GitHub-Angriff: Microsoft stoppt Malware in 105 Sekunden

Der Konzern reagierte blitzschnell.

Am 5. Juni 2026 schaltete GitHub 73 von Microsoft verwaltete Repositories ab – darunter Projekte aus den Bereichen Azure, MicrosoftDocs und Azure-Samples. Grund war ein Angriff der Gruppe TeamPCP, die Schadcode in offizielle Pakete eingeschleust hatte. Die Malware, ein sich selbst replizierender Wurm namens Miasma oder Shai-Hulud, zielte gezielt auf Entwickler ab, die moderne KI-Coding-Tools nutzen.

Der aktuelle Angriff auf Microsofts Ökosystem zeigt, wie verwundbar selbst Profi-Strukturen durch raffinierte Malware sind. Dieser kostenlose Experten-Report zeigt, wie Sie Ihren Windows-PC in wenigen Schritten effektiv vor Spionage-Programmen schützen. Gratis-Ratgeber: So machen Sie Ihren Rechner zur Festung

Rekordverdächtige Reaktionszeit

Die Sicherheitsmaßnahme erfolgte mit bemerkenswerter Geschwindigkeit: Innerhalb von 105 Sekunden nach Erkennung der Schadsoftware-Aktivität deaktivierten GitHub und Microsoft die betroffenen Repositories. Das verhinderte eine weitere Verbreitung des Wurms, der in kryptografisch verifizierte Pakete injiziert worden war.

Die Malware lauerte in KI-gestützten Entwicklungsumgebungen wie Claude Code, Gemini CLI, VS Code und Cursor. Sobald Entwickler die kompromittierten Tools oder Repositories öffneten, versuchte der Wurm, sensible Zugangsdaten zu stehlen – darunter Passwörter, API-Schlüssel und Login-Informationen für AWS, Azure, Google Cloud Platform und GitHub.

Wiederholter Angriff auf dieselbe Infrastruktur

Sicherheitsanalysten von Cloudsmith und OpenSourceMalware entdeckten den Einbruch und bezeichneten ihn als „Re-Kompromittierung" bestimmter Systeme. Das Repository „durabletask" im Azure-Organisationsbereich war bereits Mitte Mai 2026 Ziel eines Angriffs gewesen. Die Ermittler vermuten, dass die Angreifer von früheren Infektionen von Red-Hat-npm-Paketen aus auf Microsofts GitHub-Ressourcen umschwenkten.

Die Sicherheitsreaktion hatte auch unerwünschte Nebeneffekte: Die vorübergehende Deaktivierung der „Azure/functions-action"-GitHub-Action führte bei einigen Nutzern zu Serviceausfällen. Microsoft-Sprecher Ben Hope bestätigte die temporäre Entfernung der Repositories während der Untersuchung. Viele Projekte sind inzwischen wiederhergestellt und gelten als bereinigt, einige blieben jedoch zunächst offline.

Wenn Hacker gezielt Jagd auf Passwörter und Zugangsdaten machen, wird die herkömmliche Anmeldung zum Sicherheitsrisiko. Erfahren Sie in diesem kostenlosen Report, wie die neue Passkey-Technologie Ihre Konten schützt und Hackern keine Chance mehr lässt. Sichere Alternative zu Passwörtern jetzt gratis entdecken

TeamPCP: Eine neue Bedrohung

Die Sicherheitsforscher führen die Kampagne auf die Gruppe TeamPCP zurück, die auch unter den Namen PCPcat, DeadCatx3 und ShellForce bekannt ist. Die Gruppe, die seit Ende 2025 aktiv ist, nutzte nach Erkenntnissen der Ermittler ein kompromittiertes Mitwirkenden-Konto, um den Schadcode einzuschleusen.

Neben den GitHub-Aktivitäten veröffentlichte die Gruppe mehrere bösartige Versionen von Microsofts DurableTask-Paket auf dem Python Package Index (PyPI). Die Versionen 1.4.1, 1.4.2 und 1.4.3 enthielten eine Komponente, die darauf ausgelegt war, Zugangsdaten von Kubernetes, HashiCorp Vault und verschiedenen Passwortmanagern zu stehlen. Die Malware setzte zudem ausgeklügelte Persistenzmechanismen und alternative Kommunikationswege ein, um den Zugriff auf infizierte Systeme aufrechtzuerhalten.

Microsoft hat eine kleine Anzahl von Kunden benachrichtigt, die während des Angriffszeitraums möglicherweise schadhafte Inhalte bezogen haben. Das Unternehmen untersucht weiterhin, wie die Angreifer ursprünglich den Zugang erlangten, um die Malware in die offiziellen Open-Source-Ökosysteme einzuschleusen.

de | wissenschaft | 69510842 |