A Microsoft desativou uma série de repositórios próprios no GitHub, incluindo aqueles relacionados ao Azure e a agentes de codificação de IA, enquanto investiga uma violação de dados, de acordo com pesquisas de especialistas em segurança cibernética e uma declaração da Microsoft à 404 Media. Segundo um dos grupos de pesquisadores, hackers instalaram um malware que coletava as credenciais dos usuários quando estes o abriam em ferramentas de codificação de IA como o Claude Code ou o Gemini CLI.
Os detalhes exatos da violação ainda não estão claros, mas pesquisadores afirmam que a Microsoft desativou mais de 70 de seus próprios repositórios e apontaram para um pacote específico que já havia sido comprometido anteriormente.
"Removemos temporariamente alguns repositórios enquanto investigamos possível conteúdo malicioso", disse a Microsoft à 404 Media em um comunicado enviado por e-mail na segunda-feira.
No momento da redação deste texto, vários repositórios do GitHub exibem os seguintes valores:
“Este repositório foi desativado. O acesso a este repositório foi desativado pela equipe do GitHub devido a uma violação dos termos de serviço do GitHub. Se você for o proprietário do repositório, entre em contato com o Suporte do GitHub para obter mais informações.”
Na semana passada, o site de cibersegurança OpenSourceMalware.com , que funciona como um centro de informações sobre indicadores de ataques à cadeia de suprimentos para que os profissionais de segurança possam proteger suas próprias redes, e que também publica seus próprios relatórios, noticiou a desativação em massa de repositórios do GitHub da Microsoft.
"O GitHub desativou 73 repositórios da Microsoft em quatro de suas organizações — toda a organização do Azure Functions, toda a família Durable Task e uma série de aplicativos de exemplo de IA — em uma ação de 105 segundos no dia 5 de junho", escreveu o site na sexta-feira .
É muito incomum para qualquer empresa, quanto mais para a Microsoft, desativar tantos repositórios próprios de uma só vez. Entre eles, estão 49 relacionados ao Azure, o serviço de computação em nuvem da Microsoft, e alguns referentes a agentes de IA.
Os repositórios de desligamento também incluem aqueles relacionados ao durabletask, uma ferramenta de desenvolvimento da Microsoft .
Pesquisadores da StepSecurity escreveram na sexta-feira que os bloqueios no GitHub ocorreram após um commit malicioso ter sido enviado para o repositório durabletask. Esse ataque inseriu arquivos de configuração que coletavam as credenciais dos usuários quando eles abriam o repositório no Claude Code, Gemini CLI, Cursor ou VS Code, escreveu a StepSecurity.
Hackers do grupo TeamPCP já haviam comprometido o durabletask da Microsoft, publicando três versões maliciosas da ferramenta em maio. O TeamPCP realizou uma série de ataques à cadeia de suprimentos no primeiro semestre deste ano, afetando centenas de organizações, conforme relatado pela WIRED .
Na prática, isso significa que quaisquer ações do GitHub que utilizassem esses repositórios deixarão de funcionar. E, juntamente com a declaração e a pesquisa, indica que a Microsoft não se protegeu completamente, nem a seus usuários, após a violação de segurança anterior.
"Por que isso não é mencionado em lugar nenhum?", escreveu um comentarista em um tópico do fórum da Microsoft que discutia um dos fechamentos de repositórios.
Após a publicação deste artigo, a Microsoft divulgou outra declaração: “Nossa prioridade é proteger os clientes e o ecossistema em geral. Removemos temporariamente alguns repositórios enquanto investigávamos possíveis conteúdos maliciosos. Alguns desses repositórios foram restaurados após a revisão, enquanto outros podem permanecer offline enquanto o trabalho continua. Como parte de nossa investigação, notificamos um pequeno número de clientes que podem ter baixado conteúdo dos repositórios afetados. Continuaremos investigando e, se identificarmos algo mais que exija ação do cliente, entraremos em contato diretamente por meio de nossos canais de suporte estabelecidos.”
Comentários