มิเซมา เวิร์ม (Miasma) ติดเชื้อไปยังคลังโค้ดโอเพนซอร์สของ GitHub ของไมโครซอฟต์มากกว่า 70 แห่งภายในเวลา 2 นาทีเมื่อวันที่ 6 มิถุนายน ระบบป้องกันอัตโนมัติของ GitHub ปิดใช้งานคลังที่ติดเชื้อ 73 แห่งภายใน 105 วินาทีหลังจากมีการส่งมอบโค้ดที่เป็นอันตราย ระบบเหล่านี้ได้รับผลกระทบเป็นหลัก ได้แก่ Azure Functions โฮสต์โพรเซส และเวอร์ชันโอเพนซอร์สของ Durable Task เฟรมเวิร์กการจัดระเบียบงานในหลายภาษา
ห่วงโซ่การโจมตี: กลไกทางเทคนิคที่ยืนยันและขอบเขตที่ได้รับผลกระทบ
จากรายงานที่ยืนยันโดยนักวิจัยของ StepSecurity และ BankInfoSecurity เส้นทางเชิงเทคนิคของการโจมตีครั้งนี้เป็นดังนี้: ผู้โจมตีใช้ข้อมูลรับรองของบัญชีผู้สนับสนุนที่ถูกบุกรุกมาก่อน ปรับเปลี่ยนไฟล์ตั้งค่าร่วมที่ถูกสืบทอดระหว่างหลายไลบรารี ทำให้โค้ดที่เป็นอันตรายแพร่กระจายไปยังหลายสิบไลบรารีภายในเวลาไม่กี่วินาที เพย์โหลดมุ่งเป้าไปที่ฟีเจอร์อัตโนมัติในเวิร์กโฟลว์การพัฒนาสมัยใหม่ โดยจะทำงานเมื่อ AI assistant (Claude Code, Cursor, Gemini CLI) วิเคราะห์ไฟล์ตั้งค่า
หลังจากเวิร์มเริ่มทำงานสำเร็จ จะขโมยข้อมูลรับรองบนคลาวด์ โทเค็นสำหรับการยืนยันตัวตน และความลับของนักพัฒนา จากนั้นใช้ข้อมูลรับรองเหล่านี้ค้นหาไลบรารีถัดไปที่สามารถเข้าถึงได้ในระบบนิเวศของ GitHub StepSecurity ยังระบุว่าเหตุการณ์นี้อาจเกี่ยวข้องกับการบุกรุกก่อนหน้านี้ต่อโปรแกรมจัดตารางงาน DurableTask Python Azure แต่เส้นทางที่แน่นอนที่ใช้เพื่อเข้าถึงไลบรารีที่ได้รับผลกระทบยังอยู่ระหว่างการตรวจสอบ
ความเชื่อมโยงที่ยืนยันกับเหตุการณ์ GitHub ถูกขโมยในเดือนพฤษภาคม
จากการวิเคราะห์ของนักวิจัยด้านความปลอดภัย การโจมตีครั้งนี้มีความเชื่อมโยงโดยตรงกับเหตุการณ์ที่ TeamPCP ดำเนินการในเดือนพฤษภาคม 2026 ที่เกี่ยวข้องกับการถูกขโมยโค้ดภายในของ GitHub: TeamPCP เผยแพร่ส่วนขยาย VS Code ที่มีมัลแวร์ในไมโครซอฟต์แอปพลิเคชันมาร์เก็ต พนักงานของ GitHub ดาวน์โหลดสิ่งที่ติดแล้วในช่วงเวลาการลงรายการ 11 นาที ทำให้ข้อมูลรับรองและคีย์ถูกขโมย ผู้โจมตีใช้ข้อมูลรับรองที่ถูกขโมยเพื่อขโมยไลบรารีภายในราว 3,800 รายการจาก GitHub หลังจากนั้น TeamPCP ได้เผยแพร่เฟรมเวิร์กเวิร์มจำลองตัวเอง Mini Shai-Hulud แบบสาธารณะ
เวิร์ม Miasma ที่เข้าบุกคลังโอเพนซอร์สของไมโครซอฟต์ 70+ รายการ เป็นเวอร์ชันที่อัปเกรดและดัดแปลงจาก Mini Shai-Hulud นี่คือครั้งที่สองที่โปรเจกต์โอเพนซอร์ส Durable Task ของไมโครซอฟต์ถูกบุกรกภายในไม่กี่สัปดาห์—ปลายเดือนพฤษภาคม 2026 เคยมีการฝังแพ็กเกจการพึ่งพา Python ที่เป็นอันตรายมาก่อนหน้านั้น
คำถามที่พบบ่อย
นักพัฒนาจะตรวจสอบได้อย่างไรว่าแวดล้อมของตนได้รับผลกระทบจากการโจมตี Miasma ครั้งนี้?
