O GitHub desativou temporariamente 73 repositórios oficiais da Microsoft após identificar sinais de comprometimento causados pelo worm Miasma. O incidente, detectado em 5 de junho, envolveu a inserção de arquivos maliciosos em projetos mantidos pela empresa e acendeu um alerta sobre os riscos cada vez maiores para a cadeia de suprimentos de software.
A medida impactou diretamente repositórios ligados aos projetos Azure e Durable Task, interrompendo processos automatizados que dependiam desses códigos para funcionar.
Ataque utilizou atualização aparentemente legítima
A invasão começou quando um criminoso utilizou as credenciais de uma conta de colaborador previamente comprometida para enviar uma atualização ao repositório Azure/durabletask.
Em vez de modificar diretamente o código-fonte da aplicação, o invasor adicionou cinco arquivos de configuração utilizados por ferramentas modernas de desenvolvimento assistidas por inteligência artificial. Entre elas estavam soluções como Claude Code, Gemini CLI, Cursor e Visual Studio Code.
Esses arquivos eram executados automaticamente quando o projeto era aberto pelo desenvolvedor. Como resultado, um programa malicioso de aproximadamente 4,6 MB era iniciado silenciosamente em segundo plano, sem qualquer alerta visível para a vítima.
Malware roubava credenciais críticas
Após a execução, o malware passava a coletar informações sensíveis armazenadas no computador do desenvolvedor.
Entre os dados visados estavam:
- Credenciais de serviços AWS, Azure e Google Cloud;
- Tokens de autenticação do GitHub;
- Chaves SSH;
- Variáveis de ambiente contendo senhas e segredos de acesso;
- Histórico de comandos executados no terminal.
Essas informações podem permitir que criminosos acessem servidores corporativos, bancos de dados e ambientes internos utilizando as permissões legítimas do desenvolvedor comprometido.
Falha pode estar ligada a incidente anterior
Segundo as análises, a mesma conta utilizada neste ataque já havia sido comprometida em maio de 2026.
Na ocasião, versões maliciosas do pacote durabletask foram publicadas no PyPI, principal repositório de pacotes da linguagem Python. Os arquivos distribuíam malware para desenvolvedores que realizavam instalações automáticas.
O pacote afetado possui mais de 400 mil downloads mensais, tornando-o um alvo especialmente atrativo para ataques de larga escala.
Especialistas acreditam que as credenciais associadas à conta comprometida podem não ter sido totalmente revogadas após o incidente anterior, permitindo que o invasor reutilizasse o mesmo acesso semanas depois.
Serviços automatizados foram interrompidos
Entre os repositórios afetados estava o Azure/functions-action, amplamente utilizado por equipes de desenvolvimento para automatizar implantações de aplicações na nuvem da Microsoft.
Com a suspensão dos projetos pelo GitHub, diversos pipelines de integração e entrega contínua deixaram de funcionar temporariamente, afetando empresas e desenvolvedores que dependiam dessas ferramentas.
Quem está por trás do ataque?
O grupo TeamPCP assumiu anteriormente a autoria do Mini Shai-Hulud, worm considerado precursor do Miasma.
A organização criminosa já esteve envolvida em diversos ataques contra projetos de código aberto ao longo de 2025 e 2026, atingindo empresas de inteligência artificial, bibliotecas de desenvolvimento e centenas de pacotes distribuídos por repositórios públicos.
No entanto, como o código do Mini Shai-Hulud foi disponibilizado publicamente, ainda não é possível afirmar com certeza se o Miasma foi desenvolvido pelo próprio grupo ou por outros agentes que aproveitaram a tecnologia já existente.
O que os desenvolvedores devem fazer
Especialistas recomendam que qualquer profissional que tenha clonado os repositórios afetados e aberto os projetos em ferramentas de IA após 2 de junho trate o sistema como potencialmente comprometido.
As medidas recomendadas incluem:
- Rotacionar imediatamente todas as credenciais armazenadas na máquina;
- Revogar tokens de acesso e chaves SSH;
- Alterar senhas de serviços corporativos;
- Revisar logs de autenticação em ambientes de nuvem;
- Executar uma análise completa de segurança no dispositivo.
Além disso, é importante monitorar repositórios utilizados pela equipe em busca de arquivos suspeitos, especialmente diretórios como .claude, .gemini e configurações dentro da pasta .vscode.
Cadeia de suprimentos de software segue na mira dos criminosos
O caso reforça uma tendência preocupante observada nos últimos anos: ataques direcionados à cadeia de suprimentos de software.
Em vez de atacar diretamente uma empresa, criminosos comprometem bibliotecas, pacotes e repositórios utilizados por milhares de organizações. Dessa forma, conseguem distribuir malware para um grande número de vítimas utilizando canais legítimos e amplamente confiáveis.
À medida que ferramentas de desenvolvimento baseadas em inteligência artificial se tornam mais populares, especialistas alertam que novos vetores de ataque devem surgir, exigindo maior atenção de empresas e desenvolvedores na validação de códigos e configurações antes de sua execução.
