● news.bsdnet.hu

A GitHub június 5-én összesen 73, Microsofthoz tartozó repositoryt tiltott le , miután a StepSecurity szerint a Miasma nevű supply chain worm rosszindulatú fájlokat juttatott több projektbe. A letiltás 105 másodperc alatt, két hullámban történt és többek között az Azure, az Azure-Samples, a Microsoft és a MicrosoftDocs szervezeteket érintette. A támadás valódi célja feltehetően nem a repositoryk megrongálása volt. A Microsoft projektjei terjesztési pontként szolgáltak a fejlesztői munkaállomások, AI coding agentek, IDE-k és CI/CD-környezetek eléréséhez. A rosszindulatú projektkonfigurációk fájlok bizonyos eszközökben már a repository megnyitásakor kódfuttatást válthattak ki. A payload elsődleges célja credentialök megszerzése lehetett. A Miasmához kapcsolt korábbi kampányok GitHub-, npm-, Azure-, AWS-, GCP-, Kubernetes-, HashiCorp Vault- és CI/CD-tokeneket, valamint fejlesztői eszközök konfigurációit keresték. A megszerzett jogosultságokkal a féreg további repositorykba és package registrykbe juthatott be, majd újabb hiteles projekteket használhatott fel a terjedéshez. A közvetlen hatád elsősorban rendelkezésre állási probléma volt. A letiltott repositorykra hivatkozó build- és deployment-folyamatok nem tudták feloldani függőségeiket. Különösen az Azure/functions-action kiesése okozott problémát, mert az Azure/functions-action@v1 Actiont használó workflow-k működésképtelenné váltak. A potenciális kár ennél lényegesen nagyobb. Egy ellopott publishing tokennel legitim npm- vagy PyPI-csomag fertőzött verziója adható ki. Egy kompromittált GitHub-token hozzáférést biztosíthat további source repositorykhoz, míg egy cloud credential segítségével a támadó belső erőforrásokhoz, adatbázisokhoz, secret store-okhoz és deployment-rendszerekhez juthat hozzá. A legrosszabb reális forgatókönyv egy széles körben használt Microsoft Action, SDK vagy csomag kompromittált kiadása lett volna. Ezt vállalatok ezreinek CI/CD-rendszerei automatikusan letölthették és futtathatták volna. Arra jelenleg nincs nyilvános bizonyíték, hogy a támadó ilyen fertőzött release-t publikált volna. A StepSecurity szerint a támadás az Azure/durabletask repositoryból indult, ahová egy kompromittált contributor-fiókkal került rosszindulatú commit. Ugyanez a projekt már májusban is érintett volt, amikor a durabletask PyPI-csomag három kártékony verzióját publikálták. A visszatérő kompromittálás arra utalhat, hogy az előző incidens után nem vontak vissza minden érintett tokent, bár ezt a Microsoft egyelőre nem erősítette meg. A jelenleg bizonyított kár tehát 73 repository ideiglenes kiesése és az ezekre épülő CI/CD-folyamatok meghibásodása. Az esetleges credential theft, oldalirányú mozgás és további supply chain fertőzések tényleges mértéke egyelőre nem ismert. A lényegi kérdés nem az, hogy meddig voltak elérhetetlenek a repositoryk, hanem az, hogy a féreg milyen credentialöket szerzett meg a letiltás előtt és ezeket hol használta fel. GitHub nukes 70+ Microsoft repos, breaks CI/CD pipelines, following suspected worm infections https://t.co/v6tR4UUowh — The Register (@TheRegister) June 8, 2026 (A cikk nyomokban Mesterséges Intelligencia által szolgáltatott adatokat tartalmaz, így a tartalmát érdemes duplán ellenőrizni!)