Robocikowo>ROBOCIKOWO
Najważniejsze w skrócieMechanizm ataku: SLSA jako brońAI agents jako wektor infekcjiPorównanie ze standardowym supply-chain attackReakcja Microsoftu i GitHubDlaczego to ważne?Co dalej?Źródła
11 czerwca 2026 · 5 min lekturySupply Chain AttackAI Coding AgentsMicrosoft

Robak Miasma znów uderza w Microsoft: 73 paczki npm jako pułapka na agenty AI

Pan Robocik11 czerwca 2026 · 5 min czytania
AI-assisted · weryfikacja redakcyjna
Robak Miasma znów uderza w Microsoft: 73 paczki npm jako pułapka na agenty AI

Drugi z rzędu atak łańcucha dostaw na oficjalne repozytoria Microsoftu w ciągu zaledwie dwóch miesięcy okazał się precyzyjnie ukierunkowany na developerów korzystających z AI coding agents. Robak Miasma skompromitował 73 paczki npm opublikowane z konta Microsoftu na GitHubie i uruchamiał złośliwy payload dokładnie wtedy, gdy ofiara otwierała projekt w jednym z narzędzi takich jak Claude Code, Gemini CLI, Cursor lub VS Code.

Najważniejsze w skrócie

  • 73 paczki npm Microsoftu skompromitowane przez grupę TeamPCP przy użyciu robaka Miasma
  • Payload aktywowany przez otwarcie projektu w AI agentach: Claude Code, Cursor, Gemini CLI, VS Code
  • Stealer wykrada credentials AWS, Azure, GCP, Kubernetes i ponad 90 narzędzi deweloperskich
  • Robak samopowiela się przez infekowanie innych maszyn developerskich i pipeline CI/CD
  • To samo konto Microsoft, które zostało skompromitowane już w maju 2026

Mechanizm ataku: SLSA jako broń

Na początku maja 2026 firma StepSecurity udokumentowała pierwsze włamanie — przejęcie pakietu durabletask na PyPI, który pobierany jest 400 tysięcy razy miesięcznie. Tamten atak przebiegł niemal identycznie: skradziono credentials Microsoftu do publikowania paczek, które posłużyły do wstrzyknięcia złośliwego payloadu z pominięciem pipeline'u budowania repozytorium. Operacja była przeprowadzona przez konto na GitHub — platformie zarządzanej przez Microsoft.

Drugi incydent, do którego doszło pod koniec maja 2026, jest jednak jeszcze poważniejszy pod względem skali — 73 paczki zamiast jednej. Sama architektura ataku odzwierciedla niepokojącą tendencję w branży cyberbezpieczeństwa: robak Miasma nie exploituje żadnej podatności w oprogramowaniu GitHub ani npm. Zamiast tego eksploatuje model zaufania nowoczesnego ekosystemu inżynieryjnego. Atakujący ukradł legalny token OIDC Microsoftu — ten sam mechanizm kryptograficznego potwierdzania integralności, który ma być gwarancją bezpieczeństwa artefaktów (standard SLSA). W efekcie skanery bezpieczeństwa oparte na hashach paczek były bezradne, bo robak generuje unikalny zaszyfrowany payload dla każdej infekcji.

AI agents jako wektor infekcji

Szczegół, który wyróżnia ten atak spośród dziesiątek incydentów supply-chain z ostatnich lat, to świadome ukierunkowanie na developerów używających AI coding agents. Stealer uruchamiał się nie w chwili instalacji paczki, lecz dopiero przy otwarciu projektu w Claude Code, Cursoru, Gemini CLI lub VS Code z rozszerzeniami AI. To celowy wybór: agenty AI mają szeroki dostęp do systemu plików, zmiennych środowiskowych i tokenów cloud — i pracują z nimi w trybie autonomicznym, bez interaktywnego nadzoru programisty przy każdej operacji.

