Miasma蠕蟲攻擊延伸到PyPI儲存庫

6月7日資安公司Socket指出，他們在PyPI發現新一波攻擊活動Hades，駭客入侵了19個套件，並上傳了37個惡意版本的套件，這些惡意套件挾帶特定檔案，會在開發環境的Python啟動時自動執行，下載JavaScript執行環境Bun，然後執行經混淆處理的惡意酬載_index.js。此酬載主要的功能是竊取開發環境與CI/CD管線的憑證與秘密，涵蓋GitHub、NPM、PyPI、RubyGems、JFrog、CircleCI、Anthropic、AWS、GCP、Azure、Kubernetes、Vault、SSH金鑰、Docker組態設定、shell執行記錄、環境變數檔案、Claude與MCP設定，以及其他本機或使用者可存取的憑證。

此次攻擊的特徵是跨執行環境，惡意程式不依賴既有的Node.js或Python，而是在受害電腦強制安裝Bun作為執行環境，顯示出高度適應能力。外洩路徑主要透過GitHub儲存庫與GitHub Actions工作流程。此外，惡意程式還偽裝成向Anthropic API發送流量，以混淆網路監控。受影響的套件多為生物資訊研究工具，如dynamo-release、spateo-release、coolbox、napari-ufish、ufish 等，累計下載量達數十萬次，顯示攻擊者鎖定高價值研究機構。