Microsoft-Attacke: 73 GitHub-Repos in 105 Sekunden gesperrt
10.06.2026 - 20:34:46 | boerse-global.de
Die Sicherheitsprotokolle des Konzerns liefen am 8. Juni auf Hochtouren – und deaktivierten innerhalb von nur 105 Sekunden 73 offizielle GitHub-Repositories.
Betroffen waren Projekte aus den Organisationen Azure, Azure-Samples, Microsoft und MicrosoftDocs. Die automatische Sperre unterbrach weltweit CI/CD-Pipelines, die den Workflow Azure/functions-action@v1 nutzten. Mittlerweile sind die Repositories nach einer gründlichen Überprüfung wiederhergestellt und gelten als sicher. Microsoft hat begonnen, betroffene Kunden zu informieren.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenloses Cyber-Security E-Book herunterladen
Einschleusung über manipulierte PyPI-Pakete
Der Einstiegspunkt der Attacke war der Python Package Index (PyPI). Die Angreifer präparierten das Paket durabletask – konkret die Versionen 1.5.1, 1.5.2 und 1.5.3. Rund 31.000 Mal wurden diese schädlichen Versionen heruntergeladen, bevor die Sicherheitslücke entdeckt wurde.
Besonders brisant: Bereits Mitte Mai 2026 war dasselbe Paket kompromittiert worden. Damals enthielten frühere Versionen ebenfalls Schadcode. Analysten gehen von einer gezielten Kampagne der Gruppe TeamPCP aus. Die wiederholten Angriffe auf genau dieses Paket deuten auf einen systematischen Plan hin.
Im Visier: KI-Entwicklungsumgebungen
Die Schadsoftware Miasma – von Forschern auch „The Spring Blight" genannt – zielte gezielt auf KI-gestützte Codierungsumgebungen ab. Sie platzierte manipulierte Konfigurationsdateien für Plattformen wie VS Code, Cursor, Claude Code und das Gemini CLI.
Das eigentliche Ziel: sensible Entwickler-Zugangsdaten. Die gestohlenen Informationen umfassen:
- GitHub Actions Secrets
- Azure OIDC-Hashes
- Managed-Identity-Tokens
Zur Tarnung setzten die Angreifer das Tool TempGPT für den Datentransfer ein. Für die Steuerung der infizierten Systeme nutzten sie eine Variante des „Mini Shai-Hulud"-Toolkits. Dieses kommuniziert über GitHub-Commit-Suchkanäle – die Angreifer brauchten keine eigene Server-Infrastruktur.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlose Cyber-Security Checkliste sichern
Neue Variante „Hades" aufgetaucht
Während die Eindämmung der Miasma-Kampagne lief, entdeckten Sicherheitsexperten am 10. Juni eine neue Variante namens Hades. Sie steckt in 23 neuen PyPI-Paketversionen, die vor allem Bioinformatik- und KI-Software betreffen.
Hades nutzt die Bun JavaScript Runtime für den Diebstahl von Zugangsdaten. Zur Persistenzsicherung setzt die Malware auf mehrere Methoden – darunter .pth-Hooks und .abi.so-Erweiterungen. Seit Anfang Juni haben Sicherheitsfirmen insgesamt 473 betroffene Paket-Artefakte identifiziert.
Was Entwickler jetzt tun sollten
Sicherheitsexperten raten dringend: Entwickler, die Microsofts Open-Source-Tools nutzen, sollten ihre Azure- und GitHub-Tokens rotieren und Abhängigkeiten auf konkrete Commit-SHAs festlegen. Nur so lässt sich das Risiko weiterer Lieferketten-Kompromittierungen minimieren.