ตามคำแนะนำของนักวิจัยด้านความปลอดภัย ควรดำเนินการตามขั้นตอนต่อไปนี้: ตรวจสอบว่ามีการดึง (clone/pull) ไลบรารีที่เกี่ยวข้องกับ Azure Functions หรือ Durable Task ที่ได้รับผลกระทบหรือไม่; ตรวจสอบการเปลี่ยนแปลงไฟล์ตั้งค่าในสภาพแวดล้อมการพัฒนาในเครื่องว่ามีสิ่งผิดปกติหรือไม่; หมุนเวียน (rotate) ข้อมูลรับรองบนคลาวด์ของ AWS, GCP, Azure, คีย์ SSH, โทเค็น npm/PyPI และคีย์ Kubernetes ที่อาจถูกเปิดเผยแล้ว; ตรวจสอบความสมบูรณ์ของไลบรารีในเครื่อง หลังจาก GitHub ดำเนินการสอบสวนเบื้องต้นและนำโค้ดที่เป็นอันตรายออกจากไมโครซอฟต์แล้ว ก็ทยอยฟื้นฟูคลังที่ได้รับผลกระทบทั้ง 73 รายการ
เหตุใดผู้ช่วยออกแบบโค้ดด้วย AI (Claude Code, Cursor, Gemini CLI) จึงกลายเป็นสื่อกลางในการโจมตีของ Miasma?
การออกแบบของ Miasma มุ่งโจมตีเวิร์กโฟลว์งานเขียนโค้ดด้วย AI โดยเฉพาะ ผู้โจมตีฝังเพย์โหลดที่เป็นอันตรายในไฟล์ตั้งค่าของไลบรารี และเมื่อ AI assistant ช่วยนักพัฒนาเปิดหรือวิเคราะห์โปรเจกต์ โดยทั่วไปจะทำการแยก/解析ไฟล์ตั้งค่าเหล่านี้โดยอัตโนมัติ กระบวนการแยก/解析นี้เมื่อไม่มีการแยกกั้นอย่างเพียงพอ จะกระตุ้นให้มีการรันโค้ดที่เป็นอันตราย ทำให้ AI assistant กลายเป็นตัวรันโค้ดที่เป็นอันตรายโดยไม่ตั้งใจ
กลไกป้องกันอัตโนมัติของ GitHub ที่ปิดใช้งาน 73 ไลบรารีภายใน 105 วินาที ทำงานอย่างไร?
จากคำอธิบายของนักวิจัยจาก StepSecurity ระบบป้องกันอัตโนมัติของ GitHub ระบุรูปแบบการโจมตีและปิดใช้งานไลบรารีที่ได้รับผลกระทบภายใน 105 วินาทีหลังจากมีการส่งมอบโค้ดที่เป็นอันตราย ณ เวลาที่มีการรายงาน GitHub ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคของระบบป้องกันอัตโนมัติอย่างเฉพาะเจาะจง กลไกการทริกเกอร์ และว่ามีองค์กรปลายทางใดได้รับผลกระทบแล้วก่อนที่จะถูกปิดใช้งานหรือไม่
