TeamPCP, een hackerorganisatie die zich voorheen richtte op aanvallen op de toeleveringsketen van NPM-ecosystemen, heeft de worm Mini Shai-Hulud (Mini Sandworm) uitgebracht als open source. Dit type worm heeft zelfreplicerende eigenschappen. Nadat het met succes gevoelige inloggegevens in de ontwikkelomgeving heeft gestolen, zal het de inloggegevens direct aanroepen om verbinding te maken met externe bronnen en te blijven infecteren en verspreiden. Aanvankelijk richtte Mini Shai-Hulud zich vooral op het NPM-ecosysteem.
Nu is er ook een variantversie van de worm Miasma als open source uitgebracht:
Miasma is een variantversie van de worm gebaseerd op Mini Sandworm. De worm wordt ook gebruikt om supply chain-aanvallen uit te voeren, voornamelijk gericht op het NPM-ecosysteem en GitHub. Het kerngedrag omvat het automatisch scannen van lokale en cloudomgevingen na installatie en het stelen van verschillende gevoelige inloggegevens, zoals AWS, GCP, Azure, GitHub Token, SSH-sleutels, NPM-tokens, PyPI-tokens, enz.
Na het succesvol stelen van inloggegevens zal Miasma deze inloggegevens blijven infecteren en zich achterwaarts verspreiden. Na het stelen van de NPM-inloggegevens van ontwikkelaars zal het bijvoorbeeld de inloggegevens gebruiken om softwarepakketten te publiceren die de worm zelf bevatten. Wanneer downstream-software deze virusdragende softwarepakketten installeert, zal deze de worm blijven activeren en inloggegevens blijven stelen en zich verspreiden. Het angstaanjagende aan deze worm is dat hij een zeer sterk zelfreplicatievermogen heeft, waardoor het moeilijk is om de infectielink volledig af te sluiten.
Op GitHub bracht een ontwikkelaar genaamd Yang Anyong de Miasma-worm uit als open source onder zijn persoonlijke account en zei dat dit was om de open source-geest van TeamPCP te imiteren. De magazijncode was gelicentieerd onder de MIT-licentie, zodat andere hackers de code konden downloaden en direct konden gebruiken. Het magazijn werd echter al snel verwijderd en het hele ontwikkelaarsaccount werd verbannen. Dit was duidelijk een bewerking uitgevoerd door GitHub.
Natuurlijk is de kans groot dat het account van deze ontwikkelaar is gestolen en is gebruikt om wormen als open source te publiceren. Deze ontwikkelaar is tenslotte behoorlijk actief en heeft een geregistreerde persoonlijke website op zijn startpagina. Dit is een soort vleierij. Als de worm echt open source is, zou hij immers een klein account moeten registreren in plaats van zijn echte account te gebruiken om te publiceren.