Großangriff: Wurm killt Microsoft-GitHub-Repos - mit schweren Folgen

Der selbstreplizierende Wurm "Miasma" hat auf GitHub exakt 73 wichtige Microsoft-Projekte befallen. Der Supply-Chain-Angriff führte zur sofortigen Sperrung der Quellcodes und legte weltweit Arbeitsprozesse lahm.

Schlag gegen Azure

Ein selbstreplizierender Wurm namens Miasma hat am fünften Juni für einen großen Ausfall bei Microsoft gesorgt. Im Rahmen eines sogenannten Supply-Chain-Angriffs wurden exakt 73 wichtige Repositorys auf GitHub befallen und anschließend deaktiviert. Ein solcher Angriff zielt darauf ab, Schwachstellen in der Lieferkette von Software auszunutzen, um schadhaften Code in vertrauenswürdige Programme einzuschleusen.

Besonders hart traf es die Entwickler der Cloud-Plattform Azure. Wichtige Werkzeuge wie Azure Functions wurden vollständig offline genommen. Der Vorfall führte dazu, dass die automatisierten Schutzmechanismen von GitHub die betroffenen Projekte innerhalb von nur 105 Sekunden komplett sperrten. Da viele Entwickler weltweit auf diese Werkzeuge angewiesen sind, brachen unzählige automatisierte Pipelines fast augenblicklich zusammen.

Automatisierte Verbreitung

Die IT-Sicherheitsseite OSM listet alle betroffenen Repos auf und legt dar, wie der Miasma-Wurm gestohlene Zugangsdaten für seine Ausbreitung verwendet. Das lässt sich auf einen früheren Angriff auf das Software-Paket Durabletask zurückführen. Die Angreifer hatten weiterhin Zugriff auf wichtige Schlüssel und konnten so den schädlichen Code direkt in die Microsoft-Umgebung einschleusen. Miasma ist eine Variante der Schadsoftware Mini Shai-Hulud, die bereits vor einiger Zeit in der Node-Paketverwaltung für großes Chaos sorgte.

Eine große Gefahr der Schadsoftware ist ihr Auslösemechanismus. Der Wurm aktiviert sich automatisch, sobald ein Entwickler den infizierten Code in modernen Programmierwerkzeugen wie Cursor oder VS Code öffnet. Anschließend sammelt die Software im Hintergrund Zugangsdaten für Cloud-Dienste wie Azure, AWS oder GCP. Mit den gestohlenen Schlüsseln kopiert sich der Wurm dann über das Netzwerk selbstständig in weitere Projekte.

Globale Folgen für Entwickler

Die jetzige Sperrung der 73 Code-Bibliotheken hat weitreichende Konsequenzen für die alltägliche Arbeit vieler Entwickler. Viele Software-Teams binden externe Werkzeuge über flexible Platzhalter ein, um immer die aktuellste Version zu erhalten. Verschwindet die Quelle plötzlich aus dem Netz, schlägt der gesamte Bauprozess der Software fehl. IT-Experten raten momentan daher, feste Versionsnummern zu verwenden, um das zu vermeiden.

Während das schnelle Eingreifen der automatisierten GitHub-Systeme Schlimmeres verhinderte, wird die Kommunikation von Microsoft kritisiert. Der Konzern sprach zunächst lediglich von einem internen Verwaltungsproblem, obwohl GitHub die Projekte wegen Verstößen gegen die Nutzungsbedingungen gesperrt hatte. Solche Vorfälle zeigen, dass selbst große Tech-Konzerne anfällig für komplexe Angriffe auf die Software-Lieferkette sind.

Wie bewertet ihr die aktuelle Sicherheit von großen Code-Plattformen? Seid ihr Entwickler und von den Sperrungen der Repos unmittelbar betroffen? Schreibt es uns in die Kommentare!


Siehe auch: