Uma nova campanha de supply chain atingiu repositórios da Microsoft no GitHub e levou a plataforma a desativar 73 projetos. A remoção ocorreu após a identificação de conteúdo potencialmente malicioso inserido em códigos usados por desenvolvedores, especialmente em fluxos relacionados a ferramentas de IA e automação de deployment.

O que aconteceu

Segundo o BleepingComputer, os repositórios foram desativados depois que a Microsoft identificou a presença de código associado a um information stealer.

A conta que realizou um commit infectado para os repositórios é a mesma que foi usada no ataque PyPI em 19 de maio. A cadeia de eventos foi associada à campanha Miasma, ligada a supply chain e roubo de credenciais. O padrão observado inclui abuso de repositórios confiáveis para distribuir código que se comporta de forma diferente quando aberto em ambientes de desenvolvimento com suporte a IA.

Como a ameaça funciona

O StepSecurity descreve que o ataque é acionado quando o desenvolvedor abre o repositório em ferramentas como Claude Code, Gemini CLI, Cursor ou VS Code. Nesse modelo, o editor e os agentes de IA passam a fazer parte da superfície de execução do código malicioso.

No caso do VS Code, a abertura do repositório podia disparar a execução do arquivo .vscode/tasks.json, com a tarefa configurada para rodar automaticamente ao abrir a pasta:

{
  "version": "2.0.0",
  "tasks": [
    {
      "label": "Setup",
      "type": "shell",
      "command": "node .github/setup.js",
      "runOptions": { "runOn": "folderOpen" }
    }
  ]
}

Esse fluxo executa o arquivo setup.js, descrito como payload stealer com objetivo de roubar dados do usuário. Esses arquivos não chamam atenção de imediato porque fazem parte da estrutura normal de muitos projetos, mas podem carregar hooks e instruções que disparam scripts no momento em que o repositório é aberto. O payload descrito nas análises é voltado para captura de credenciais, tokens e segredos armazenados no ambiente do desenvolvedor.

Impacto e resposta

O BleepingComputer [3] observou que a suspensão dos repositórios afetou também pipelines de integração contínua, o que amplia o impacto para além do código em si. Quando um repositório usado em automação precisa ser retirado do ar, a interrupção atinge build, deploy e integrações dependentes daquela origem.

O caso também mostra como arquivos de configuração ligados a agentes de IA passaram a funcionar como ponto de entrada para ataques. Em vez de explorar apenas o gerenciador de pacotes, o atacante usa a abertura do projeto como gatilho, o que muda o comportamento esperado de ferramentas que normalmente são vistas como passivas.

Outro ponto relevante é que a Microsoft foi atingida em repositórios ligados a Azure e documentação oficial, ou seja, em ativos que costumam ser tratados como confiáveis por padrão. Esse tipo de comprometimento tende a se espalhar de forma mais rápida porque o ecossistema já parte da premissa de que o conteúdo mantido por esses repositórios é seguro.

O StepSecurity aponta que o incidente faz parte de uma campanha maior por ser uma continuação do ataque ocorrido em 19 de maio, com o mesmo padrão de conta comprometida, commit malicioso e gatilho em ferramentas de IA ao abrir o repositório. O foco permanece em exfiltração de segredos em ambientes de desenvolvimento modernos, onde a simples abertura do projeto pode acionar o payload.

Recomendações

Se algum ambiente interno acessou algum dos repositórios infectados, encontrados nestes links [2] [5], ou um repositório aberto recentemente possui o mesmo payload stealer, o caminho mais seguro é tratar a máquina como exposta. Isso inclui rotação de senhas, revogação de tokens, troca de chaves de API e revisão de credenciais de nuvem que estivessem presentes no host.

Também vale revisar o uso de arquivos de configuração e automação em repositórios internos, especialmente aqueles associados a ferramentas de IA, para evitar que mecanismos semelhantes sejam usados como vetor de execução. Em ambientes críticos, dependências e ações sensíveis devem ser fixadas por versão e auditadas com mais rigor.

Referências

• [1] The Hacker News: Microsoft Restores Some GitHub Repos, Keeps Others Offline as Miasma Probe Continues. Acesso em: 10 jun. 2026.
• [2] StepSecurity: Miasma Worm Hits Microsoft Again: Azure Functions Action and 72 Other Repositories Disabled After Supply Chain Attack Targeting AI Coding Agents. Acesso em: 10 jun. 2026.
• [3] BleepingComputer: GitHub disables Microsoft repos pushing password-stealing malware. Acesso em: 10 jun. 2026.
• [4] GitHub action Azure/functions-action down. Acesso em: 10 jun. 2026.
• [5] Miasma npm Supply Chain Attack: Self-Spreading Worm via Phantom Gyp. Acesso em: 10 jun. 2026.