Ferramentas open source da Microsoft no GitHub distribuíam malware para roubar credenciais de desenvolvedores de IA

A Microsoft desativou 73 repositórios no GitHub em 5 de junho de 2026, não como resposta a um único incidente isolado, mas como parte de uma operação coordenada para conter o 'Miasma worm', uma variante auto-replicante do Mini Shai-Hulud que se espalha por cadeia de suprimentos. Diferente de ataques anteriores baseados em instalação de pacotes (como os do npm da Red Hat), este malware é acionado passivamente: basta abrir um repositório comprometido em ferramentas de IA como Claude Code ou Gemini CLI, o payload JavaScript ofuscado (4,3–4,6 MB) executa automaticamente no ambiente Bun, sem interação explícita do desenvolvedor.

O ataque explora uma falha crítica de confiança: repositórios legítimos da Microsoft (Azure, MicrosoftDocs etc.) foram adulterados com commits maliciosos datados retroativamente (9/03/2020) e marcados com [skip ci] para burlar pipelines de CI. Isso mostra que o invasor não apenas acessou credenciais de colaborador, mas as reutilizou para reinfectar o mesmo ecossistema, o Durable Task, já comprometido em maio, quando versões falsas do SDK Python foram publicadas no PyPI.

Em maio, o GitHub relatou vazamento de 3.800 repositórios internos via extensão maliciosa do VS Code, um ataque centrado no *tooling* do desenvolvedor. Agora, o vetor mudou: o alvo é o *conteúdo dos repositórios*, com injeção direta de código malicioso em projetos open source oficiais. A evolução é técnica e tática: antes, o invasor dependia da instalação voluntária de uma extensão; agora, ele transforma o próprio repositório em gatilho, explorando a automação embutida nas ferramentas de IA de programação. Além disso, o Miasma worm introduz replicação autônoma, algo ausente nos ataques anteriores do TeamPCP.

Desenvolvedores de IA não são apenas usuários de ferramentas, são alvos estratégicos. Credenciais roubadas incluem tokens de Azure, AWS, GCP, Kubernetes e Vault, permitindo acesso a ambientes de produção, modelos treinados e dados sensíveis. Um único repositório comprometido pode contaminar dezenas de pipelines CI/CD, clones locais e forks. O fato de o malware ter sido ativado ao abrir um repositório no Claude Code ou no Cursor mostra que a segurança de IDEs com assistência de IA ainda opera sob pressupostos obsoletos: confiança cega em arquivos locais, sem sandboxing de execução de configurações ou scripts embutidos.