Payload zbierał credentials z AWS, Azure, GCP, Kubernetes, menedżerów haseł oraz ponad 90 konfiguracji narzędzi deweloperskich. Następnie próbował rozprzestrzeniać się dalej po infrastrukturze cloud ofiary oraz infekować inne maszyny developerskie i środowiska CI/CD. Czyni to Miasma klasycznym robakiem sieciowym — z tą różnicą, że jako kanał propagacji używa zaufanych projektów open source zamiast podatności systemowych.

Porównanie ze standardowym supply-chain attack

Tradycyjne ataki supply-chain, jak głośny incydent z xz utils z 2024 roku, wymagały miesięcy pracy w celu wstrzyknięcia backdoora do repozytorium. Miasma działa inaczej: atakujący kradnie credentials właściciela konta i publikuje złośliwą wersję paczki jako jej legalny maintainer. Przejście od kradzieży credentials do wdrożenia złośliwego kodu zajmuje godziny, nie miesiące. Co więcej, paczka przychodzi z ważnym podpisem SLSA, które miało być odpowiedzią branży na ataki tego typu.

Firma Red Hat, której paczki npm zostały skompromitowane w równoległym ataku Miasmy, wyjaśniła technicznie, gdzie leżą granice SLSA: ten standard potwierdza, że paczka powstała z określonego źródła i nie została zmodyfikowana w trakcie dystrybucji — ale nie chroni przed sytuacją, gdy atakujący przejął kontrolę nad tym źródłem.

Reakcja Microsoftu i GitHub

Reakcja Microsoftu na oba incydenty spotkała się z krytyką ze strony badaczy bezpieczeństwa. GitHub początkowo usunął paczki, podając jako powód "naruszenie warunków korzystania z serwisu" — bez żadnej wzmianki o złośliwym charakterze kodu. Dopiero kilka dni po incydencie Microsoft przyznał, że "tymczasowo usunął repozytoria w trakcie dochodzenia dotyczącego potencjalnie złośliwych treści". Dla developerów, którzy zdążyli otworzyć skompromitowane projekty w AI agencie, ta zwłoka może oznaczać, że ich credentials są już w rękach atakujących.

Dodatkowym pytaniem, na które Microsoft dotychczas nie odpowiedział, jest to, w jaki sposób te same credentials zostały skradzione dwukrotnie. Możliwe wyjaśnienia to albo niekompletna rotacja credentials po majowym incydencie, albo infekcja maszyny developerskiej Microsoftu przez inną paczkę, która wykradła nowe credentials.

Dlaczego to ważne?

Ten atak sygnalizuje jakościową zmianę w krajobrazie zagrożeń supply-chain. Przez lata głównym celem ataków na łańcuch dostaw były serwery produkcyjne — teraz atakujący wprost celują w środowiska deweloperskie, a konkretnie w stanowiska, na których działają AI coding agents.

To nieprzypadkowy wybór. Narzędzia takie jak Claude Code, Cursor czy Gemini CLI mają dostęp do credentials cloud, tokenów API i konfiguracji infrastruktury jako podstawy swojej pracy. Developer, który ufa agentowi z dostępem do swojego środowiska AWS, de facto rozszerza zaufaną granicę bezpieczeństwa poza własną maszynę — na cały ekosystem narzędzi, z których agent korzysta. Atakujący zidentyfikowali ten punkt i go wykorzystali.

SLSA, mechanizm zaufania wprowadzony właśnie po to, by zapobiegać atakom supply-chain, okazał się w tym scenariuszu dwusiecznym mieczem: nadał złośliwym paczkom pozory wiarygodności. Problem nie leży w samym SLSA — standard spełnia to, do czego został zaprojektowany — ale w błędnym założeniu, że kryptograficzna weryfikacja provenance wystarczy, gdy samo konto publishera zostało przejęte.

