Sjuttiotre öppna källkodspaket från Microsoft kompromitterades sent i förra veckan med skadlig kod som stjäl inloggningsuppgifter från molntjänster och utvecklarverktyg. Den skadliga koden aktiveras när den öppnas i AI-kodningsagenter.
Automatiserade system på GitHub blockerade paketen efter att ha upptäckt hotet. GitHub inaktiverade dem med hänvisning till brott mot användarvillkoren snarare än att klassificera dem som skadliga. Microsoft skickade ett e-postmeddelande under måndagen där de uppgav att de tillfälligt tagit bort vissa arkiv medan de undersöker potentiellt skadligt innehåll. Detta är den andra liknande incidenten som involverar ett Microsoft-konto under de senaste månaderna. Den skadliga koden, känd som Miasma, använder en nyttolast på 28 kilobyte som är kopplad till hotaktören TeamPCP. Den riktar in sig på inloggningsuppgifter för AWS, Azure, GCP, Kubernetes och lösenordshanterare innan den sprider sig vidare. Samma GitHub-konto användes vid en kompromittering av DurableTask Python SDK i maj. Säkerhetsforskare noterade att attacken kringgår traditionell upptäckt genom att generera unika krypterade nyttolaster för varje infektion.
