СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
1 час назад
#Dev#ИБ#Облака

Microsoft второй раз наступила на одни и те же грабли — хакеры заразили 73 репозитория корпорации опасным вредоносным ПО

Microsoft второй раз наступила на одни и те же грабли — хакеры заразили 73 репозитория корпорации опасным вредоносным ПО

изображение: qwen

Microsoft была вынуждена временно закрыть доступ к 73 своим репозиториям на GitHub после повторной атаки с использованием ранее похищенных учётных данных. Злоумышленники сумели разместить вредоносный код сразу в четырёх крупных организациях внутри платформы и затронули значительную часть инфраструктуры Azure. Корни инцидента уходят ещё в май 2026 года, когда атакующие впервые добрались до секретов GitHub Actions компании.

О новой волне атак рассказали специалисты Cloudsmith и исследовательский проект OpenSourceMalware, который анализирует вредоносный код в экосистемах открытого программного обеспечения. Расследование показало, что атакующий, которого связывают с группой TeamPCP, ещё весной получил доступ к секретам GitHub Actions Microsoft и разместил вредоносные пакеты в каталоге PyPI — крупнейшем хранилище компонентов для языка Python.

Заражённые пакеты тогда удалось убрать достаточно оперативно. Компания, по мнению исследователей, не заменила все скомпрометированные учётные данные после первой чистки. Это упущение и открыло дорогу для повторного захода атакующих через несколько недель.

Интересно, что злоумышленник просто переиспользовал те же самые секреты, к которым у него остался доступ после майского инцидента.

Под удар на этот раз попали сразу четыре организации внутри GitHub — Azure, Azure-Samples, microsoft и MicrosoftDocs. Из 73 затронутых репозиториев 49 относились к направлению Azure, и атака зацепила практически все проекты команды Azure Functions.

Распределение пострадавших проектов выглядит так:

  • Azure — 49 репозиториев, основной удар пришёлся на компоненты Azure Functions;
  • Azure-Samples — примеры кода и шаблоны для разработчиков облачной платформы;
  • microsoft — общие проекты корпорации с открытым исходным кодом;
  • MicrosoftDocs — материалы и документация для разработчиков.

Главное отличие нового инцидента от майского кроется в инструменте. В прошлый раз фигурировал червь Mini Shai-Hulud, теперь распространялась другая вредоносная программа под названием Miasma. После того как TeamPCP опубликовала исходный код Mini Shai-Hulud, другие атакующие быстро разобрали проект на части и стали создавать собственные модификации. Miasma выросла из этого ответвления и превратилась в самостоятельный инструмент компрометации.

Для рядовых пользователей разница между названиями вредоносных программ малозначима, а вот разработчики ощутили последствия очень остро. Библиотеки и инструменты Microsoft работают в автоматических конвейерах сборки по всему миру, и компрометация одного компонента моментально выходит за пределы родного репозитория. Особенно болезненным стало нарушение работы процессов, использующих Azure/functions-action@v1 — этот элемент встроен в чужие пайплайны разработки и потенциально потянул за собой множество сторонних проектов.

Стоит обратить внимание на то, что современные приложения почти никогда не собираются с нуля и опираются на сотни внешних компонентов.

Опасность атак на цепочку поставок программного обеспечения как раз и состоит в эффекте домино. Один заражённый элемент в популярной библиотеке тянет за собой огромное количество зависимых проектов, и проследить все ветвления бывает крайне сложно. Среди характерных черт подобных атак можно выделить несколько моментов:

  • атакующие выбирают компоненты с максимальным охватом аудитории;
  • вредоносный код часто маскируется под легитимные обновления;
  • последствия проявляются с большим временным разрывом;
  • единичная утечка секретов способна работать на злоумышленников месяцами;
  • полная очистка требует ротации абсолютно всех учётных данных.

Microsoft отреагировала на обнаружение проблемы достаточно быстро. Часть репозиториев была временно убрана из публичного доступа на время расследования, о чём сообщил представитель компании Бен Хоуп изданию TechCrunch. Некоторые проекты уже прошли проверку и вернулись в открытый доступ, остальные пока остаются закрытыми до завершения работ по анализу и очистке. Корпорация также начала уведомлять ограниченный круг клиентов, которые могли скачивать данные из затронутых репозиториев.

Действия компании после обнаружения проблемы укладываются в несколько шагов:

  • временная блокировка 73 репозиториев на период проверки;
  • анализ вредоносного содержимого совместно с внешними исследователями;
  • поэтапный возврат очищенных проектов в публичный доступ;
  • уведомление пользователей, скачивавших заражённые компоненты;
  • ротация учётных данных, упущенных при предыдущей чистке.

Информации о массовом распространении Miasma за пределы GitHub-инфраструктуры Microsoft пока нет. Сам факт повторной атаки через те же самые секреты вновь поднял разговор о безопасности цепочек поставок ПО. За последние пару лет атаки на репозитории, библиотеки и системы автоматической сборки превратились в один из самых востребованных направлений у злоумышленников. Логика атакующих простая — вместо попыток взломать тысячи отдельных компаний проще скомпрометировать один популярный компонент и через него дотянуться до сотен организаций сразу.

Ранее сообщалось, что вредоносная программа NFCShare распространяется среди пользователей Android под видом обновлений банковских приложений, размещённых в репозиториях GitHub. По данным исследователей, троян нацелен на кражу данных банковских карт и использует методы социальной инженерии, убеждая владельцев устройств самостоятельно прикладывать карты к смартфону под различными предлогами. С мая 2025 года специалисты фиксируют заметный рост активности кампании и увеличение числа поддельных банковских приложений.

Также мы писали о выявленной уязвимости, которая в определённых условиях позволяла злоумышленникам получить доступ к приватным репозиториям GitHub через специально подготовленную ссылку. Проблема была связана с особенностями обработки действий пользователя во встроенных веб-окнах Visual Studio Code. Эксперт «Группы Астра» Эдуард Тихомиров отмечал, что для ряда российских Git-платформ подобный сценарий атаки неприменим из-за отличий в архитектуре и механизмах защиты.

Эксперты редакции CISOCLUB уверены, что данный случай станет хрестоматийным примером недоработки при реагировании на инциденты. Простая блокировка вредоносных пакетов без полной ротации скомпрометированных секретов превращает любой первичный взлом в долгоиграющую проблему.

Корпоративные команды безопасности обязаны воспринимать утечку учётных данных как событие, требующее тотальной замены доступов, а не точечной чистки заражённых артефактов. Атаки на цепочку поставок продолжат набирать обороты, и каждый подобный инцидент будет обходиться индустрии всё дороже. Уроки из истории Microsoft должны быть выучены остальными участниками рынка как можно скорее, потому что следующая мишень может оказаться намного менее подготовленной.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: