Miasma 蠕蟲 pada 6 Juni menginfeksi lebih dari 70 repositori sumber terbuka GitHub milik Microsoft dalam waktu 2 menit. Sistem pertahanan otomatis GitHub menutup 73 repositori yang terinfeksi dalam 105 detik setelah ada penambahan kode berbahaya. Repositori yang terdampak terutama mencakup proses host Azure Functions, serta versi sumber terbuka Durable Task framework untuk orkestrasi tugas dalam berbagai bahasa.
Rantai Serangan: Mekanisme Teknis yang Terkonfirmasi dan Cakupan yang Terdampak
Berdasarkan laporan yang dikonfirmasi dari peneliti StepSecurity dan BankInfoSecurity, jalur teknis serangan kali ini adalah: penyerang menggunakan kredensial akun kontributor yang sebelumnya telah dibobol, lalu mengubah file konfigurasi yang sama-sama diwarisi oleh beberapa repositori, sehingga kode berbahaya menyebar dalam hitungan detik ke puluhan repositori. Muatan berbahaya menargetkan fitur otomatis pada alur kerja pengembangan modern, dengan mengeksekusi saat asisten AI (Claude Code, Cursor, Gemini CLI) mem-parsing file konfigurasi.
Setelah worm berhasil dijalankan, ia mencuri kredensial cloud, token autentikasi, dan rahasia pengembang, lalu menggunakan kredensial tersebut untuk mencari repositori berikutnya yang bisa disusupi di ekosistem GitHub. StepSecurity juga menyebutkan bahwa insiden ini mungkin terkait dengan upaya peretasan sebelumnya terhadap penjadwal tugas DurableTask Python Azure, namun jalur pasti yang digunakan untuk mengakses repositori yang terdampak masih diselidiki.
Kaitan yang Dikonfirmasi dengan Kasus Pembobolan GitHub pada Mei
Berdasarkan analisis peneliti keamanan, serangan kali ini memiliki hubungan langsung dengan kasus pencurian kode internal GitHub yang dilakukan TeamPCP pada Mei 2026: TeamPCP memasarkan di Microsoft App Store sebuah ekstensi VS Code yang berisi malware, dan seorang karyawan GitHub mengunduhnya dalam jendela unggahan 11 menit, sehingga kredensial dan kunci dicuri; penyerang kemudian menggunakan kredensial hasil curian untuk mengambil sekitar 3.800 repositori internal dari GitHub; setelah itu, TeamPCP merilis secara terbuka framework worm replikasi diri Mini Shai-Hulud.
Worm Miasma yang menginfeksi 70+ repositori sumber terbuka Microsoft adalah versi pembaruan varian dari Mini Shai-Hulud. Ini juga merupakan kali kedua dalam beberapa minggu proyek sumber terbuka Microsoft Durable Task disusupi—pada akhir Mei 2026, sebuah paket dependensi Python berbahaya pernah ditanam.
Pertanyaan yang Sering Diajukan
Bagaimana pengembang dapat mengetahui apakah lingkungannya terdampak serangan Miasma kali ini?
Berdasarkan saran peneliti keamanan, langkah yang harus dilakukan adalah: periksa apakah pernah menarik (clone/pull) repositori terkait Azure Functions atau Durable Task yang terdampak; audit perubahan file konfigurasi yang mencurigakan di lingkungan pengembangan lokal; rotasi (rotate) kredensial cloud AWS, GCP, Azure yang mungkin sudah terekspos, kunci SSH, token npm/PyPI, dan kunci Kubernetes; verifikasi integritas repositori lokal. GitHub secara bertahap memulihkan 73 repositori yang terdampak setelah menyelesaikan penyelidikan awal di Microsoft dan menghapus kode berbahaya.
Mengapa asisten perancang kode AI (Claude Code, Cursor, Gemini CLI) menjadi perantara serangan Miasma?
Rancangan Miasma menargetkan alur kerja perancangan kode berbasis AI. Penyerang menanam muatan berbahaya di file konfigurasi repositori, sedangkan asisten AI saat membantu pengembang membuka atau menganalisis proyek biasanya akan mem-parsing file konfigurasi tersebut secara otomatis. Proses parsing yang tidak terisolasi secara memadai dapat memicu eksekusi kode berbahaya, sehingga asisten AI menjadi pelaksana kode berbahaya tanpa disadari.
Bagaimana mekanisme pertahanan otomatis GitHub yang menutup 73 repositori dalam 105 detik bekerja?
Menurut penjelasan peneliti StepSecurity, sistem pertahanan otomatis GitHub mengidentifikasi pola serangan dan menutup repositori yang terdampak dalam waktu 105 detik setelah ada pengiriman kode berbahaya. Hingga saat laporan dipublikasikan, GitHub belum mengungkapkan rincian teknis spesifik dari sistem pertahanan otomatis, mekanisme pemicunya, serta apakah ada organisasi hilir yang sudah terdampak sebelum penutupan dilakukan.
