Microsoft ha disattivato 73 propri repository su GitHub dopo che una serie di suoi pacchetti open source ufficiali � stata compromessa per iniettare codice capace di sottrarre credenziali. Il payload resta inerte all'installazione e si attiva soltanto quando uno sviluppatore apre il repository in un agente IA per la programmazione, come Claude Code, Gemini CLI, Cursor o VS Code. � la seconda compromissione in poche settimane a colpire un account ufficiale Microsoft: a met� maggio la societ� di sicurezza StepSecurity aveva gi� documentato l'avvelenamento del pacchetto durabletask, un framework per orchestrare flussi di lavoro distribuiti che totalizza circa 400.000 download al mese. Come funziona l'attacco L'ondata � partita da un commit malevolo spinto sul repository durabletask attraverso l'account di un collaboratore gi� compromesso. Da l� la disattivazione si � propagata a cascata: OpenSourceMalware, sito che raccoglie gli indicatori degli attacchi alla catena di fornitura del software, riferisce che GitHub ha disabilitato i 73 repository in quattro organizzazioni distinte (l'intera Azure Functions, la famiglia Durable Task e alcune app di esempio per l'IA) in un solo passaggio automatico di 105 secondi, lo scorso 5 giugno. Il codice malevolo � tracciato come Miasma ed � in sostanza un clone del toolkit Mini Shai-Hulud, il cui sorgente � stato reso pubblico di recente dal gruppo TeamPCP, gi� autore di una lunga serie di attacchi alla catena di fornitura nella prima met� dell'anno. Il payload, pesante circa 28 KB, sottrae credenziali da AWS, Azure, GCP, Kubernetes, gestori di password e oltre novanta configurazioni di strumenti per sviluppatori, per poi muoversi lateralmente nelle infrastrutture cloud verso altre macchine. La societ� Cloudsmith aggiunge che il codice prende di mira anche i token OIDC impiegati nelle attestazioni di provenienza SLSA, ossia le garanzie crittografiche sull'integrit� del software: la stessa funzione che dovrebbe certificare l'autenticit� di un pacchetto viene piegata per sottrarre un token Microsoft legittimo. Il messaggio ambiguo di GitHub GitHub, di propriet� Microsoft, non ha segnalato i pacchetti come malevoli: la pagina mostrata a chi tenta di accedervi parla genericamente di una �violazione dei termini di servizio� e invita il proprietario a contattare l'assistenza. Per gli sviluppatori che hanno lavorato su quei repository con un agente IA la formulazione conta, perch� le loro macchine andrebbero considerate compromesse, con conseguente rotazione delle credenziali. Microsoft ha riconosciuto la possibilit� di contenuto malevolo soltanto luned�, con una formula di circostanza: �Abbiamo temporaneamente rimosso alcuni repository mentre indaghiamo su potenziale contenuto malevolo�. Non � ancora chiaro se l'attacco sia il riutilizzo di credenziali mai ruotate dopo la compromissione di maggio oppure una violazione del tutto nuova. OpenSourceMalware propende per la prima ipotesi e parla apertamente di �ri-compromissione�. L'indicazione pratica per chi ha aperto quei pacchetti con un assistente IA resta comunque una sola, a prescindere dalla risposta: trattare la macchina come compromessa e ruotare ogni credenziale raggiungibile.