
Saat ini tercatat 13 repository dengan deskripsi “Hades” dan 82 repository dengan pola penamaan lainnya. Jumlah ini terus bertambah seiring cacing menyebar secara eksponensial dengan mengompromi pengguna hilir dan mengulangi siklus yang sama.
Pelajaran untuk Developer dan Pengguna Open Source
Serangan ini menegaskan pentingnya verifikasi integritas repository sebelum mengkloning atau menggunakan kode, terutama setelah kompromi terbaru. Developer juga perlu memantau push langsung ke repository dan menginspeksi commit untuk payload besar yang tidak terduga atau integrasi alat yang mencurigakan.
Kampanye Miasma menggarisbawahi kebutuhan mendesak akan keamanan yang lebih kuat di rantai pasok perangkat lunak. Ketika worm bisa beroperasi dalam saluran yang sah dan tidak bisa dibedakan dari publikasi normal, pertahanan tradisional berbasis tanda tangan dan reputasi tidak lagi cukup.***
