Miasma-Wurm: Supply-Chain-Angriff infiziert 73 Microsoft-Repositories

Juni 2026 insgesamt 73 GitHub-Repositories von Microsoft infiziert. Die als „Miasma" bezeichnete Schadsoftware verbreitete sich selbstständig und traf unter anderem die offiziellen Projekte Azure, Azure-Samples und MicrosoftDocs. GitHub reagierte blitzschnell und sperrte die betroffenen Repositories innerhalb von 105 Sekunden nach der Entdeckung.

So funktioniert der Angriff

Sicherheitsforscher identifizierten den Miasma-Wurm als Weiterentwicklung des Mini-Shai-Hulud-Wurms, der erstmals im Mai 2026 auftauchte und der Gruppe TeamPCP zugeschrieben wird. Die Angreifer gelangten über kompromittierte Contributor-Zugänge in die Microsoft-Repositories – vermutlich ein Erbe eines früheren Sicherheitsvorfalls mit dem PyPI-Paket durabletask im Frühjahr.

Anzeige: Der Miasma-Wurm infizierte 73 Microsoft-Repositories – und nutzt KI-Tools als Einfallstor für Credential-Harvesting. Dieser Report zeigt Ihnen, wie Sie die Malware erkennen, Secrets rotieren und Ihre Entwicklungsumgebung absichern. Jetzt kostenlosen Notfall-Report anfordern

Die Schadsoftware injizierte einen bösartigen JavaScript-Code zwischen 4,3 und 4,6 Megabyte Größe in Projekte wie azure-search-openai-demo, durabletask und windows-driver-docs. Um der Entdeckung zu entgehen, datierten die Angreifer ihre Commits auf das Jahr 2020 zurück und markierten sie mit speziellen Flags, die automatische CI-Prüfungen umgehen.

Besonders perfide: Der Schadcode aktivierte sich erst, wenn Entwickler die Repositories mit KI-gestützten Tools öffneten. Betroffen waren Claude Code, Gemini CLI, Cursor und VS Code. Auch bei standardmäßigen npm-Testverfahren wurde die Malware ausgelöst.

Was der Wurm im System anrichtet

Einmal aktiv, entpuppt sich Miasma als hoch effizienter Credential-Harvester. Er zielt auf sensible Authentifizierungsdaten der großen Cloud-Anbieter AWS, Azure und Google Cloud Platform sowie auf Kubernetes-Zugänge. Auch Tokens für npm, GitHub und über 90 weitere Entwickler-Tools stehen im Fadenkreuz.

Doch damit nicht genug: Der Wurm besitzt Selbstreplikationsfähigkeiten. Mit gestohlenen Zugangsdaten legt er neue Repositories an oder veröffentlicht kompromittierte Pakete neu. Sicherheitsforscher entdeckten Dutzende neuer Repositories mit Namen wie „Miasma: The Spreading Blight" und „Hades - The End for the Damned".

Eine Serie von Supply-Chain-Angriffen

Der Microsoft-Vorfall ist nur die Spitze des Eisbergs. Bereits am 1. Juni 2026 traf die gleiche Kampagne Red Hat: Ein kompromittierter Mitarbeiter-Zugang infizierte 32 npm-Pakete unter der @redhat-cloud-services-Kennung. Insgesamt 96 kompromittierte Paketversionen mit wöchentlich 80.000 bis 117.000 Downloads waren die Folge.

Anzeige: KI-gestützte Entwicklungsumgebungen wie Claude Code und Cursor sind das neue Einfallstor für Supply-Chain-Angriffe. Der Miasma-Wurm beweist: Vertrauenswürdige Repositories allein schützen nicht. Dieser Leitfaden liefert eine Sicherheits-Checkliste für Ihre CI/CD-Pipeline und konkrete Schritte zur Secrets-Rotation. Sicherheits-Leitfaden jetzt sichern

Nur zwei Tage später, am 3. Juni, griff der Wurm die Repositories eines langjährigen GitHub-Contributors an. Hier schob die Malware einen unsignierten Commit unter, der einen GitHub-Actions-Bot vortäuschte.

Sicherheitsexperten betonen, dass die Kampagne gezielt die Vertrauensmechanismen in Projektkonfigurationsdateien ausnutzt. Indem die Angreifer bösartige Anweisungen in Dateien wie settings.json oder tasks.json verstecken, läuft die Malware automatisch, sobald ein vertrauenswürdiges Projekt in einem KI-integrierten Editor geöffnet wird.

Entwickler sollten lokale Kopien ihrer Repositories auf ungewöhnliche Konfigurationsdateien in versteckten Verzeichnissen prüfen und alle Secrets rotieren, die in Umgebungen mit Zugriff auf diese Repositories verwendet wurden.

de | wissenschaft | 69495744 |