GitHub, la plataforma propiedad de Microsoft, tomó la drástica medida de desactivar más de 70 repositorios en apenas 105 segundos tras detectar la presencia del gusano malicioso Miasma en varios proyectos. El incidente ocurrido el viernes 5 de junio ha sido identificado por expertos como un grave ataque a la cadena de suministro de código abierto.
Según Ashish Kurmi, cofundador y CTO de StepSecurity, la infección comenzó cuando una cuenta de colaborador comprometida subió un commit malicioso al repositorio Azure/durabletask. Este cambio introdujo archivos de configuración que permitían la ejecución remota de código en los equipos de los desarrolladores cuando abrían el repositorio con un IDE o herramientas de programación asistida por IA, como Claude Code, Gemini CLI y Cursor.
En poco tiempo, muchos desarrolladores reportaron interrupciones en sus pipelines de integración y despliegue continuo (CI/CD). El problema se propagó especialmente a través del repositorio Azure/functions-action, utilizado para desplegar código en Azure, cuyo bloqueo paralizó todos los flujos de trabajo que dependían de él.
GitHub activó sus sistemas automáticos de detección y logró eliminar los repositorios afectados en dos oleadas en menos de dos minutos, minimizando el daño. No obstante, esta interrupción evidenció una reapertura del ataque previo con el gusano Miasma que afectó a Microsoft el mes pasado.
En mayo, el paquete durabletask en PyPi fue infectado con versiones maliciosas que incluían infostealers diseñados para robar secretos en la nube y configuraciones de herramientas en sistemas Linux. La persistencia del ataque revela que los tokens asociados a la cuenta comprometida no se renovaron adecuadamente, permitiendo a los atacantes acceder nuevamente a GitHub y distribuir código malicioso.
El gusano Miasma se considera una variante de Mini Shai Hulud, un malware que ha atacado previamente repositorios del registro npm y paquetes de Red Hat. El grupo de ciberdelincuentes TeamPCP, que desarrolló Mini Shai Hulud y liberó su código fuente, podría estar detrás o no de esta nueva amenaza.
Dos días antes de la infección en Microsoft, Miasma causó daños en npm, comprometiendo más de 50 paquetes, incluido un SDK muy popular con más de 400.000 descargas mensuales.
Microsoft no ha ofrecido declaraciones inmediatas respecto a este incidente.
