Die betroffenen npm-Pakete enthalten laut den beteiligten Sicherheitsforschern einen verschleierten Preinstall-Hook, der beim Installieren automatisch ausgeführt wird. Er sammelt GitHub-Actions-Secrets, npm-Tokens, Cloud-Credentials, Kubernetes- und Vault-Material, SSH-Schlüssel, Git-Zugangsdaten sowie weitere sensible Dateien. Die erbeuteten Daten werden verschlüsselt an die Adresse „api.anthropic[.]com:443/v1/api" übermittelt; GitHub dient als Ausweichmechanismus.

Das verschlüsselte Paket überträgt der Schadcode per GitHub-API als Commit. Die Commit-Nachricht kann dabei laut Socket eine Drohung enthalten: „IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner:<Token>." Gestohlene Zugangsdaten landen außerdem in öffentlichen GitHub-Repositories, die der Angreifer eigens dafür angelegt hat und die die Beschreibung „Miasma: The Spreading Blight" tragen. Den ersten Commit mit diesem String datiert OX Security auf den 29. Mai 2026 – entweder der Zeitpunkt des aktiven Einsatzes oder einer frühen Testphase.

Für GitHub-Repositories enumeriert die Malware alle Repositories, auf die ein Token Schreibzugriff hat, liest Workflow-Dateien über GraphQL aus und committet eigene Workflows per createCommitOnBranch-Mutation – sodass die Commits als verifizierte, signierte Änderungen erscheinen. SafeDep zufolge ruft die Payload zusätzlich OIDC-Token-Exchange-Endpunkte auf, verpackt ein Tarball-Archiv neu und signiert es über Sigstore.

Wiz-Forscher heben hervor, dass die aktuelle Variante gegenüber früheren Versionen gezielt Sammler für GCP- und Azure-Identitäten ergänzt. Statt nur Secrets abzugreifen, zielt Miasma damit auf den tatsächlichen Cloud-Zugang selbst. Neu ist außerdem, dass die Malware für jede Infektion eine individuell verschlüsselte Payload erzeugt – was Erkennung und Versionsverfolgung erheblich erschwert.

Auffällig ist eine Prüfroutine, die eine Ausführung auf russischsprachigen Systemen verhindert – ein Muster, das laut Socket auch in der GlassWorm-Supply-Chain-Kampagne beobachtet wurde. Die Frage, wer hinter Miasma steckt, bleibt offen: Die Gruppe TeamPCP hat die Angriffstools rund um den Shai-Hulud-Wurm öffentlich verfügbar gemacht, was anderen Akteuren die Nutzung ermöglicht und eine eindeutige Zuordnung erschwert.

Socket empfiehlt, kompromittierte Hosts zu isolieren, betroffene Paketversionen zu entfernen, alle möglicherweise exponierten Zugangsdaten zu rotieren sowie GitHub- und npm-Aktivitäten auf verdächtige Vorgänge zu prüfen. Zur Suche nach Persistenz-Artefakten sollten Konfigurationsdateien wie ~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml und .github/setup.js untersucht werden. Das Deinstallieren des npm-Pakets oder das Löschen von node_modules reicht laut Socket ausdrücklich nicht aus, da die Malware Mechanismen zur dauerhaften Ausführung im Hintergrund enthalten kann. Für CI/CD-Systeme rät Socket dazu, betroffene Workflow-Runs zu stoppen, Build-Artefakte aus dem Expositionszeitraum zu verwerfen und sämtliche Releases, Container-Images und Deployment-Artefakte zu prüfen, die nach der Installation des kompromittierten Pakets erstellt wurden.