Miasma-Wurm: Angriff auf 73 Microsoft-Repositories in 105 Sekunden

Ein raffinierter Lieferketten-Angriff hat Microsofts Entwicklerplattform erschüttert. Ein selbstvermehrender Wurm namens Miasma kaperte mehr als 70 GitHub-Repositories und zielte gezielt auf Zugangsdaten von KI- und Cloud-Entwicklern.

Blitzschnelle Reaktion auf den Miasma-Wurm

Am 5. Juni 2026 schlug GitHub Alarm: Innerhalb von nur 105 Sekunden sperrte die Plattform 73 Microsoft-eigene Repositories. Auslöser war der Wurm Miasma, eine Variante der Schadsoftware-Familie Mini Shai-Hulud. Sicherheitsforscher machen die Gruppe TeamPCP für die Attacke verantwortlich.

Der Miasma-Angriff zeigt, wie gezielt Hacker heute neue KI-Gesetze und technologische Schnittstellen für ihre Attacken ausnutzen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Cyber-Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken entdecken

Der Angriff begann mit einem kompromittierten Contributor-Konto. Von dort aus gelangte ein schädlicher Commit in das Framework Azure/durabletask. Wer die betroffenen Repositories nur klont, geht kein Risiko ein – die Malware wird erst aktiv, wenn Entwickler den Code in bestimmten KI-gestützten Umgebungen öffnen. Betroffen sind unter anderem Cursor, VS Code, Claude Code und das Gemini CLI.

Gezielter Diebstahl von Cloud-Zugangsdaten

Der Miasma-Wurm ist hochspezialisiert. Seine Schadsoftware, zwischen 4,3 und 4,5 Kilobyte groß, durchsucht Entwicklersysteme nach Zugangstoken und Konfigurationsgeheimnissen für AWS, Microsoft Azure, Google Cloud Platform und Kubernetes.

Doch der Schaden ging über reinen Datendiebstahl hinaus: In einigen Fällen legte die Infektion operative Dienste lahm – Azure Functions fielen zeitweise aus. Zudem versucht der Wurm, sich dauerhaft einzunisten. Er injiziert Hintertüren in die Konfigurationsdateien von KI-Assistenten und zielt dabei auf Verzeichnisse wie .claude, .cursor und .vscode.

Bemerkenswert: Es ist bereits der zweite größere Angriff auf Microsofts GitHub-Bestände innerhalb weniger Wochen. Bereits im Mai 2026 hatten die Angreifer dasselbe Contributor-Konto ins Visier genommen – ein Hinweis auf einen systematischen, langfristig angelegten Angriff auf die Open-Source-Entwicklungspipeline.

Da Angriffe auf KI-Entwicklungsumgebungen zunehmen, rücken auch die gesetzlichen Anforderungen der neuen EU-KI-Verordnung in den Fokus der Unternehmen. Dieser kostenlose Download verschafft Ihnen den Überblick über Fristen und Pflichten, den Ihre IT-Abteilung jetzt dringend braucht. EU AI Act Leitfaden kostenlos herunterladen

Welle der Kompromittierung trifft npm und Red Hat

Der Vorfall bei Microsoft ist nur die Spitze des Eisbergs. In der ersten Juniwoche registrierten Forscher eine „Welle 3" des Miasma-Wurms, die das npm-Registry schwer traf. Innerhalb von nur zwei Stunden kompromittierten die Angreifer 57 Pakete und veröffentlichten über 286 schädliche Versionen.

Besonders betroffen waren:

• @vapi-ai/server-sdk: Ein Tool mit über 408.000 monatlichen Downloads.
• ai-sdk-ollama: Ein Paket, das von rund 120.000 Entwicklern pro Monat genutzt wird.
• Red Hat Cloud Services: 32 Pakete des Linux-Spezialisten mit etwa 80.000 wöchentlichen Downloads waren infiziert.

Sicherheits-Goldstandard ausgehebelt

Besonders alarmierend: Die Angreifer umgingen branchenübliche Sicherheitsmaßnahmen. Die schädlichen Red-Hat-Pakete wurden mit gültiger SLSA-Provenienz ausgeliefert – dem eigentlich als „Goldstandard" geltenden Nachweis für die Integrität von Lieferketten. Zudem nutzte die Malware eine Technik namens „Phantom Gyp". Dabei versteckt sich der Schadcode in binding.gyp-Dateien, um traditionelle Sicherheitsscanner zu umgehen, die vor und nach der Installation prüfen.

Microsoft bestätigt die Entfernung der kompromittierten Repositories und untersucht weiterhin das Ausmaß des Zugangsdaten-Diebstahls. Auch Red Hat äußerte sich: Mehrere seiner npm-Pakete seien betroffen und aus dem Registry entfernt worden – die verwalteten Dienste des Unternehmens blieben jedoch sicher.

de | wissenschaft | 69506155 |