Dla branży oznacza to, że wdrożenie narzędzi AI w procesie deweloperskim wymaga osobnej analizy modelu zagrożeń. Agenty AI nie są zwykłymi edytorami kodu — są autonomicznymi systemami z dostępem do infrastruktury, a każda paczka, którą agent przetwarza, staje się potencjalnym wektorem ataku.

Co dalej?

  • Developerzy, którzy otwierali którykolwiek z 73 skompromitowanych pakietów w AI agencie, powinni traktować wszystkie credentials ze skompromitowanego środowiska jako przejęte i natychmiast je rotować.
  • Microsoft nie ujawnił, w jaki sposób doszło do ponownej kradzieży credentials dla tego samego konta — odpowiedź firmy na to pytanie będzie kluczowa dla oceny, czy problem został faktycznie zlikwidowany.
  • Incydent prawdopodobnie przyspieszy dyskusję w branży nad rozszerzeniem modeli zaufania dla AI agents — analogicznie do tego, jak SLSA zostało wprowadzone po wcześniejszych falach ataków supply-chain.

Źródła

Udostępnij ten artykuł

Poprzedni

Następny

Czytaj następny

Allen Control Systems: 200 mln dol. na autonomiczny system anty-dronowy Bullfrog
Aktualności11 czerwca 2026

Allen Control Systems: 200 mln dol. na autonomiczny system anty-dronowy Bullfrog

Allen Control Systems zebrał 200 mln dol. w rundzie Series B przy wycenie 2,2 mld dol. Firma skaluje produkcję i wdrożenie Bullfrog — autonomicznego stanowiska uzbrojenia łączącego AI, computer vision i robotykę do zwalczania dronów.

Powiązane artykuły

Rozliczanie za tokeny w AI: jak działa i czym jest „Tokenpocalypse”
Aktualności10 czerwca 2026

Rozliczanie za tokeny w AI: jak działa i czym jest „Tokenpocalypse”

Od 1 czerwca 2026 GitHub Copilot rozlicza pracę nie ryczałtem, lecz zużyciem tokenów, a Uber w cztery miesiące wyczerpał roczny budżet na AI. Wyjaśniamy, czym jest rozliczanie tokenowe, jak przelicza zapytania na koszt i dlaczego branża nazwała ten zwrot „Tokenpocalypse”.

Microsoft odrywa się od OpenAI — własne modele MAI, chip Maia i cel: superinteligencja
Aktualności8 czerwca 2026

Microsoft odrywa się od OpenAI — własne modele MAI, chip Maia i cel: superinteligencja

Mustafa Suleyman, szef Microsoft AI, ujawnił że ok. 6 miesięcy temu firma formalnie uzyskała prawo do samodzielnego rozwijania superinteligencji po renegocjacji umowy z OpenAI. Na Build 2026 zaprezentowano 7 modeli rodziny MAI, w tym MAI-Thinking-1 (35 mld aktywnych parametrów), chip Maia 200 i platformę Frontier Tuning dla enterprise.

Claude Opus 4.8: czterokrotnie rzadziej przemilcza błędy w kodzie
Aktualności29 maja 2026

Claude Opus 4.8: czterokrotnie rzadziej przemilcza błędy w kodzie

Anthropic wprowadza Claude Opus 4.8 — następcę Opus 4.7 z poprawioną rzetelnością w zadaniach agentycznych, nowymi trybami wysiłku i funkcją dynamic workflows w Claude Code. Cena za fast mode spada trzykrotnie.

Rekurencyjne doskonalenie AI — jak systemy uczą się budować lepsze wersje siebie
Aktualności17 maja 2026

Rekurencyjne doskonalenie AI — jak systemy uczą się budować lepsze wersje siebie

Rekurencyjne doskonalenie (RSI) to systemy zdolne nie tylko do generowania lepszych wyników, ale do samodzielnego usprawniania procesu, w którym się uczą i rozwijają. W 2026 roku pytanie brzmi już nie „czy RSI istnieje", lecz „jak wiele z tej pętli zostało zamknięte".