Microsoft傘下のGitHubで73個のパッケージが認証情報窃取マルウェアに汚染される——今月2度目の供給チェーン攻撃

Microsoft公式リポジトリの73個のオープンソースパッケージが先週後半に侵害され、開発者がAIコーディングエージェントで開くと起動する高度な認証情報窃取コードが埋め込まれた。GitHubは当初、マルウェア感染を明記せず「利用規約違反」として無効化したが、Microsoftは月曜日になって「悪意のあるコンテンツの可能性」を認めた。

28 KBのペイロードはAWS、Azure、GCP、Kubernetes、パスワード管理ツール、90以上の開発者ツール設定から認証情報を窃取し、クラウドインフラ全体に横展開して他の開発者マシンを感染させる。このマルウェア『Miasma』（脅威アクター『TeamPCP』の『Mini Shai-Hulud』ツールキットのクローン）はSLSA provenance attestationで使用されるOIDC（OpenID-Connect）トークン認証情報も盗む。

5月のMicrosoftの『durabletask』Python SDK（月40万ダウンロード）への攻撃に続き、今月2度目の供給チェーン攻撃。攻撃者はMicrosoftの発行認証情報を悪用してリポジトリのビルドパイプラインを回避し、Red Hatパッケージ汚染の別の供給チェーン攻撃でも同じ技術が使用された。