Microsoft onderzoekt mogelijke malware in tientallen GitHub-repositories

Microsoft heeft tijdelijk een groot aantal open-sourceprojecten op GitHub offline gehaald vanwege een lopend onderzoek naar mogelijke kwaadaardige code binnen verschillende repositories. De maatregel trof meer dan zeventig projecten verspreid over meerdere GitHub-organisaties van het bedrijf, waaronder Azure, Azure-Samples en MicrosoftDocs.

De repositories werden op 5 juni binnen korte tijd ontoegankelijk gemaakt. Bezoekers kregen daarbij de melding dat de toegang door GitHub was uitgeschakeld wegens een overtreding van de gebruiksvoorwaarden. De plotselinge verdwijning van de projecten leidde direct tot vragen binnen de ontwikkelaarsgemeenschap, omdat diverse tools en automatiseringsprocessen afhankelijk zijn van deze repositories.

Onderzoek naar verdachte code

Microsoft heeft bevestigd dat de repositories bewust offline zijn gehaald als voorzorgsmaatregel tijdens een onderzoek naar mogelijke malware. Volgens het bedrijf wordt onderzocht of bepaalde onderdelen van de projecten zijn gecompromitteerd en of er daadwerkelijk schadelijke code aanwezig is geweest.

Een deel van de repositories is inmiddels opnieuw beschikbaar gemaakt nadat controles geen verdere risico’s aan het licht brachten. Andere projecten blijven voorlopig offline zolang het onderzoek voortduurt. Microsoft heeft aangegeven dat aanvullende informatie pas wordt gedeeld wanneer de analyse is afgerond.

Daarnaast heeft het bedrijf een beperkt aantal klanten rechtstreeks geïnformeerd. Deze gebruikers zouden mogelijk software of broncode uit de getroffen repositories hebben gedownload voordat de projecten werden uitgeschakeld. Microsoft heeft geen exacte aantallen bekendgemaakt.

Vooral Azure Functions-projecten getroffen

Een aanzienlijk deel van de tijdelijk verwijderde repositories had betrekking op Azure Functions. Onder de getroffen projecten bevonden zich onder meer:

• de Azure Functions-runtime;
• diverse software development kits (SDK’s);
• programmeertaal-specifieke workers;
• extensies en ontwikkelhulpmiddelen;
• documentatieprojecten;
• GitHub Actions voor het bouwen en uitrollen van Azure Functions-applicaties.

Ook meerdere repositories uit de zogeheten Durable Task-familie werden offline gehaald. Deze open-sourcecomponenten vormen een belangrijk onderdeel van Azure-workflows en worden gebruikt voor het uitvoeren en orkestreren van langdurige processen binnen cloudomgevingen.

Gevolgen voor ontwikkelaars

De tijdelijke verwijdering had directe gevolgen voor ontwikkelaars en organisaties die afhankelijk zijn van de betrokken GitHub Actions. Vooral gebruikers van de populaire Azure/functions-action ondervonden problemen, omdat geautomatiseerde deploymentprocessen plotseling niet meer konden worden uitgevoerd.

Verschillende ontwikkelaars meldden dat bestaande CI/CD-pijplijnen faalden doordat de benodigde repositories niet langer beschikbaar waren. Hierdoor moesten teams noodgedwongen alternatieve implementatiemethoden inzetten.

Microsoft adviseerde gebruikers tijdelijk gebruik te maken van andere deploymentopties, waaronder:

• Azure CLI;
• Azure DevOps Pipelines;
• Azure Pipelines;
• Visual Studio Code;
• Zip Deploy.

Meldingen van malware

Beveiligingsonderzoekers van Cloudsmith en OpenSourceMalware stellen dat in sommige getroffen projecten daadwerkelijk schadelijke code is aangetroffen. Volgens hun analyses was deze malware ontworpen om gevoelige gegevens van ontwikkelaars te verzamelen, waaronder wachtwoorden, authenticatietokens en andere inloggegevens.

De aanvallen zouden zich in het bijzonder hebben gericht op gebruikers van AI-ondersteunde ontwikkelomgevingen en hulpmiddelen. Daarbij worden onder meer Claude Code, Gemini CLI en Visual Studio Code genoemd.

Op dit moment is niet bekend hoeveel ontwikkelaars de mogelijk besmette software daadwerkelijk hebben gedownload of uitgevoerd.

Mogelijke relatie met eerder beveiligingsincident

Het huidige onderzoek volgt enkele weken na een eerder beveiligingsincident rond het open-sourceproject Durable Task. In mei verschenen via PyPI meerdere kwaadaardige versies van een gerelateerd Python-pakket.

Onderzoekers concludeerden destijds dat bij dat incident GitHub Actions-credentials waren misbruikt om schadelijke pakketten te verspreiden. Of er een direct verband bestaat tussen die gebeurtenis en het huidige onderzoek naar de Microsoft-repositories is vooralsnog niet bevestigd.

Nog geen technische details beschikbaar

Microsoft heeft op dit moment geen nadere technische informatie vrijgegeven over:

• de precieze oorzaak van de mogelijke compromittering;
• de wijze waarop de malware zou zijn verspreid;
• welke repositories daadwerkelijk besmet zijn;
• hoeveel gebruikers mogelijk zijn getroffen;
• of er gegevens van ontwikkelaars zijn buitgemaakt.

Het bedrijf benadrukt dat het onderzoek nog loopt en dat aanvullende klanten rechtstreeks zullen worden geïnformeerd wanneer daar aanleiding toe bestaat. Voorlopig blijft een deel van de repositories offline totdat alle veiligheidscontroles zijn afgerond.

Door: Drifter