انتشر ديدان Miasma في 6 يونيو عبر أكثر من 70 مستودعًا مفتوح المصدر من مستودعات GitHub التابعة لشركة مايكروسوفت خلال دقيقتين، حيث أغلقت أنظمة الدفاع التلقائي لدى GitHub 73 مستودعًا مصابًا خلال 105 ثوانٍ بعد عمليات إرسال الشيفرة الخبيثة. يغطي معظم المستودعات المتضررة عمليات التنفيذ الخاصة بـ Azure Functions، بالإضافة إلى النسخ مفتوحة المصدر متعددة اللغات من إطار عمل تنسيق مهام Durable Task.
سلسلة الهجوم: آليات تقنية مؤكدة ونطاق التأثير
وفقًا للتقارير التي أكدها باحثو StepSecurity وBankInfoSecurity، فإن المسار التقني لهذه الهجمة كالتالي: استخدم المهاجمون بيانات اعتماد حساب مساهم تم اختراقه مسبقًا، وعدلوا ملفات إعداد مشتركة تم توارثها بين عدة مكتبات، ما مكن الشيفرة الخبيثة من الانتشار خلال ثوانٍ إلى عشرات المستودعات. استهدفت الحمولة الخبيثة وظائف الأتمتة في سير العمل التطويري الحديث، إذ تُنفذ عند قيام مساعدين بالذكاء الاصطناعي (Claude Code وCursor وGemini CLI) بتحليل ملفات الإعداد.
بعد نجاح الدودة في البدء، تقوم بسرقة بيانات الاعتماد السحابية ورموز المصادقة وسرّيات المطورين، ثم تستخدم هذه البيانات للبحث عن المستودع التالي القابل للاختراق داخل منظومة GitHub. كما أشار StepSecurity إلى أن هذا الحادث قد يكون مرتبطًا بالاختراق السابق الموجه إلى مُجدول مهام Azure الخاص بـ DurableTask في Python، غير أن المسار الدقيق للوصول إلى المستودعات المتأثرة ما زال قيد التحقيق.
صلة مؤكدة بقضية اختراق GitHub في مايو
وفقًا لتحليل باحثي أمن، ترتبط هذه الهجمة ارتباطًا مباشرًا بقضية سرقة الشيفرة داخلية لـ GitHub التي نفذتها TeamPCP في مايو 2026: فقد طرحت TeamPCP على متجر تطبيقات مايكروسوفت إضافة VS Code تحتوي على برمجية خبيثة، وتم تنزيلها بواسطة موظف في GitHub خلال نافذة استغرقها 11 دقيقة عند الإتاحة، ما أدى إلى سرقة بيانات الاعتماد والمفاتيح؛ ثم استخدم المهاجمون بيانات الاعتماد المسروقة لسرقة نحو 3,800 مستودع داخلي من GitHub؛ وبعد ذلك نشرت TeamPCP علنًا إطار عمل دودة استنساخ ذاتي باسم Mini Shai-Hulud.
تُعد دودة Miasma التي اخترقت 70+ من مكتبات مايكروسوفت مفتوحة المصدر نسخة مطورة مُحدثة من Mini Shai-Hulud. وهذه أيضًا هي المرة الثانية خلال أسابيع يتعرض فيها مشروع Durable Task مفتوح المصدر للاختراق لدى مايكروسوفت—إذ تم حقن حزمة اعتماديات Python خبيثة في نهاية مايو 2026.
الأسئلة الشائعة
كيف يمكن للمطورين التأكد مما إذا كانت بيئتهم متأثرة بهجوم Miasma؟
تنصح مصادر أمنية باتباع الخطوات التالية: التحقق مما إذا كان تم سحب (clone/pull) مكتبات مرتبطة بـ Azure Functions أو Durable Task متأثرة؛ تدقيق بيئة التطوير المحلية بحثًا عن تغييرات مشبوهة في ملفات الإعداد؛ تدوير (rotate) بيانات اعتماد سحابية AWS وGCP وAzure التي قد تكون تعرضت للاختراق، ومفاتيح SSH ورموز npm/PyPI ومفاتيح Kubernetes؛ والتحقق من سلامة المكتبات المحلية. وبعد أن أجرى GitHub تحقيقًا أوليًا لدى مايكروسوفت وإزالة الشيفرة الخبيثة، استعاد تدريجيًا 73 مستودعًا متأثرًا.
لماذا أصبح مساعدا تصميم البرامج بالذكاء الاصطناعي (Claude Code وCursor وGemini CLI) وسيطًا لهجوم Miasma؟
صُممت دودة Miasma لاستهداف سير عمل البرمجة بالذكاء الاصطناعي. فقد قام المهاجمون بحقن حمولة خبيثة داخل ملفات إعداد المستودع، بينما يقوم مساعدو الذكاء الاصطناعي—عند مساعدتهم للمطورين في فتح المشاريع أو تحليلها—عادةً بتحليل ملفات الإعداد هذه تلقائيًا. تؤدي عملية التحليل هذه إلى تشغيل الشيفرة الخبيثة في حال لم يتم عزلها بشكل كافٍ، ما يجعل مساعد الذكاء الاصطناعي مُشغّلًا غير مقصود للشيفرة الخبيثة.
كيف تعمل آلية الدفاع التلقائي لدى GitHub لإيقاف 73 مستودعًا خلال 105 ثوانٍ؟
بحسب شرح باحثي StepSecurity، حدد نظام الدفاع التلقائي لدى GitHub أنماط الهجوم وأوقف المستودعات المتأثرة خلال 105 ثوانٍ بعد إرسال الشيفرة الخبيثة. وحتى وقت نشر التقرير، لم توضح GitHub بالتفصيل التقني آليات نظام الدفاع التلقائي أو آلية تشغيله، كما لم تُعلن ما إذا كانت هناك جهات لاحقة تعرضت للتأثر قبل إيقاف المستودعات.
