Repositorios oficiales de Microsoft en GitHub distribuyeron programa que robaba contraseñas
GitHub desactivó 73 repositorios de Microsoft —incluyendo Azure, Azure-Samples y MicrosoftDocs— que estaban distribuyendo un programa que roba contraseñas. Los repositorios afectados formaban parte de pipelines de integración continua en empresas que los usaban como dependencias. La amenaza fue neutralizada, pero cualquier sistema que haya descargado código de estos repositorios en días recientes debe revisarse.
Qué ocurrió
GitHub desactivó 73 repositorios vinculados a Microsoft —en organizaciones como Azure, Azure-Samples y MicrosoftDocs— que habían sido comprometidos como parte de la campaña “Miasma”. Los repositorios estaban distribuyendo un programa que roba contraseñas. El problema específico de este incidente: el código malicioso venía de fuentes consideradas confiables —los repositorios oficiales de Microsoft— lo que significa que los sistemas de seguridad habituales no habrían levantado alertas.
Quién está expuesto
Equipos de desarrollo y organizaciones que usaban pipelines de integración continua con dependencias apuntando a estos repositorios de Microsoft. Si el sistema descargó y ejecutó código de esas fuentes durante la ventana de compromiso, el programa malicioso pudo haberse instalado.
A considerar
Revisar los registros de descargas de paquetes en los últimos 7 días. Si algún pipeline descargó código de los repositorios afectados, rotar las credenciales almacenadas en ese entorno: tokens de GitHub, claves de nube, usuarios y contraseñas de servicios conectados.
Impacto potencial
Un programa de robo de contraseñas instalado en un entorno de construcción puede extraer credenciales que luego se usan para acceder a código fuente, infraestructura en nube y sistemas de producción.
Leer fuente original →