Nach Angaben von Microsoft war die vorübergehende Abschaltung einzelner GitHub-Repositories Teil der Reaktion auf mögliche bösartige Inhalte. Gegenüber The Hacker News erklärte ein Unternehmenssprecher, der Schutz von Kunden und des gesamten Ökosystems habe Priorität. Deshalb seien einige Repositories während der Untersuchung temporär entfernt worden. Ein Teil davon sei inzwischen nach Prüfung wieder verfügbar, andere blieben vorerst offline.

Microsoft teilte außerdem mit, eine kleine Zahl von Kunden informiert zu haben, die Inhalte aus den betroffenen Repositories bezogen haben könnten. Falls die laufende Untersuchung weitere Erkenntnisse hervorbringe, die Maßnahmen auf Kundenseite erforderlich machten, werde das Unternehmen diese Betroffenen über die etablierten Support-Kanäle direkt kontaktieren.

Der Schritt folgt auf Berichte, wonach Dutzende von Microsofts Open-Source-Projekten auf GitHub im Rahmen der laufenden Supply-Chain-Kampagne Miasma kompromittiert wurden. Zu den infizierten Projekten zählt „durabletask“. Das Python-Paket war laut Bericht bereits im vergangenen Monat von TeamPCP manipuliert worden, um einen Informationsdieb für Linux-Systeme zu verbreiten.

Weitere Analysen der in die Projekte eingebetteten Miasma-Nutzlast zeigen, dass sie automatische Codeausführung auslösen kann, sobald ein ahnungsloser Entwickler das Repository in einem KI-gestützten Coding-Werkzeug oder einer integrierten Entwicklungsumgebung öffnet. Der Fall reiht sich in eine anhaltende Kampagne gegen stark genutzte Open-Source-Pakete ein, bei der Schadsoftware in Lieferketten eingeschleust wird und sich auf nachgelagerte Nutzer ausbreiten kann.

Dazu gehört auch eine neue PyPI-Welle, die laut Bericht mit den breiter angelegten Wellen Mini Shai-Hulud, Miasma und Hades zusammenhängt. Dabei wurden weitere 23 Pakete infiziert, darunter Bibliotheken aus dem Bereich Bioinformatik für Graph Learning, Patienten-Phänotypisierung, Phenopacket-Werkzeuge und wissenschaftliche Workflows. Hinzu kommen Pakete mit Bezug zu KI und Model Context Protocol sowie Typosquatting-Pakete wie „rsquests“, „tlask“ und „rlask“, die „requests“ und „flask“ imitieren, außerdem „langchain-core-mcp“.

Nach Angaben von Socket nutzt dieser neue Cluster einen neuen Mechanismus zur Auslieferung der Nutzlast. Das deute darauf hin, dass die Angreifer ihre Methoden laufend anpassen und aktiv mit verschiedenen Verfahren experimentieren. Während frühere Pakete ausführbare .pth-Start-Hooks nutzten, um Bun zu starten und einen verschleierten JavaScript-Informationsdieb auszuführen, setzt die neueste Welle auf andere Ansätze. Socket erklärte gegenüber The Hacker News, die letzte Variante trenne den Loader von der JavaScript-Nutzlast, was das Paket bei statischer Analyse weniger offensichtlich bösartig erscheinen lassen könne.

Unabhängig von der Methode ist das Ziel laut Bericht gleich: Nach der Ausführung nimmt die Schadsoftware Entwickler-Arbeitsplätze und CI/CD-Umgebungen ins Visier, sammelt besonders wertvolle Geheimnisse und leitet sie an ein öffentliches GitHub-Repository aus.

Kirill Boychenko, Senior Threat Intelligence Analyst bei Socket, sagte The Hacker News, die jüngste Serie von Python-Bibliotheken markiere das erste Mal, dass die mit Mini Shai-Hulud, Miasma und Hades verbundenen Angriffe kompromittierte legitime Pakete mit von den Tätern veröffentlichten Typosquats und Lockpaketen für das Ökosystem kombinieren. Frühere öffentlich dokumentierte, TeamPCP zugeschriebene Angriffe hätten vor allem manipulierte Releases realer Projekte, kompromittierte Publisher-Konten oder kompromittierte CI/CD-Release-Wege umfasst.

Als wahrscheinlichen Grund für diesen Kurswechsel nannte Boychenko eine taktische Diversifizierung. Kompromittierte legitime Pakete böten Vertrauen und Reichweite, seien aber von gestohlenen Zugangsdaten oder CI/CD-Zugriffen abhängig, die schnell entzogen werden könnten. Typosquats und Lockpakete ließen sich dagegen einfacher veröffentlichen, schneller anpassen und zum Test neuer Loader-Verhalten nutzen, ohne ein besonders wertvolles kompromittiertes Projekt zu verbrauchen. Namen mit Bezug zu MCP und KI passten zudem zu einem sich schnell bewegenden Ökosystem, in dem Entwickler möglicherweise unbekannte, aber plausibel wirkende Pakete installieren.

Ein zentrales Merkmal der Bioinformatik-Pakete ist laut Bericht die Fähigkeit, KI-gestützte Scanner und Analyse-Copiloten durch eine gegnerische Prompt-Injektion in einem JavaScript-Blockkommentar aus dem Tritt zu bringen und zu umgehen. Auf diesen Aspekt hatte zuvor bereits StepSecurity hingewiesen. Boychenko betonte, der Hades-Zweig der Shai-Hulud- und Miasma-Aktivitäten sei am besten als schnell laufende Supply-Chain-Kampagne zu verstehen, nicht als einzelner Paketvorfall. Bei der Variante „langchain-core-mcp“ werde darüber hinaus ein .pth-Loader installiert, der in „sys.path“ nach „_index.js“ sucht, sodass Loader und Nutzlast nicht im selben Wheel liegen müssen.