Miasma-Wurm befällt 73 Microsoft GitHub-Repositorys und zielt mit KI-Coding-Tools auf Entwickler ab

Der Miasma-Supply-Chain-Wurm erreichte am 5. Juni 2026 die GitHub-Infrastruktur von Microsoft und kompromittierte 73 Repositorys in vier Microsoft GitHub-Organisationen – Azure, Azure-Samples, Microsoft und MicrosoftDocs – bevor die automatischen Erkennungssysteme von GitHub die betroffenen Repositorys innerhalb von etwa 105 Sekunden deaktivierten. Der Vorfall ist der jüngste in einer laufenden Miasma-Kampagne, die nun innerhalb von sechs Wochen PyPI-Pakete, Red-Hat-npm-Pakete und Microsofts eigene Open-Source-Repository-Infrastruktur ins Visier genommen hat, wie The Hacker News und die Sicherheitsfirma StepSecurity berichten.

Der Angriffsvektor war ein bösartiger Commit, der unter Verwendung eines zuvor kompromittierten Mitwirkendenkontos in das Repository Azure/durabletask gepusht wurde. Der Commit führte Konfigurationsdateien ein, die speziell dafür entwickelt wurden, eine Credential-Harvesting-Payload auszuführen, wenn ein Entwickler das Repository in KI-gestützten Coding-Tools öffnet – darunter Claude Code, Gemini CLI, Cursor und VS Code mit bestimmten KI-Erweiterungen. Nach der Auslösung stiehlt die Payload Authentifizierungsdaten für AWS, Azure, Google Cloud, Kubernetes, npm und GitHub und verwendet diese Anmeldeinformationen dann, um den Wurm auf andere Repositorys zu verbreiten, die von den kompromittierten Konten aus zugänglich sind.

The durabletask Repository at the Center

Das Repository Azure/durabletask ist bedeutsam, da es die Wurzel des Ökosystems des Durable Task Framework von Microsoft darstellt – eine weit verbreitete Orchestrierungsbibliothek zum Erstellen zuverlässiger, zustandsbehafteter Workflows in .NET, Go, JavaScript und anderen Laufzeiten. Azure Functions, ein wichtiger Microsoft-Cloud-Dienst, ist von diesem Ökosystem abhängig. Der Sicherheitsforscher Paul McCarty, der unter dem Handle 6mile bekannt ist, wies auf das Ausmaß der Kaskade hin: Nicht nur das Stamm-Repository Azure/durabletask wurde deaktiviert, sondern auch alle Schwester-Repositorys im Durable-Task-Ökosystem wurden offline genommen, darunter durabletask-dotnet, durabletask-go, durabletask-js, durabletask-mssql und der Durable Functions Monitor.

Das gleiche PyPI-Paket durabletask wurde von TeamPCP bei einem separaten Angriff am 19. Mai 2026 kompromittiert, bei dem das Paket mit einem Information-Stealer infiziert wurde, der auf Linux-Systeme abzielt. Die Wiederverwendung desselben Repositorys als Reinfektionsvektor einen Monat später deutet darauf hin, dass TeamPCP gezielt das Ökosystem ausgekundschaftet hat und durabletask als einen hochwertigen Verbreitungsknoten mit breiter nachgelagerter Installationsreichweite identifiziert hat.

The Miasma Campaign

Miasma ist eine Variante des Mini-Shai-Hulud-Wurms, der ursprünglich von der Bedrohungsgruppe TeamPCP entwickelt wurde. Die Kampagne durchlief im Jahr 2026 drei verschiedene Wellen:

Am 1. Juni infizierte Miasma 32 Red-Hat-npm-Pakete in einer Credential-Theft-Kampagne, die von Wiz und SOC Prime dokumentiert wurde. Am 19. Mai infizierte dasselbe kompromittierte Mitwirkendenkonto das durabletask-PyPI-Paket mit einem Information-Stealer für Linux. Am 5. Juni erreichte der Wurm die GitHub-Repositorys von Microsoft und erweiterte den Umfang der Kampagne auf eines der am weitesten verbreiteten Enterprise-Open-Source-Ökosysteme der Welt.

