Nach Einschätzung von Beobachtern ist Miasma eine Variante des Wurms Mini Shai-Hulud, den TeamPCP Mitte Mai 2026 öffentlich veröffentlicht hatte. Seitdem habe sich die Malware weiter verändert und ihre Methoden verfeinert, während in den vergangenen Tagen weitere Pakete kompromittiert worden seien. Für neu angelegte öffentliche Repositories mit gestohlenen Geheimnissen wurden dabei unterschiedliche Beschreibungen verwendet. Zum Zeitpunkt der Veröffentlichung gab es 13 Repositories mit der Beschreibung „Hades - Das Ende für die Verdammten“ sowie 82 weitere mit drei anderen Benennungsmustern.
Besonders ins Auge fällt die Verbindung zum bereits bekannten Fall rund um „durabletask“. Sicherheitsforscher Paul McCarty, auch als 6mile bekannt, erklärte, nicht nur „Azure/durabletask“ sei verschwunden, sondern auch die zugehörigen Schwester-Repositories im Durable-Task-Ökosystem innerhalb der Microsoft-Organisationen. Er nannte dabei Implementierungen für .NET, Go, Java, JavaScript, MSSQL, Netherite und protobuf sowie den Durable-Functions-Monitor. Wenn das Repository, das im Zentrum der Kompromittierung des vergangenen Monats stand, nun auch im Mittelpunkt der aktuellen Abschaltungen stehe, sei das kein Zufall, so McCarty. Aus seiner Sicht ist es plausibel, dass die damals missbrauchten Zugangsdaten nie vollständig verloren gingen.
Miasma beschränkt sich nach den Beobachtungen nicht auf Paketregister. SafeDep meldete, dass die Angreifer den npm-Registry-Schritt teils ganz ausließen und stattdessen direkt bösartigen Code in „icflorescu/mantine-datatable“ sowie in vier verwandte Repositories einschleusten: „mantine-contextmenu“, „next-server-actions-parallel“, „mantine-datatable-v6“ und „mantine-contextmenu-v6“. Demnach fügte der Commit keine neuen Abhängigkeiten hinzu, sondern platzierte einen 4,3 Megabyte großen Payload-Runner und richtete dessen automatische Ausführung über fünf Entwicklerwerkzeuge ein: Claude Code, Gemini CLI, Cursor, VS Code und das npm-Testskript.
SafeDep zufolge wird der Angriff ausgelöst, wenn ein Entwickler eines der betroffenen Repositories klont und es in einem KI-Coding-Agenten öffnet. Der eingesetzte Dropper sei derselbe gestufte Bun-Loader, der hier nicht zur Vergiftung eines Paketregisters, sondern zur Persistenz in GitHub-Quellcode-Repositories umfunktioniert worden sei.
FalconFeeds.io sieht den Kern des Problems nicht in einer Schwachstelle von npm oder GitHub. Der Wurm bewege sich vollständig innerhalb legitimer Kanäle und missbrauche das Vertrauensmodell der Plattformen: die Annahme, dass ein Paket sicher sei, wenn es mit einem gültigen Schlüssel signiert und von einem authentifizierten Maintainer veröffentlicht werde. Shai-Hulud kompromittiere stattdessen Schlüssel und Maintainer und verhalte sich danach wie ein legitimer Herausgeber. Für das Register sei ein bösartiger Veröffentlichungsvorgang daher von einem regulären Update nicht zu unterscheiden.
Zusätzliche Hinweise auf den Ablauf der aktuellen Kompromittierung lieferte StepSecurity in einem am 5. Juni 2026 veröffentlichten Bericht. Demnach wurde dasselbe Mitwirkenden-Konto verwendet, das bereits hinter der Kompromittierung des „durabletask“-Pakets im Mai stand, um in dem jüngsten Vorfall einen bösartigen Commit einzuspielen. Sicherheitsforscher Ashish Kurmi erklärte, statt ein Paketregister zu vergiften, habe dieser Commit Konfigurationsdateien hinterlegt, die automatische Codeausführung auslösen, sobald ein Entwickler das Repository in einem KI-Coding-Tool oder einer Entwicklungsumgebung öffnet. Laut StepSecurity wurden fünf Dateien hinzugefügt, die Codeausführung über vier verschiedene Entwicklerwerkzeuge hinweg ermöglichen sollen.
Dass erneut dasselbe Konto genutzt wurde, deutet StepSecurity auf drei mögliche Szenarien zurück: Die Zugangsdaten des Kontos wurden nach dem 19. Mai nie vollständig rotiert und der Angreifer behielt ein funktionsfähiges GitHub-Token; der Mitwirkende wurde über die eigene Verbreitungsschleife des Wurms erneut kompromittiert, weil beim Öffnen eines infizierten Repositories in einem KI-Coding-Tool neue Token abgegriffen wurden; oder es wurde das Token eines anderen Mitwirkenden verwendet, während die Metadaten des Commit-Autors über die Git Data API gefälscht wurden.