El 5 de junio, **Microsoft** tomó medidas decisivas, eliminando 73 repositorios de sus organizaciones **Azure**, **microsoft**, **Azure-Samples** y **MicrosoftDocs** en **GitHub**. Este incidente, contenido en tan solo 105 segundos, fue provocado por el descubrimiento de "contenido potencialmente malicioso" dentro de estos repositorios. ### La Conexión Miasma/Shai-Hulud Investigadores de seguridad vincularon rápidamente el compromiso con una campaña en curso de la cadena de suministro conocida como **Miasma** o **Shai-Hulud**. Este sofisticado vector de ataque se dirige a los ecosistemas de código abierto, con un enfoque particular en el robo de credenciales de desarrolladores. La plataforma **OpenSourceMalware** planteó preocupaciones, señalando un compromiso previo en mayo que involucraba el repositorio 'durabletask' dentro de la organización Azure de Microsoft. Esto sugiere una posible limpieza incompleta que permitió al actor de la amenaza regresar. ### Impacto Inmediato y Resolución Durante el incidente, el personal de GitHub mostró un mensaje indicando que los repositorios fueron eliminados debido a una "violación de los términos de servicio de GitHub". Un representante de Microsoft aclaró más tarde que la deshabilitación se debió a un "problema de gestión interna" y que se estaba llevando a cabo una investigación. La consecuencia inmediata más notable fue la interrupción de las canalizaciones de integración continua, afectando específicamente a la Acción de GitHub 'Azure/functions-action'. Los desarrolladores que dependían de esta acción para implementar **Azure Functions** experimentaron interrupciones y confusión a medida que los flujos de trabajo fallaban. Afortunadamente, todos los repositorios afectados han sido restaurados y se consideran limpios y seguros para su uso. Microsoft también ha notificado a un pequeño número de clientes que pueden haber descargado contenido de los repositorios comprometidos, prometiendo comunicación adicional si se requiere alguna acción adicional. ### Una Campaña Más Amplia El incidente del 5 de junio no está aislado. La campaña Miasma ha afectado previamente a **Red Hat**, comprometiendo 32 de sus paquetes npm. **Cloudsmith**, una empresa de gestión de la cadena de suministro de software, concluyó en un informe reciente que el entorno Azure de Microsoft en GitHub y el repositorio 'durabletask' fueron atacados a través de Miasma. Según se informa, el ataque aprovechó la cuenta de GitHub de un empleado comprometido de Red Hat para inyectar flujos de trabajo maliciosos, solicitando **tokens OIDC de GitHub**. Esto permitió al atacante pivotar de los paquetes npm de Red Hat a los recursos de GitHub de Microsoft. El ataque **Shai-Hulud**, una variante de esta campaña, también fue detectado recientemente por **Socket**, apuntando a 19 paquetes **PyPI** centrados en la ciencia a través de un nuevo mecanismo de entrega. **StepSecurity** también informó de un ataque Shai-Hulud que afectó a **Pythagora-io/gpt-pilot**, una popular herramienta de desarrollador de IA de código abierto. ### Mitigando Riesgos de la Cadena de Suministro A la luz de estas amenazas continuas, se recomienda encarecidamente a los desarrolladores de software que mejoren sus posturas de seguridad. Las recomendaciones clave incluyen: * **Bloquear las dependencias del proyecto:** Fijar las dependencias a versiones específicas puede evitar actualizaciones maliciosas inesperadas. * **Implementar retrasos de varios días:** Introducir retrasos para la obtención de nuevas actualizaciones de paquetes permite una revisión más exhaustiva. * **Probar nuevas compilaciones en entornos aislados:** Aislar las nuevas compilaciones puede evitar que el código malicioso afecte a los sistemas de producción. Estas medidas son cruciales para protegerse contra el panorama cambiante de los ataques a la cadena de suministro dirigidos a los ecosistemas de código abierto.