✨︎ Resumen (TL;DR):
- El código fuente del kit de ataque Miasma fue liberado como código abierto en GitHub, abriendo la puerta a futuras campañas de hackeo de imitación.
- La amenaza infectó previamente 73 repositorios de Microsoft en Azure y comprometió paquetes en el registro npm con hasta 117,000 descargas semanales.
- Expertos advierten sobre una nueva versión llamada Hades, capaz de destruir datos mediante un componente de borrado (wiper).
El código fuente de Miasma, una herramienta de ataque a la cadena de suministro de software, se publicó como código abierto en GitHub el 9 de junio de 2026. Esta filtración ocurre pocos días después de que este malware comprometiera 73 repositorios de Microsoft, encendiendo las alarmas de la industria tecnológica ante posibles ataques de imitadores a nivel global.
El kit de herramientas comenzó a aparecer en múltiples repositorios de la plataforma, reduciendo drásticamente la barrera de entrada para comprometer la infraestructura de desarrollo de software. Este suceso sigue a la liberación en mayo del entorno Mini Shai-Hulud, la base tecnológica desarrollada por el grupo de amenazas TeamPCP.
Ante este escenario de riesgo, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) urgió a las organizaciones a revisar de inmediato sus dependencias de software, advirtiendo sobre la aceleración de estos incidentes dirigidos a paquetes de código abierto.
El origen de la amenaza y su evolución
Miasma es una evolución de Mini Shai-Hulud, un kit modular escrito en TypeScript y Bun diseñado para recolectar credenciales, envenenar la cadena de suministro y filtrar datos cifrados. El grupo TeamPCP publicó el código de Shai-Hulud el 12 de mayo de 2026, según análisis de las firmas de seguridad Datadog Security Labs y Akamai.
La réplica de estos ataques fue sumamente rápida:
- A mediados de mayo, la firma OX Security detectó clones de Shai-Hulud distribuidos en paquetes maliciosos del registro npm.
- El 1 de junio de 2026, la variante Miasma escaló su ofensiva al infiltrarse en el espacio de nombres de Red Hat en npm, comprometiendo 32 paquetes que acumulaban entre 80,000 y 117,000 descargas semanales.
- El 5 de junio de 2026, el gusano alcanzó las organizaciones de Azure en GitHub propiedad de Microsoft, inyectando código diseñado para ejecutarse de forma automática en herramientas de programación asistidas por inteligencia artificial como Claude Code, Gemini CLI y Cursor.
Durante este último ataque, los sistemas automatizados de GitHub detectaron la anomalía y desactivaron los 73 repositorios comprometidos en apenas 105 segundos. Microsoft confirmó posteriormente la restauración completa de las cuentas afectadas.
Una defensa más estricta para los desarrolladores
La accesibilidad de estas herramientas ofensivas complica el panorama de la ciberseguridad corporativa. Investigadores de StepSecurity ya identificaron una variante posterior llamada Hades, la cual añade un módulo de borrado destructivo (wiper) que se activa si las credenciales robadas son revocadas por el administrador de sistemas.
Para mitigar los riesgos de estos ataques, el NCSC emitió una serie de recomendaciones clave para los equipos de ingeniería de software:
- Pausar las actualizaciones automáticas de dependencias si se sospecha de un fallo de seguridad.
- Revisar manualmente las nuevas versiones de los paquetes de software.
- Rotar todas las credenciales expuestas y exigir autenticación de doble factor (MFA) en las cuentas de desarrolladores.
- Utilizar registros de paquetes privados o de alta confianza.
“Estos ataques resaltan la necesidad de replantear cómo se introducen y gestionan las dependencias como parte de un ciclo de vida de desarrollo seguro”, señaló el NCSC en su comunicado oficial.
Con herramientas de hackeo de nivel profesional disponibles de forma gratuita, las empresas que dependen de dependencias de código abierto se ven obligadas a operar bajo un modelo de desconfianza cero para evitar que sus propios entornos de desarrollo se conviertan en vectores de infección.
