Verme Miasma Comprometou Mais de 70 Repositórios da Microsoft no GitHub
Um verme sofisticado chamado Miasma explorou uma conta de colaborador para injetar código malicioso em 73 repositórios da Microsoft no GitHub. A ataque visou projetos críticos nas organizações Azure, Azure-Samples, Microsoft e MicrosoftDocs, levando à desativação temporária pela plataforma.
MundiX News·10 de junho de 2026·4 min de leitura·👁 6 views
Especialistas do GitHub foram forçados a desativar 73 repositórios da Microsoft após a infecção pelo verme Miasma. Os alvos incluíram projetos hospedados nas organizações Azure, Azure-Samples, Microsoft e MicrosoftDocs. Ao tentar acessar esses repositórios, os usuários podem se deparar com uma notificação padrão de bloqueio por violação das regras da plataforma.
De acordo com pesquisadores da OpenSourceMalware e StepSecurity, o ataque se iniciou quando os atacantes obtiveram acesso à conta de um dos contribuidores e adicionaram um commit malicioso ao repositório Azure/durabletask. O código malicioso foi inserido através de arquivos de configuração que permitiam a execução remota de código (Remote Code Execution - RCE) nas máquinas dos desenvolvedores, caso eles abrissem o repositório em IDEs ou ferramentas de IA como Claude Code, Gemini CLI ou Cursor. Pouco tempo depois, começaram a surgir relatos de falhas em pipelines de CI/CD (Continuous Integration/Continuous Deployment). O incidente afetou particularmente o Azure/functions-action, um componente crucial para o deploy de aplicações no Azure. Com a desativação do repositório, todos os workflows associados ao Azure/functions-action@v1 deixaram de funcionar corretamente.
Os mecanismos de segurança automatizados do GitHub agiram rapidamente, detectando os sinais de infecção e desativando todos os repositórios afetados em menos de dois minutos, em duas ondas distintas. Um detalhe particularmente preocupante desta campanha é a reincidência no comprometimento do Azure/durabletask. Em 19 de maio, os mesmos atacantes já haviam utilizado o pacote durabletask no PyPI para distribuir um infostealer direcionado a desenvolvedores Linux, com o objetivo de roubar credenciais de nuvem, tokens e configurações de ferramentas de desenvolvimento. Desta vez, o ataque não se limitou ao repositório original, mas se estendeu a outros projetos do ecossistema Durable Task, incluindo implementações para .NET, Go, JavaScript, MSSQL e componentes relacionados. Isso sugere que os atacantes mantiveram o acesso às credenciais comprometidas anteriormente.
O malware Miasma é considerado uma variação do verme Shai-Hulud, cujo código-fonte foi divulgado publicamente pelo grupo TeamPCP em maio de 2026. Pesquisadores observam que o Miasma continua em desenvolvimento ativo, com dezenas de novas infecções registradas nos ecossistemas npm e GitHub nos últimos dias. Além disso, foram identificados mais de 90 repositórios criados automaticamente pelo malware para publicar segredos roubados das vítimas. Analistas da SafeDep também relatam que os operadores do Miasma estão mudando sua tática, afastando-se da publicação de pacotes infectados e passando a injetar código malicioso diretamente em repositórios populares do GitHub. Em um caso analisado, um loader de 4,3 MB foi adicionado a um repositório, sendo executado automaticamente ao ser aberto via Claude Code, Gemini CLI, Cursor, VS Code, ou ao rodar o script npm test. Os pesquisadores enfatizam que o verme não explora vulnerabilidades específicas no npm ou GitHub, nem contorna mecanismos de segurança. Em vez disso, ele se aproveita do modelo de confiança inerente às cadeias de suprimentos de software modernas. A principal falha reside no fato de que, quando um release é publicado por um mantenedor legítimo, a infraestrutura o trata como uma atualização normal, sem suspeitas.
Especialistas do GitHub foram forçados a desativar 73 repositórios da Microsoft após a infecção pelo verme Miasma. Os alvos incluíram projetos hospedados nas organizações Azure, Azure-Samples, Microsoft e MicrosoftDocs. Ao tentar acessar esses repositórios, os usuários podem se deparar com uma notificação padrão de bloqueio por violação das regras da plataforma.
De acordo com pesquisadores da OpenSourceMalware e StepSecurity, o ataque se iniciou quando os atacantes obtiveram acesso à conta de um dos contribuidores e adicionaram um commit malicioso ao repositório Azure/durabletask. O código malicioso foi inserido através de arquivos de configuração que permitiam a execução remota de código (Remote Code Execution - RCE) nas máquinas dos desenvolvedores, caso eles abrissem o repositório em IDEs ou ferramentas de IA como Claude Code, Gemini CLI ou Cursor. Pouco tempo depois, começaram a surgir relatos de falhas em pipelines de CI/CD (Continuous Integration/Continuous Deployment). O incidente afetou particularmente o Azure/functions-action, um componente crucial para o deploy de aplicações no Azure. Com a desativação do repositório, todos os workflows associados ao Azure/functions-action@v1 deixaram de funcionar corretamente.
Os mecanismos de segurança automatizados do GitHub agiram rapidamente, detectando os sinais de infecção e desativando todos os repositórios afetados em menos de dois minutos, em duas ondas distintas. Um detalhe particularmente preocupante desta campanha é a reincidência no comprometimento do Azure/durabletask. Em 19 de maio, os mesmos atacantes já haviam utilizado o pacote durabletask no PyPI para distribuir um infostealer direcionado a desenvolvedores Linux, com o objetivo de roubar credenciais de nuvem, tokens e configurações de ferramentas de desenvolvimento. Desta vez, o ataque não se limitou ao repositório original, mas se estendeu a outros projetos do ecossistema Durable Task, incluindo implementações para .NET, Go, JavaScript, MSSQL e componentes relacionados. Isso sugere que os atacantes mantiveram o acesso às credenciais comprometidas anteriormente.
O malware Miasma é considerado uma variação do verme Shai-Hulud, cujo código-fonte foi divulgado publicamente pelo grupo TeamPCP em maio de 2026. Pesquisadores observam que o Miasma continua em desenvolvimento ativo, com dezenas de novas infecções registradas nos ecossistemas npm e GitHub nos últimos dias. Além disso, foram identificados mais de 90 repositórios criados automaticamente pelo malware para publicar segredos roubados das vítimas. Analistas da SafeDep também relatam que os operadores do Miasma estão mudando sua tática, afastando-se da publicação de pacotes infectados e passando a injetar código malicioso diretamente em repositórios populares do GitHub. Em um caso analisado, um loader de 4,3 MB foi adicionado a um repositório, sendo executado automaticamente ao ser aberto via Claude Code, Gemini CLI, Cursor, VS Code, ou ao rodar o script npm test. Os pesquisadores enfatizam que o verme não explora vulnerabilidades específicas no npm ou GitHub, nem contorna mecanismos de segurança. Em vez disso, ele se aproveita do modelo de confiança inerente às cadeias de suprimentos de software modernas. A principal falha reside no fato de que, quando um release é publicado por um mantenedor legítimo, a infraestrutura o trata como uma atualização normal, sem suspeitas.
