Miasma amplía su radio de acción: npm, GitHub Actions y Go en riesgo
Resumen rápido
La familia de malware Miasma, vinculada también a las variantes Mini Shai-Hulud y Hades, ha extendido su campaña de ataques a la cadena de suministro comprometiendo nuevos paquetes npm de proyectos como LeoPlatform y RStreams, abusando de flujos de trabajo de GitHub Actions y expandiéndose ahora al ecosistema Go. Investigadores de ciberseguridad han documentado esta nueva oleada, que demuestra la capacidad de adaptación y la ambición creciente de sus autores. Las organizaciones que dependen de estas tecnologías deben revisar con urgencia sus dependencias y pipelines de CI/CD.
Miasma no para: npm, GitHub Actions y el ecosistema Go en el punto de mira
La familia de malware conocida como Miasma —que comparte linaje con las variantes Mini Shai-Hulud y Hades— ha dado un nuevo paso en su evolución dentro del ámbito de los ataques a la cadena de suministro de software. Investigadores de ciberseguridad han identificado una expansión significativa de esta campaña, que ahora afecta a un conjunto adicional de paquetes npm, explota flujos de trabajo de GitHub Actions y ha dado el salto al ecosistema Go.
Paquetes comprometidos y vectores de ataque
Entre los proyectos afectados por las últimas publicaciones maliciosas en el registro npm se encuentran los paquetes vinculados a LeoPlatform y RStreams, dos librerías presentes en entornos de desarrollo de cierta envergadura. La táctica consiste en introducir versiones troyanizadas que los desarrolladores pueden incorporar involuntariamente a sus proyectos mediante actualizaciones de dependencias rutinarias.
Paralelamente, los actores responsables de Miasma han dirigido sus esfuerzos hacia los flujos de trabajo de GitHub Actions, un vector de ataque de alto valor porque permite ejecutar código arbitrario en entornos de integración y entrega continua (CI/CD). Un pipeline comprometido puede propagar código malicioso de forma silenciosa a lo largo de todo el ciclo de vida del software, afectando tanto al artefacto final como a los secretos y credenciales gestionados durante el proceso de construcción.
La extensión al ecosistema Go supone además una ampliación de la superficie de ataque más allá del universo JavaScript/Node.js, lo que sugiere que los responsables de esta campaña están apostando por una estrategia multiplataforma y multilenguaje.
Una amenaza que evoluciona con persistencia
Lo que distingue a esta campaña es precisamente su capacidad de reinventarse. Cada iteración documentada añade nuevos objetivos, técnicas o ecosistemas, lo que dificulta la detección basada únicamente en indicadores estáticos de compromiso. La combinación de paquetes de código abierto como vector de entrada con el abuso de infraestructura de CI/CD ampliamente adoptada —como GitHub Actions— representa un riesgo real para cualquier organización que no supervise activamente su cadena de suministro de software.
Es recomendable que los equipos de desarrollo y seguridad:
- Auditen regularmente sus dependencias de terceros en npm y Go modules, buscando versiones inesperadas o publishers desconocidos.
- Revisen los permisos y secretos accesibles desde los flujos de trabajo de GitHub Actions, aplicando el principio de mínimo privilegio.
- Monitoricen los artefactos generados en los pipelines de CI/CD para detectar modificaciones no autorizadas.
- Activen alertas sobre publicaciones nuevas de paquetes en los que confían sus proyectos.
Fuente
¿Estás cubierto en DefensOps?
Aunque esta campaña no tiene CVE asignado por el momento, la naturaleza de los ataques a la cadena de suministro —con compromisos introducidos de forma encubierta en el proceso de build— puede ser detectada mediante correlación de comportamientos anómalos en tus entornos.
DefensOps Essential incluye cobertura genérica a través de su motor de correlación, capaz de identificar patrones sospechosos asociados a ejecuciones inesperadas en pipelines, accesos anómalos a registros de paquetes y comportamientos fuera de la norma en entornos de CI/CD, incluso cuando no existe una firma específica para la amenaza.
🛡️ ¿Quieres saber si tu cadena de suministro está supervisada correctamente?
Consulta los planes de DefensOps y solicita una demo gratuita →
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.