Dachzeile Lieferkettenangriff auf GitHub : Miasma-Wurm trifft Microsoft-Repositories auf GitHub : 73 Repositories betroffen: Angriff zeigt Schwächen im Open-Source-Vertrauen
Ein selbstverbreitender Lieferkettenangriff hat mehrere GitHub-Organisationen von Microsoft getroffen. Der Miasma-Wurm kompromittierte 73 Repositories, darunter zentrale Azure- und Durable-Task-Projekte. Der Fall zeigt, wie gefährlich legitime Entwicklerkanäle werden, wenn Zugangsdaten und Maintainer-Konten missbraucht werden.
Der Miasma-Wurm ist Teil einer laufenden Angriffswelle auf Software-Lieferketten. Dabei versuchen Angreifer, nicht direkt einzelne Unternehmen anzugreifen, sondern den Quellcode, die Entwicklerkonten oder die Softwarepakete, auf denen viele andere Projekte aufbauen.
In diesem Fall traf es nach Angaben von OpenSourceMalware73 Repositories von Microsoft auf GitHub. Sie gehörten zu vier GitHub-Bereichen: Azure, Azure-Samples, Microsoft und MicrosoftDocs. GitHub sperrte den Zugriff auf diese Projekte vorsorglich. Wer eines der betroffenen Repositories öffnen wollte, sah nur noch den Hinweis, dass GitHub-Mitarbeiter den Zugriff wegen eines Verstoßes gegen die Nutzungsbedingungen deaktiviert haben.
Was den Fall so bemerkenswert macht: Nicht nur einzelne Projekte sind betroffen, sondern zentrale Bausteine aus dem Azure- und Durable-Task-Umfeld. Damit rückt erneut ein Risiko in den Fokus, das viele Unternehmen unterschätzen: Schadcode muss heute nicht mehr zwingend über klassische Schwachstellen eingeschleust werden. Oft genügt es, vertrauenswürdige Entwicklerkonten, Paketprozesse oder Quellcode-Repositories zu kompromittieren.
Rückkehr an eine bekannte Schwachstelle
Unter den betroffenen Projekten befindet sich auch das Umfeld des Pakets PyPI durabletask. Dieses Paket war bereits im Vormonat von TeamPCP missbraucht worden, um einen Information Stealer auf Linux-Systemen auszuliefern. Dass nun erneut Repositories aus demselben Ökosystem verschwunden sind, deutet auf ein tieferes Problem hin.
Der Sicherheitsforscher Paul McCarty, auch bekannt als 6mile, bringt es auf den Punkt: „Wenn das Repository im Zentrum der Kompromittierung des vergangenen Monats nun wieder der Mittelpunkt einer Abschaltung ist, dann ist das kein Zufall. Es ist dieselbe Wunde, die wieder aufreißt.“ Nach seiner Einschätzung könnten die Angreifer die im Mai kompromittierten Zugangsdaten nie vollständig verloren haben.
Betroffen waren laut OpenSourceMalware unter anderem folgende Repositories:
- azure-search-openai-demo-purviewdatasecurity
- Connectors-NET-LSP
- Connectors-NET-SDK
- durabletask
- durabletask-dotnet
- durabletask-go
- durabletask-js
- durabletask-mssql
- functions-container-action
- homebrew-functions
- llm-fine-tuning
- windows-driver-docs
Vom Paketregister direkt in den Quellcode
Miasma gilt als Variante des Mini-Shai-Hulud-Wurms, den TeamPCP Mitte Mai 2026 öffentlich veröffentlicht hatte. Seitdem verändert die Malware ihre Taktiken kontinuierlich. Sie legt öffentliche Repositories an, in denen gestohlene Geheimnisse landen, und verwendet dafür wechselnde Beschreibungen.
Beobachtet wurden folgende Muster:
- Miasma: The Spreading Blight
- Miasma : The Spreading Blight
- Miasma – The Spreading Blight
- Hades – The End for the Damned
Zum Zeitpunkt der Analyse gab es 13 Repositories mit der Beschreibung „Hades – The End for the Damned“ sowie 82 weitere Repositories mit den drei Miasma-Varianten. Diese Namensmuster zeigen, dass die Kampagne nicht nur auf einzelne Paketveröffentlichungen setzt, sondern auf sichtbare, wiedererkennbare Spuren in öffentlichen Entwicklerplattformen.
Auffällig ist zudem, dass die Angreifer das Paketregister npm teilweise vollständig umgehen. Statt Schadcode über ein Paket einzuschleusen, wurde er direkt in das Repository „icflorescu/mantine-datatable“ und vier verwandte Projekte eingebracht: „mantine-contextmenu“, „next-server-actions-parallel“, „mantine-datatable-v6“ und „mantine-contextmenu-v6“.
Angriff über Entwicklerwerkzeuge und KI-Assistenten
Nach Angaben von SafeDep fügte der kompromittierte Commit keine neuen Abhängigkeiten hinzu. Stattdessen platzierte er einen 4,3 Megabyte großen Payload-Runner und verknüpfte ihn mit fünf Entwicklerwerkzeugen: Claude Code, Gemini CLI, Cursor, VS Code und dem npm-Testskript. Die Schadfunktion wird ausgelöst, wenn ein Entwickler eines der betroffenen Repositories klont und es in einem KI-gestützten Coding-Agenten öffnet.
