Am 5. Juni ergriff **Microsoft** entschlossene Maßnahmen und entfernte 73 Repositories aus seinen Organisationen **Azure**, **microsoft**, **Azure-Samples** und **MicrosoftDocs** auf **GitHub**. Dieser Vorfall, der innerhalb von nur 105 Sekunden eingedämmt wurde, wurde durch die Entdeckung von "potenziell bösartigem Inhalt" in diesen Repositories ausgelöst. ### Die Miasma/Shai-Hulud-Verbindung Sicherheitsforscher brachten den Kompromittierungsvorgang schnell mit einer laufenden Supply Chain-Kampagne namens **Miasma** oder **Shai-Hulud** in Verbindung. Dieser hochentwickelte Angriffsvektor zielt auf Open-Source-Ökosysteme ab, mit besonderem Fokus auf den Diebstahl von Entwickler-Anmeldeinformationen. Bedenken wurden von der **OpenSourceMalware**-Plattform geäußert, die eine frühere Kompromittierung im Mai mit dem Repository 'durabletask' innerhalb von Microsofts Azure-Organisation bemerkte. Dies deutet auf eine mögliche unvollständige Bereinigung hin, die es dem Bedrohungsakteur ermöglichte, zurückzukehren. ### Unmittelbare Auswirkungen und Lösung Während des Vorfalls zeigten GitHub-Mitarbeiter eine Nachricht an, die besagte, dass die Repositories aufgrund einer "Verletzung der Nutzungsbedingungen von GitHub" entfernt wurden. Ein Microsoft-Vertreter klärte später, dass die Deaktivierung auf ein "internes Managementproblem" zurückzuführen sei und eine Untersuchung im Gange sei. Die bemerkenswerteste unmittelbare Folge war die Störung von Continuous Integration-Pipelines, die insbesondere die GitHub Action 'Azure/functions-action' betraf. Entwickler, die auf diese Action zur Bereitstellung von **Azure Functions** angewiesen waren, erlebten Ausfälle und Verwirrung, da Workflows fehlschlugen. Glücklicherweise wurden alle betroffenen Repositories inzwischen wiederhergestellt und gelten als sauber und sicher für die Verwendung. Microsoft hat auch eine kleine Anzahl von Kunden benachrichtigt, die möglicherweise Inhalte aus den kompromittierten Repositories bezogen haben, und weitere Kommunikation versprochen, falls zusätzliche Maßnahmen erforderlich sind. ### Eine breitere Kampagne Der Vorfall vom 5. Juni ist kein Einzelfall. Die Miasma-Kampagne hat zuvor **Red Hat** beeinträchtigt und 32 seiner npm-Pakete kompromittiert. **Cloudsmith**, ein Unternehmen für Supply Chain Management von Software, kam in einem aktuellen Bericht zu dem Schluss, dass Microsofts Azure-Umgebung auf GitHub und das Repository 'durabletask' über Miasma angegriffen wurden. Der Angriff nutzte Berichten zufolge ein kompromittiertes GitHub-Konto eines Red Hat-Mitarbeiters, um bösartige Workflows einzuschleusen, die **GitHubs OIDC-Tokens** anforderten. Dies ermöglichte es dem Angreifer, von Red Hats npm-Paketen zu Microsofts GitHub-Ressourcen zu wechseln. Der Angriff **Shai-Hulud**, eine Variante dieser Kampagne, wurde kürzlich auch von **Socket** entdeckt und zielte über einen neuen Liefermechanismus auf 19 wissenschaftlich ausgerichtete **PyPI**-Pakete ab. **StepSecurity** berichtete ebenfalls über einen Shai-Hulud-Angriff, der **Pythagora-io/gpt-pilot**, ein beliebtes Open-Source-KI-Entwicklertool, beeinträchtigte. ### Risiken in der Lieferkette mindern Angesichts dieser anhaltenden Bedrohungen wird Entwicklern dringend empfohlen, ihre Sicherheitslage zu verbessern. Wichtige Empfehlungen sind: * **Abhängigkeiten von Projekten sperren:** Das Festlegen von Abhängigkeiten auf bestimmte Versionen kann unerwartete bösartige Updates verhindern. * **Einführung von mehrtägigen Zeitverzögerungen:** Das Einführen von Verzögerungen beim Abrufen neuer Paketaktualisierungen ermöglicht eine gründlichere Überprüfung. * **Neue Builds in isolierten Umgebungen testen:** Das Sandboxing neuer Builds kann verhindern, dass bösartiger Code Produktionssysteme beeinträchtigt. Diese Maßnahmen sind entscheidend für den Schutz vor der sich entwickelnden Landschaft von Supply Chain Attacks, die auf Open-Source-Ökosysteme abzielen.