73 repositorier. Det er antallet Microsoft-eide GitHub-repoer som ble slått av automatisk 5. juni 2026 klokken 16:00 UTC, etter at sikkerhetsselskapet ThreatLocker sporet en selvspredende orm de kaller Miasma. Det opprinnelige inngangspunktet var repoet Azure/durabletask, og den ondsinnede commiten hadde forfalsket metadata datert 9. mars 2020 for å gli ubemerket forbi.
Det som skiller Miasma fra tidligere forsyningskjede-angrep er at det ikke trengs noe installasjonssteg. Ifølge ThreatLocker kjørte koden i det øyeblikket en utvikler åpnet repoet i utviklingsverktøyet sitt. Ormen er bygget for å omgå StepSecurity sin Harden-Runner-kontroll, og høster service principals, API-nøkler, SSH-legitimasjon og databasepassord fra GCP, GitHub, AWS og Azure. Dataene krypteres med AES-256-GCM før de sendes til dynamisk navngitte repoer med underverden-tematikk.
For deg som henter avhengigheter fra Microsoft-økosystemet betyr dette at CI-hemmeligheter og sky-nøkler kan være eksponert selv om du aldri installerte en pakke, det holdt å åpne et infisert repo lokalt. Funnet ble gjort av ThreatLockers analyseteam: William Pires, Pandeli Zi, Alexander Aguiar og John Moutos.
Hva bør du gjøre?
- Roter all legitimasjon på tvers av Azure, AWS, GCP og GitHub, og revider skyressursene dine for uautorisert tilgang.
- Søk etter artefaktene
/tmp/managed.pyzog tjenestenpgsql-monitor.servicepå utviklermaskiner og byggeservere. - Overvåk utgående nettverkstrafikk mot
check.git-service.comogt.m-kosche.com, som er kjente kontrollservere for ormen.