Ein Wurm tobt auf Github: 73 Microsoft-Projekte nach Supply-Chain-Angriff gesperrt

Der Supply-Chain-Angriff mit dem Miasma-Wurm, durch den erst kürzlich mehrere NPM-Pakete von Red Hat kompromittiert wurden, hat nun offenbar auch Microsoft erwischt. Wie Sicherheitsforscher von Opensourcemalware in einem Blogbeitrag(öffnet im neuen Fenster) schildern, nahm Github am 5. Juni innerhalb von weniger als zwei Minuten 73 Code-Repositorys Microsofts vom Netz, die wohl allesamt kompromittiert waren.

Die Repos gehören den Angaben zufolge zu vier von Microsoft verwalteten Github-Organisationen: Azure(öffnet im neuen Fenster), Azure-Samples(öffnet im neuen Fenster), Microsoft(öffnet im neuen Fenster) und Microsoftdocs(öffnet im neuen Fenster). Deaktiviert wurden sie wohl alle am 5. Juni gegen 18 Uhr deutscher Zeit. Betroffen sind unter anderem mehrere Azure-Tools und Komponenten des Durable-Task-Frameworks(öffnet im neuen Fenster).

Die meisten betroffenen Repos gehören zur Organisation Azure. Allein dort sollen es 49 Stück sein. Hinzu kommen 13 Repos von Azure-Samples, zehn von Microsoft und eines von Microsoftdocs. Eine vollständige Auflistung aller vom Netz genommenen und Microsoft zugeschriebenen Github-Repos ist im Beitrag von Opensourcemalware zu finden.

Wer versucht, eines der betroffenen Softwareprojekte auf Github aufzurufen(öffnet im neuen Fenster), erhält eine Meldung, dass das jeweilige Repository "aufgrund eines Verstoßes gegen die Nutzungsbedingungen von Github" gesperrt wurde. Laut einem Moderator in Microsofts Forum(öffnet im neuen Fenster) liegt die Ursache der Sperrung in einem "internen Verwaltungsproblem" begründet. Nähere Details dazu nannte er jedoch nicht.

Die Forscher von Opensourcemalware vermuteten hingegen, dass die Projekte von der jüngsten Angriffskampagne mit dem Wurm Miasma betroffen sind. Dazu passt auch der Umstand, dass die betroffenen Repos innerhalb eines sehr kurzen Zeitfensters offline genommen wurden. Dies deutet eher auf eine automatisierte Schutzmaßnahme als auf einen manuellen Eingriff hin.

Andere Sicherheitsforscher(öffnet im neuen Fenster), darunter jene von OX Security(öffnet im neuen Fenster), bestätigten die Verbindung zu der Miasma-Kampagne später auf X. Und auch Forscher von Safedep brachten in einem Blogbeitrag(öffnet im neuen Fenster) kürzlich erfolgte Änderungen in Microsofts Durable-Task-Repository mit beobachteten Miasma-Attacken in Verbindung.

Bei Miasma handelt es sich um eine Variante des von TeamPCP entwickelten Wurms Mini-Shai-Hulud, dessen Quellcode die berüchtigte Hackergruppe später veröffentlicht hat. Miasma nutzt automatisch kompromittierte Zugangsdaten aus, um Softwareprojekte zu