A Microsoft desativou 73 dos seus repositórios no GitHub em um intervalo de 105 segundos depois que alarmes de risco foram acionados na última sexta-feira (5 de junho), com a detecção de sinais de infecção pelo worm Miasma, de acordo com análise da StepSecurity divulgada pelo The Register.
Hackers teriam plantado malware que roubaria credenciais de pessoas quando aberto em ferramentas de IA como Claude Code, Gemini CLI e Cursor, segundo reportagem do 404 Media, que também obteve uma declaração da Microsoft a respeito do incidente: “Removemos temporariamente alguns repositórios enquanto investigamos possível conteúdo malicioso”, disse a Microsoft à 404 Media.
O ataque começou após uma conta de contribuidor comprometida enviar um commit malicioso para Azure/durabletask, afirmou o cofundador e CTO da StepSecurity, Ashish Kurmi, ao The Register.
O commit inseriu arquivos de configuração que acionaram execução remota de código quando um desenvolvedor abriu o repositório em uma IDE ou ferramenta de codificação de IA. A desativação em massa quebrou pipelines de CI/CD, com um moderador do GitHub descrevendo inicialmente o problema como uma “questão interna de gerenciamento”.
Worm Miasma reincidente e roubo de segredos
O repositório que causou mais problemas imediatos foi Azure/functions-action, usado para implantar código no Azure, segundo Kurmi. Com ele desativado, todo fluxo de trabalho que referenciasva Azure/functions-action@v1 parou de funcionar. O alvo recorrente do durabletask sugere que os tokens associados à conta de contribuidor comprometida usada no ataque ao PyPi em 19 de maio não foram totalmente rotacionados, permitindo que um atacante ganhasse acesso e enviasse commits ao GitHub, conforme análise da StepSecurity.
A empresa de segurança Snyk descreveu o Miasma como um descendente do worm Mini Shai Hulud, que anteriormente afetou pacotes open source no registro npm, incluindo os da Red Hat, no início deste mês, informou o The Register. O grupo de crime cibernético TeamPCP reivindicou a autoria do desenvolvimento do Mini Shai Hulud, mas, como o grupo o tornou open source, é difícil determinar se também esteve por trás do Miasma ou se outra pessoa assumiu o controle do projeto sucessor.
Impacto em pacotes npm e PyPi
Dois dias antes do ataque à Microsoft, o mesmo worm estava comprometendo mais de 50 pacotes no npm, incluindo um SDK da Vapi.ai com mais de 408 mil downloads mensais, de acordo com a StepSecurity. O pacote PyPi durabletask da Microsoft já havia sido alvo do worm Miasma em 19 de maio, quando três versões do pacote foram enviadas ao repositório em um intervalo de 35 minutos, plantando infostealers que capturavam segredos da nuvem e configurações de ferramentas de desenvolvedor em sistemas Linux.
FONTE: CISO ADVISOR
