Microsoft menghapus 73 repositori di seluruh organisasi Azure, microsoft, Azure-Samples, dan MicrosoftDocs di GitHub, sehingga mengganggu jalur integrasi berkelanjutan.
Insiden itu terjadi pada 5 Juni dan dapat diatasi hanya dalam waktu 105 detik. Perusahaan mengatakan kepada BleepingComputer bahwa repositori tersebut dihapus karena kekhawatiran bahwa mereka mendistribusikan “potensi konten berbahaya”.
Beberapa peneliti mengonfirmasi bahwa repo tersebut ditarik setelah adanya kompromi selama kampanye rantai pasokan Miasma/Shai-Hulud.
Platform OpenSourceMalware mencatat bahwa ‘durabletask’ – sebuah repositori di organisasi Microsoft Azure di GitHub, telah disusupi pada bulan Mei, yang menunjukkan bahwa pembersihan yang tidak lengkap memungkinkan pelaku ancaman untuk kembali dengan kompromi baru. Namun, hal ini belum dapat dikonfirmasi.
Segera setelah menghapus repositori, sebuah pesan ditampilkan menjelaskan bahwa tindakan tersebut diambil oleh Staf GitHub “karena pelanggaran persyaratan layanan GitHub.”
Perwakilan Microsoft menanggapi kekhawatiran pengguna dalam diskusi komunitas, menyatakan bahwa repositori dinonaktifkan karena “masalah manajemen internal” dan penyelidikan sedang dilakukan.
Dampak langsung yang paling signifikan dari insiden ini adalah menonaktifkan akses ke ‘Azure/functions-action’, sebuah Tindakan GitHub yang digunakan oleh banyak pengembang untuk menyebarkan Azure Functions.
Alur kerja yang mereferensikannya berhenti berfungsi karena tidak ada apa pun di repositori yang ditentukan untuk menyelesaikan tindakan tersebut, sehingga menyebabkan pemadaman dan kebingungan.
Namun, pada saat penulisan ini, semua repositori telah dipulihkan dan dianggap bersih serta aman untuk digunakan.
Namun, itu Platform OpenSourceMalware mencatat bahwa paket ‘tugas tahan lama’ pada Indeks Paket Python (PyPI), telah disusupi pada bulan Mei ketika pelaku ancaman mendorong tiga versi berbahaya (1.4.1, 1.4.2, 1.4.3).
Dalam sebuah pernyataan untuk BleepingComputer, juru bicara Microsoft menjelaskan bahwa perusahaan tersebut “untuk sementara menghapus beberapa repositori saat kami menyelidiki potensi konten berbahaya.”
Meskipun semua repositori telah dipulihkan, Microsoft “memberi tahu sejumlah kecil pelanggan yang mungkin telah menghapus konten dari repositori yang terpengaruh.”
“Kami akan terus menyelidiki, dan jika ada hal lain yang teridentifikasi yang memerlukan tindakan pelanggan, kami akan menghubungi langsung melalui saluran dukungan kami yang sudah ada,” kata juru bicara Microsoft kepada kami.
Insinyur keamanan Adnan Khan dikatakan bahwa insiden tanggal 5 Juni yang mempengaruhi repositori Microsoft tampaknya merupakan bagian dari kampanye malware Miasma itu menginfeksi 32 paket npm Red Hat.
Dalam laporan minggu ini, perusahaan manajemen rantai pasokan perangkat lunak Cloudsmith menyimpulkan bahwa lingkungan Azure Microsoft di GitHub dan repositori ‘durabletask’ telah disusupi melalui Miasma, yang menargetkan alat pengkodean AI (misalnya, Claude Code, Gemini CLI, VS Code, Cursor).
Peretas beralih dari paket npm Red Hat ke sumber daya Microsoft di GitHub.
“Worm ini awalnya menyerang namespace npm @redhat-cloud-services dengan menyusupi akun GitHub karyawan Red Hat. Dengan mendorong komitmen yatim piatu yang belum ditinjau ke repo internal, pelaku ancaman memasukkan alur kerja minimal yang meminta GitHub Token OIDC“kata para peneliti.
Serangan rantai pasokan terus menargetkan ekosistem sumber terbuka. Kemarin, perusahaan keamanan aplikasi Socket melaporkan hal itu melihat serangan Shai-Hulud baru selama akhir pekan yang mengandalkan a mekanisme pengiriman baru.
StepSecurity menerbitkan laporan terpisah yang berfokus pada serangan Shai-Hulud berdampak pada Pythagoras-io/gpt-pilotalat pengembang AI sumber terbuka populer dengan lebih dari 33.700 bintang GitHub dan lebih dari 3.500 fork.
Pengembang perangkat lunak harus mempertimbangkan untuk mengunci dependensi proyek mereka, menambahkan penundaan waktu beberapa hari untuk mengambil pembaruan paket baru, dan menguji versi baru di lingkungan yang terisolasi.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
