惡意程式Miasma藉由六階段攻擊流程竊取開發環境各式憑證

OX Security強調，一般的NPM供應鏈攻擊流程多半為3個階段，但這次活動多達6個階段。值得留意的是，駭客在Miasma載入工具進行了混淆與加密兩種手法進行雙重處理，首先，採用Phantom Gyp手法執行binding.gyp之後，會執行index.js，解開經混淆處理的酬載，接著，再透過第二階段處理經加密的酬載，然後感染受害電腦（第三階段）。

接著，在第四階段裡，惡意程式載入工具一口氣卸下15種惡意酬載及檔案，藉此於受害電腦截取記憶體內容、使用Bun指令安裝權杖（token）監控工具、與Claude進行掛鉤（hook），以及從GitHub下載新的惡意程式載入工具並執行。此惡意程式載入工具會從GitHub搜尋特定的關鍵字，然後下載另一個酬載並執行setup.py，並下載新的酬載及執行index.js，然後再進行類似第一、二階段解密有效酬載的行為。