Was Miasma von herkömmlichen Supply-Chain-Angriffen unterscheidet, ist sein selbstreplizierender Mechanismus: Anstatt dass der Bedrohungsakteur jedes Ziel manuell kompromittieren muss, verwendet der Wurm gestohlene Anmeldeinformationen von einem Opfer, um zusätzliche Repositorys zu identifizieren und zu infizieren. Die Verbreitung erfolgt automatisch, weshalb das 105-Sekunden-Reaktionsfenster von GitHub – obwohl schnell – dennoch dazu führte, dass vor der Eindämmung 73 Repositorys kompromittiert wurden.

The AI Coding Tool Attack Surface

Die Verwendung von Konfigurationsdateien für KI-Coding-Tools als Payload-Trigger stellt eine bemerkenswerte Weiterentwicklung der Supply-Chain-Angriffstechnik dar. Wenn Entwickler ein Repository in Claude Code, Cursor, Gemini CLI oder ähnlichen Tools öffnen, lesen diese Tools häufig automatisch Konfigurationsdateien aus dem Repository, um einen Kontext einzurichten – projektspezifische Prompts, Tool-Konfigurationen oder Umgebungseinstellungen. Die bösartigen Commits von Miasma fügten Konfigurationsdateien ein, die diesen vertrauenswürdigen Ausführungskontext missbrauchen, um die Credential-Harvesting-Payload ohne explizite Benutzerinteraktion auszuführen. Der Entwickler öffnet einfach das Repository und die Payload wird ausgeführt, bevor er irgendeinen Code sieht.

Diese Technik ist gerade deshalb effektiv, weil KI-Coding-Tools darauf ausgelegt sind, hilfreich und proaktiv zu sein – sie lesen Repository-Konfigurationsdateien, um dem Entwickler besser dienen zu können, und dieses Verhalten wird zu einem Auslieferungsmechanismus, sobald ein Repository kompromittiert ist. Entwickler, die eines der 73 betroffenen Microsoft-Repositorys zwischen dem Zeitpunkt des Commits und dem Eindämmungsfenster von GitHub in einer KI-unterstützten Programmierumgebung geöffnet haben, sollten ihre Cloud-Anmeldeinformationen überprüfen und alle Tokens oder Secrets rotieren, die auf dem Entwicklungsrechner zugänglich gewesen sein könnten.

Immediate Actions

Für Entwickler, die am 5. Juni mit einem der betroffenen Repositorys gearbeitet haben: Rotieren Sie alle Cloud-Anmeldeinformationen (AWS, Azure, GCP, Kubernetes-Dienstkonten), widerrufen und regenerieren Sie npm-Zugriffstokens und überprüfen Sie persönliche GitHub-Zugriffstokens auf unbefugte Aktivitäten. Für Organisationen, die vom Durable Task Framework abhängig sind: Verifizieren Sie, dass alle im Zeitfenster vom 5. Juni installierten Pakete mit den erwarteten Prüfsummen übereinstimmen, und überwachen Sie auf ungewöhnliche ausgehende Verbindungen von Build-Systemen.

Die weitergehende Lehre aus der Entwicklung von Miasma ist, dass KI-Coding-Tools eine neue Angriffsfläche in der Software-Lieferkette eingeführt haben, die die Sicherheitsgemeinschaft noch immer kartiert. Repository-Konfigurationsdateien, die automatisch in vertrauenswürdigen Tool-Kontexten ausgeführt werden, sind ein Vektor, der explizite Sicherheitsrichtlinien erfordert – sowohl auf Tool-Ebene (Verifizierung vor Ausführung entfernter Konfiguration) als auch auf Organisationsebene (Überwachung auf unerwartete Konfigurationsdateien in vertrauenswürdigen Repositorys).