Ông lớn công nghệ Redmond đã bắt đầu khôi phục một số kho lưu trữ trong khi đang điều tra cách tin tặc xâm nhập được vào 73 kho lưu trữ GitHub.
Chiến dịch phần mềm độc hại tự nhân bản mang tên Miasma đã gây chấn động cộng đồng mã nguồn mở. Có thông tin cho rằng gần 73 kho lưu trữ GitHub của Microsoft đã bị nhiễm virus này và phải tạm thời ngừng hoạt động để xác định cách thức tin tặc xâm nhập các dự án và cài đặt phần mềm độc hại đánh cắp mật khẩu vào mã nguồn.
Các kho lưu trữ GitHub này trải rộng trên nhiều nền tảng khác nhau, bao gồm Microsoft Azure, Azure-Samples, Microsoft và MicrosoftDocs. Phần mềm độc hại cho phép kẻ tấn công đánh cắp mật khẩu và thông tin đăng nhập khi các công cụ bị xâm phạm được mở trong các ứng dụng lập trình AI phổ biến, bao gồm Claude Code, Gemini CLI, VS Code và Cursor.
Công ty bảo mật Cloudsmith, trang phân tích phần mềm độc hại OpenSourceMalware và 404 Media là một trong những đơn vị đầu tiên đưa tin về vụ tấn công. Để hiểu rõ hơn, Miasma là một biến thể của virus Mini Shai-Hulud, được nhóm tin tặc TeamPCP công khai mã nguồn. Nó bắt đầu bằng cách xâm nhập tài khoản GitHub của một nhân viên Red Hat để tấn công tên npm @redhat-cloud-services.
Đầu tháng này, Microsoft Threat Intelligence báo cáo rằng những kẻ tấn công Miasma đã phát hành 32 gói độc hại trên hơn 90 phiên bản thuộc phạm vi npm @redhat-cloud-services để đánh cắp thông tin đăng nhập đám mây.
Virus nhanh chóng bắt đầu tấn công trực tiếp vào các kho mã nguồn thay vì các kho gói phần mềm. Nó được biết đến là bỏ qua hoàn toàn kho npm đối với một số mục tiêu và cài đặt mã độc trực tiếp vào các kho công khai như “icflorescu/mantine-datatable”. Phương pháp phát tán này được thiết kế để biến các công cụ lập trình AI thành vũ khí.
Mã độc của Miasma được nhúng vào các dự án có thể kích hoạt việc thực thi mã tự động khi kho bị nhiễm được mở trong một công cụ lập trình AI hoặc IDE. Danh sách các dự án bị ảnh hưởng bao gồm “durabletask”, một gói Python đã bị TeamPCP xâm nhập một tháng trước đó để phát tán phần mềm đánh cắp thông tin được thiết kế cho hệ thống Linux.
Microsoft sẽ tiếp tục điều tra vụ tấn công. Công ty đã thông báo cho một số ít khách hàng có thể đã xóa nội dung của họ khỏi các kho lưu trữ bị ảnh hưởng. Công ty sẽ liên hệ lại với khách hàng thông qua các kênh hỗ trợ đã thiết lập “nếu phát hiện thêm bất kỳ điều gì cần khách hàng thực hiện”.