Developer Credential Economy: Inside look at the Miasma worm

The Miasma worm, derived from the open-sourced Mini Shai-Hulud toolchain, compromised 89+ npm packages across three waves in June 2026, affecting Red Hat, Vapi.ai, and Microsoft Azure repositories. The root cause was a stolen developer credential that sat in underground markets for seven weeks before weaponization — a pattern Tenable calls the Developer Credential Economy. Key escalations include: malicious packages carrying valid SLSA Build Level 3 provenance attestations, a novel 'Phantom Gyp' technique bypassing install-script monitoring, and a new persistence mechanism targeting AI coding assistants (Claude Code, Cursor, Gemini CLI, VS Code) by dropping configuration file overrides. The public release of the full attack toolchain has permanently lowered the barrier for copycat campaigns. EDR is insufficient because credential theft happens in ephemeral CI/CD environments with no agent visibility. Recommended defenses include dark web credential monitoring with automated rotation, human-gated npm publishing (staged publishing in npm CLI 11.15.0), OIDC token scope restrictions, and treating developer environments as control-plane infrastructure under a CTEM framework.

Nguồn: https://www.tenable.com/blog/what-the-miasma-campaign-reveals-about-the-new-supply-chain-threat-model-and-the-underground. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

Node Weekly12 phút7 giờ trướcAI

Issue #630: Node.js 26.4 lands package maps — Node Weekly

Node.js 26.4 bổ sung hỗ trợ thử nghiệm package maps (giải quyết package từ file JSON tĩnh thay vì duyệt node_modules) và bắt đầu giới thiệu subsystem node:vfs của Matteo Collina. Bản tin cũng đề cập đến phân tích về hạn chế bảo mật của npm v12 khi chặn script cài đặt mặc định, bài viết suy đoán về npm chạy trên AT Protocol, TypeScript 7.0 RC với compiler Go nhanh gấp 10 lần, và framework Eve của Vercel cho xây dựng AI agent theo cấu trúc Next.js.

Lập trình viên nên đọc để cập nhật về Node.js 26.4, đặc biệt là tính năng mới về package maps (tối ưu hóa giải quyết phụ thuộc từ JSON thay vì khám phá node_modules) và vfs subsystem của Matteo Collina, giúp cải thiện hiệu suất và quản lý dự án.