Worm Miasma atinge 73 repositórios Microsoft
Um worm auto-replicante conhecido como Miasma comprometeu 73 repositórios da Microsoft no GitHub, incluindo projetos críticos do Azure e do ecossistema .NET, na maior expansão de uma campanha de ataque à cadeia de suprimentos de software que já infectou dezenas de pacotes npm nos últimos meses.
O ataque, detectado em 3 de junho de 2026 pelo grupo de monitoramento OpenSourceMalware, afetou repositórios em quatro organizações da Microsoft no GitHub: Azure, Azure-Samples, Microsoft e MicrosoftDocs. O GitHub desabilitou o acesso a todos os repositórios comprometidos após detectar a violação de seus termos de serviço. A mensagem exibida ao tentar acessar o repositório “Azure/azure-functions-host” confirma a remoção pela equipe de confiança da plataforma.
Como o worm se propaga
O Miasma é uma variante do worm Mini Shai-Hulud, lançado publicamente pelo grupo TeamPCP em meados de maio de 2026. Sua capacidade de auto-replicação o diferencia de ataques convencionais à cadeia de suprimentos: ao comprometer um repositório ou pacote, o worm rouba credenciais do mantenedor e as usa para infectar outros projetos do mesmo autor, criando um ciclo exponencial de propagação.
Na campanha mais recente, os invasores adicionaram um payload de 4,3 MB configurado para executar automaticamente através de cinco ferramentas de desenvolvimento: Claude Code, Gemini CLI, Cursor, VS Code e o script de teste npm. Quando um desenvolvedor clona um repositório infectado e o abre em um agente de codificação por IA, o dropper é acionado, instalando o runtime Bun e carregando um harvester de credenciais projetado para extrair segredos de AWS, Google Cloud, Azure, HashiCorp Vault, Docker, Kubernetes e gerenciadores de senhas.
Repositórios críticos afetados
Dentre os 73 repositórios desabilitados estão projetos centrais da infraestrutura do Azure Functions, como azure-functions-host, durabletask e suas variantes em .NET, Go, Java, JavaScript e MSSQL. O pesquisador Paul McCarty observou que o pacote PyPI “durabletask” já havia sido comprometido pelo TeamPCP em maio. A re-comprometimento sugere que as credenciais roubadas nunca foram totalmente revogadas.
| Organização GitHub | Exemplos de repositórios | Status |
|---|---|---|
| Azure | azure-functions-host, llm-fine-tuning | Desabilitado |
| Azure-Samples | azure-search-openai-demo-purviewdatasecurity | Desabilitado |
| Microsoft | durabletask-dotnet, durabletask-go, durabletask-js | Desabilitado |
| MicrosoftDocs | windows-driver-docs | Desabilitado |
Por que as defesas convencionais falharam
O Miasma opera inteiramente dentro dos canais legítimos de publicação de software. Não explora vulnerabilidades no npm ou no GitHub — explora o modelo de confiança dessas plataformas. Cada publicação maliciosa é assinada com chaves válidas de mantenedores autenticados. Do ponto de vista do registro, cada evento é indistinguível de uma atualização legítima.
A campanha também foi observada saltando o registro npm inteiramente, com código malicioso enviado diretamente para repositórios de código-fonte como “icflorescu/mantine-datatable” e quatro projetos relacionados, ampliando a superfície de ataque para além do ecossistema de pacotes.
O que fazer agora
Equipes de desenvolvimento que utilizam qualquer um dos projetos afetados devem revogar imediatamente todas as credenciais com acesso aos repositórios comprometidos, incluindo tokens de CI/CD, chaves SSH e segredos de serviços em nuvem. É fundamental auditar logs de acesso dos repositórios clonados recentemente e verificar se o runtime Bun foi instalado de forma não intencional em máquinas de desenvolvimento. Organizações que usam agentes de IA para codificação devem implementar monitoramento de processos filhos dessas ferramentas e restringir a execução automática de scripts em repositórios não verificados.
Fontes
- The Hacker News — Miasma Worm Hits 73 Microsoft GitHub Repositories
- Microsoft Security Blog — Inside the Red Hat npm Miasma Campaign
- The CyberSec Guru — Miasma Worm Targets AI Coding Agents
- Worm IronWorm infecta pacotes npm em ataque supply chain
- Ataque supply chain afeta milhares de repositórios GitHub
O que observar agora
Para equipes de seguranca, o ponto principal em “Worm Miasma infecta 73 repositórios da Microsoft no GitHub” e transformar o alerta em verificacao objetiva. Antes de assumir impacto, vale confirmar ativos expostos, versoes em uso, logs recentes e dependencias que possam ampliar o risco. Esse processo reduz ruido, evita pânico e ajuda a priorizar o que realmente precisa de resposta imediata.
Tambem e importante registrar evidencias. Guarde indicadores, horarios, sistemas afetados e decisoes tomadas durante a triagem. Mesmo quando o caso nao evolui para incidente, essa disciplina melhora a resposta futura e facilita explicar para lideranca por que uma acao foi tomada, adiada ou descartada.
Para acompanhar “Worm Miasma infecta 73 repositórios da Microsoft no GitHub” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.