SafeDep beschreibt diesen Mechanismus als Wiederverwendung desselben mehrstufigen Bun-Loaders, nun allerdings nicht mehr primär für Paketvergiftung, sondern für Persistenz direkt im GitHub-Quellcode. Genau darin liegt die technische Raffinesse: Der Angriff nutzt keine exotische Schwachstelle, sondern alltägliche Entwicklerabläufe.
Warum klassische Schutzmechanismen versagen
Die Kampagne legt offen, wie fragil das Vertrauensmodell moderner Softwareentwicklung ist. Paketregister, Signaturen, Maintainer-Konten und automatisierte Build-Prozesse beruhen auf der Annahme, dass ein authentifizierter Herausgeber vertrauenswürdig handelt. Wird dieses Konto kompromittiert, sieht der bösartige Vorgang für Plattformen häufig wie ein reguläres Update aus.
FalconFeeds.io fasst das Problem treffend zusammen: „Der Wurm nutzt keine Schwachstelle in npm oder GitHub aus. Er nutzt das Vertrauensmodell aus, auf dem diese Plattformen beruhen.“ Wird ein gültiger Schlüssel oder ein Maintainer-Konto übernommen, kann sich die Malware wie ein legitimer Publisher verhalten. Für das Register ist die bösartige Veröffentlichung dann kaum von einer normalen Aktualisierung zu unterscheiden.
Damit zeigt Miasma, warum Software-Lieferkettenangriffe so schwer einzudämmen sind. Sie kompromittieren nicht nur Code, sondern Vertrauen. Und sie können sich über nachgelagerte Nutzer, Entwicklerumgebungen und automatisierte Prozesse immer weiter fortpflanzen. Für Unternehmen bedeutet das: Schutzmaßnahmen müssen früher greifen. Dazu gehören:
- konsequente Kontrolle von Secrets,
- verpflichtende Mehr-Faktor-Authentifizierung,
- signierte Commits,
- restriktive Token-Laufzeiten,
- Laufzeitanalyse in Entwicklerumgebungen und
- eine kontinuierliche Überwachung öffentlicher Repositories auf ungewöhnliche Änderungen.
Miasma ist damit weniger ein einzelner Vorfall als ein Warnsignal. Wer Open Source nutzt, muss nicht nur Abhängigkeiten prüfen, sondern auch die Identitäten, Prozesse und Werkzeuge absichern, über die Software entsteht.
FAQ: Miasma-Wurm
Was ist der Miasma-Wurm?
Miasma ist ein selbstverbreitender Malware-Wurm, der auf Software-Lieferketten abzielt. Er nutzt kompromittierte Entwicklerkonten, Repositories oder Build-/Release-Prozesse, um Schadcode über vertrauenswürdige Kanäle zu verbreiten.
Was ist bei Microsoft auf GitHub passiert?
Laut den genannten Angaben wurden 73 Microsoft-Repositories in mehreren GitHub-Bereichen kompromittiert. GitHub hat den Zugriff auf betroffene Projekte vorsorglich deaktiviert.
Warum sind 73 betroffene Repositories so kritisch?
Weil Lieferkettenangriffe nicht nur ein einzelnes Projekt treffen: Sie können Abhängigkeiten, interne Builds und nachgelagerte Nutzer gleichzeitig gefährden—besonders wenn zentrale Bausteine (z. B. aus dem Azure-Umfeld) betroffen sind.
Welche Bereiche/Projekte waren betroffen?
Genannt werden Repositories aus den Bereichen Azure, Azure-Samples, Microsoft und MicrosoftDocs, darunter u. a. Projekte rund um durabletask sowie weitere Tools/Repos aus dem Ökosystem.
Was bedeutet „Lieferkettenangriff“ in diesem Kontext?
Angreifer greifen nicht primär das Zielunternehmen direkt an, sondern manipulieren Code, Maintainer-Identitäten, Tokens oder Veröffentlichungsprozesse. So wird der Schadcode „upstream“ platziert und gelangt über normale Update-Wege zu vielen Betroffenen.
Warum versagen klassische Schutzmechanismen häufig?
Weil Plattformen und Prozesse auf Vertrauen basieren: Wenn ein gültiges Maintainer-Konto oder ein legitimer Schlüssel genutzt wird, sieht ein bösartiger Commit oder Release oft wie ein normaler, autorisierter Vorgang aus.
Wie können Unternehmen das Risiko senken?
Wichtige Maßnahmen sind: konsequentes Secrets-Management, verpflichtende Mehr-Faktor-Authentifizierung, signierte Commits, kurze und restriktive Token-Laufzeiten, Monitoring von Repos auf ungewöhnliche Änderungen sowie Sicherheitsprüfungen in Entwicklerumgebungen (z. B. beim Klonen/Öffnen neuer Projekte).