){kind=link}
O GitHub desativou 73 repositórios oficiais da Microsoft no dia 5 de junho, após detectar sinais de um ataque do worm Miasma nas organizações Azure e Durable Task da empresa. A ação foi desencadeada por uma atualização de código maliciosa, que plantou arquivos capazes de roubar credenciais de desenvolvedores apenas ao abrir o código em ferramentas como Claude Code, Gemini CLI, Cursor e VS Code.
Um repositório é basicamente uma pasta online onde empresas guardam o código dos seus softwares. Quando uma empresa de tecnologia ou um desenvolvedor precisa usar um determinado software, ele acessa esse repositório para baixar o código. A desativação de tantos repositórios da Microsoft de uma vez é algo sem precedentes. Em outras palavras, isso significa que qualquer ferramenta ou processo automatizado que dependia desses códigos parou de funcionar imediatamente.
smart_display
Nossos vídeos em destaque
Como o ataque aconteceu
Um criminoso usou as credenciais de uma conta de colaborador já comprometida para enviar um commit ao repositório Azure/durabletask. Um commit é basicamente uma atualização de código, algo rotineiro no desenvolvimento de software.
O que havia de errado nesse commit não era o código em si. Em vez de modificar arquivos de programação, o atacante adicionou cinco arquivos de configuração que as ferramentas de desenvolvimento executam automaticamente ao abrir o repositório. O resultado era sempre um programa malicioso de 4,6 MB rodava em segundo plano, sem qualquer aviso ao desenvolvedor.
O que o malware fazia com as informações roubadas
O programa roubava credenciais de acesso a serviços de nuvem como AWS, Azure e Google Cloud, tokens do GitHub, chaves SSH e senhas armazenadas em variáveis de ambiente e histórico do terminal. Isso porque um desenvolvedor normalmente tem acesso a sistemas críticos da empresa onde trabalha.
Com essas credenciais, um atacante pode acessar servidores, bancos de dados e sistemas internos como se fosse o próprio desenvolvedor.
)
Esse ataque foi possível porque a mesma conta comprometida já havia sido usada num ataque anterior, em maio. Na época, três versões maliciosas do pacote durabletask foram publicadas no PyPI, repositório oficial de pacotes da linguagem Python, com um malware embutido.
Um pacote do PyPI funciona como um aplicativo que desenvolvedores instalam para não precisar escrever do zero funcionalidades já existentes. O durabletask é baixado mais de 400 mil vezes por mês.
)
Aparentemente, a Microsoft não rotacionou completamente as credenciais da conta comprometida depois do incidente de maio. Isso permite concluir que o atacante simplesmente voltou a usar o mesmo acesso para executar o ataque de junho.
Efeitos imediatos para quem usa os serviços
O repositório Azure/functions-action foi um dos afetados. Ele é usado por desenvolvedores para publicar atualizações automáticas em sistemas que rodam na nuvem Azure. Com o repositório desativado, todos esses processos automatizados pararam de funcionar simultaneamente.
Um fórum de suporte da Microsoft recebeu mais de 20 relatos de pipelines quebrados em poucas horas.
){kind=logo}
Quem está por trás do ataque
O grupo TeamPCP assumiu a responsabilidade pelo desenvolvimento do Mini Shai-Hulud, worm antecessor do Miasma. O grupo tem um histórico de ataques a pacotes de código aberto em 2025 e 2026, com vítimas como Mistral AI, LiteLLM e centenas de pacotes npm.
O código do Mini Shai-Hulud foi publicado abertamente pelo grupo, o que torna difícil determinar se o Miasma foi desenvolvido pelo mesmo grupo ou por alguém que se aproveitou do código disponível.
O que desenvolvedores devem fazer
Qualquer desenvolvedor que tenha clonado repositórios afetados e os aberto em ferramentas de IA depois de 2 de junho deve considerar a máquina comprometida e rotacionar todas as credenciais armazenadas nela.
Para evitar situações parecidas, a recomendação é travar as versões dos pacotes utilizados e verificar se há commits suspeitos adicionando arquivos de configuração como .claude/, .gemini/ ou .vscode/tasks.json em repositórios que você utiliza.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.