Em 5 de junho, a **Microsoft** tomou uma ação decisiva, removendo 73 repositórios de suas organizações **Azure**, **microsoft**, **Azure-Samples** e **MicrosoftDocs** no **GitHub**. Este incidente, contido em meros 105 segundos, foi motivado pela descoberta de "potencial conteúdo malicioso" dentro desses repositórios. ### A Conexão Miasma/Shai-Hulud Pesquisadores de segurança rapidamente ligaram o comprometimento a uma campanha contínua de cadeia de suprimentos conhecida como **Miasma** ou **Shai-Hulud**. Este vetor de ataque sofisticado visa ecossistemas open-source, com foco particular no roubo de credenciais de desenvolvedores. Preocupações foram levantadas pela plataforma **OpenSourceMalware**, que notou um comprometimento anterior em maio envolvendo o repositório 'durabletask' dentro da organização Azure da Microsoft. Isso sugere uma potencial limpeza incompleta que permitiu ao ator de ameaça retornar. ### Impacto Imediato e Resolução Durante o incidente, a equipe do GitHub exibiu uma mensagem indicando que os repositórios foram removidos devido a uma "violação dos termos de serviço do GitHub". Um representante da Microsoft esclareceu posteriormente que a desativação ocorreu devido a um "problema de gerenciamento interno" e que uma investigação estava em andamento. A consequência imediata mais notável foi a interrupção de pipelines de integração contínua, impactando especificamente o GitHub Action 'Azure/functions-action'. Desenvolvedores que dependiam dessa ação para implantar **Azure Functions** experimentaram interrupções e confusão à medida que os fluxos de trabalho falhavam. Felizmente, todos os repositórios afetados foram restaurados desde então e são considerados limpos e seguros para uso. A Microsoft também notificou um pequeno número de clientes que podem ter baixado conteúdo dos repositórios comprometidos, prometendo comunicação adicional caso ações adicionais sejam necessárias. ### Uma Campanha Mais Ampla O incidente de 5 de junho não é isolado. A campanha Miasma já impactou a **Red Hat**, comprometendo 32 de seus pacotes npm. A **Cloudsmith**, uma empresa de gerenciamento de cadeia de suprimentos de software, concluiu em um relatório recente que o ambiente Azure da Microsoft no GitHub e o repositório 'durabletask' foram alvos via Miasma. O ataque teria explorado uma conta GitHub comprometida de um funcionário da Red Hat para injetar fluxos de trabalho maliciosos, solicitando **tokens OIDC do GitHub**. Isso permitiu ao atacante fazer um pivô dos pacotes npm da Red Hat para os recursos GitHub da Microsoft. O ataque **Shai-Hulud**, uma variante desta campanha, também foi recentemente detectado pela **Socket**, visando 19 pacotes **PyPI** focados em ciência através de um novo mecanismo de entrega. A **StepSecurity** também relatou um ataque Shai-Hulud impactando **Pythagora-io/gpt-pilot**, uma popular ferramenta de desenvolvedor de IA open-source. ### Mitigando Riscos da Cadeia de Suprimentos Diante dessas ameaças contínuas, desenvolvedores de software são fortemente aconselhados a aprimorar suas posturas de segurança. Recomendações-chave incluem: * **Bloqueio de dependências de projeto:** Fixar dependências em versões específicas pode prevenir atualizações maliciosas inesperadas. * **Implementação de atrasos de tempo de vários dias:** Introduzir atrasos para buscar novas atualizações de pacotes permite uma revisão mais completa. * **Testar novas compilações em ambientes isolados:** Sandboxing de novas compilações pode impedir que código malicioso afete sistemas de produção. Essas medidas são cruciais para proteger contra o cenário em evolução de ataques à cadeia de suprimentos que visam ecossistemas open-source.