Microsoft har koblet fra dusinvis av egne åpen kildekode-prosjekter på GitHub etter at angripere infiserte dem med skadevare som stjeler legitimasjon. Sikkerhetsselskapet Cloudsmith kaller ormen Miasma, en nyere variant i Shai-Hulud-familien, og sier kampanjen spredte seg til 73 Microsoft-repoer, flere av dem knyttet til Azure og Durable Task. Microsoft-talsperson Ben Hope bekreftet overfor TechCrunch at selskapet «midlertidig fjernet noen repositorier» under etterforskningen.
Faren for deg som bygger ligger i hvordan skadevaren utløses. Du trenger ikke klikke på en lenke eller laste ned et vedlegg. I noen tilfeller kjørte koden idet et infisert repo ble klonet og åpnet i vanlige utviklerverktøy. Cloudsmith lister Claude Code, Gemini CLI, VS Code og Cursor som berørte miljøer. Målet er hemmelighetene som ligger på utviklermaskiner: GitHub-tokens, SSH-nøkler, sky-akkreditiver og API-nøkler.
«Angriperne vil ikke bare ha appen din. De vil ha verktøyene du bruker til å bygge den.» — Memeburn
Dette er et forsyningskjede-angrep, ikke bare et Microsoft-problem. Miasma utnyttet ikke en enkel bug i GitHub eller npm, men selve tillitsmodellen bak moderne utvikling, inkludert legitime vedlikeholder-akkreditiver og workflow-systemer. Mønsteret er det samme som da en forgiftet Mistral-pakke nylig jaktet på sky-nøkler og token. KI-kodeverktøy sitter nå tett på sensitiv kode og sky-tilgang, og angriperne vet det.
Hva bør du gjøre?
- Sjekk om noen på teamet klonet eller åpnet berørte Microsoft-repoer de siste dagene.
- Roter legitimasjon på maskiner som kan ha åpnet mistenkelige repoer: GitHub-tokens, SSH-nøkler, CI/CD-hemmeligheter og Azure- og GCP-nøkler.
- Gå gjennom utviklermiljøer og byggesystemer for ukjente repoer, uventede bakgrunnsprosesser og uautorisert aktivitet knyttet til VS Code eller KI-CLI-er.