KI-gestützte Programmierwerkzeuge

Wurm Miasma infiltriert 73 Microsoft-Repositories

Microsoft Azure
Bildquelle: Postmodern / Studio.com
LinkedInRedditWhatsApp

GitHub hat 73 infizierte Microsoft-Repositories gesperrt. Der Krypto-Wurm Miasma stahl dort gezielt Passwörter und API-Schlüssel von Entwicklern.

Sicherheitsforscher haben in Dutzenden von Open-Source-Softwarepaketen des Technologiekonzerns Microsoft eine Schadsoftware zum Diebstahl von Zugangsdaten entdeckt. Am 5. Juni 2026 deaktivierte die Entwicklerplattform GitHub insgesamt 73 Microsoft-Repositories innerhalb eines automatisierten Bereinigungslaufs, der 105 Sekunden andauerte. Von dieser Maßnahme waren Verzeichnisse aus vier verschiedenen GitHub-Organisationen betroffen:

Anzeige
  • Azure
  • Azure-Samples
  • Microsoft
  • MicrosoftDocs

GitHub begründete die Abschaltung zunächst allgemein mit einem Verstoß gegen die Nutzungsbedingungen der Plattform. Am darauffolgenden Montag bestätigte Microsoft offiziell, dass die betroffenen Programmpakete mit einer Schadsoftware infiziert waren. In einer E-Mail an Softwareentwickler erklärte Microsoft zu dem Vorfall: „Wir haben vorübergehend einige Repositories entfernt, während wir potenziell schädliche Inhalte untersuchen.“ Die betroffenen Pakete wiesen eine kryptografische Verifizierung auf, weshalb sie für automatisierte Systeme und menschliche Entwickler als legitim und vertrauenswürdig erschienen.

Miasma-Wurm wird bei KI-gestützten Programmierwerkzeugen ausgelöst

Die bei dem Angriff eingesetzte Schadsoftware wird von den Analysten als Miasma bezeichnet. Dabei handelt es sich um einen selbstaktivierenden, selbstreplizierenden Wurm, der speziell für das Ausspähen von Entwicklerumgebungen konzipiert ist. Die Schadroutine wird ausgelöst, sobald Entwickler bestimmte KI-gestützte Programmierwerkzeuge öffnen, die auf die infizierten Pakete zugreifen. Das Schadprogramm liest anschließend Passwörter, Authentifizierungstoken, API-Schlüssel und weitere sensible Anmeldedaten aus, die auf den lokalen Arbeitsstationen hinterlegt sind. Die erbeuteten Zugangsdaten können von den Angreifern genutzt werden, um Quellcode-Verzeichnisse zu und cloudbasierte Infrastrukturen zu kompromittieren.

Akteursgruppe TeamPCP steckt hinter Microsoft-Angriff

Die Cybersicherheitsgemeinschaft ordnet die Kampagne einer Bedrohungsgruppe namens TeamPCP zu. Die Gruppierung ist in der Sicherheitsbranche auch unter den Bezeichnungen PCPcat, DeadCatx3, ShellForce und CipherForce bekannt und trat erstmals Ende des Jahres 2025 in Erscheinung. Die Gruppe hat sich darauf spezialisiert, vertrauenswürdige Softwarewerkzeuge und Entwicklerdienste zu kompromittieren, um Anmeldedaten zu entwenden. Diese Daten dienen als Grundlage für Erpressungen, Datendiebstahl, das Einschleusen von Ransomware oder das unbefugte Generieren von Kryptowährungen.

Anzeige

Der Vorfall folgt auf eine ähnliche Infektionswelle im Vormonat. Im Mai 2026 musste die Python-Paketdatenbank PyPI die Registrierung neuer Benutzer und Projekte vorübergehend aussetzen, nachdem eine massive Flut von Schadsoftware die Kapazitäten der dortigen Online-Administratoren überstiegen hatte. Genaue Details über die Zusammensetzung, die Identität oder den geografischen Standort der Mitglieder von TeamPCP sind bislang nicht unabhängig verifiziert.

(red)


Anzeige
Microsoft Azure
15. Juni 2026
Wurm Miasma infiltriert 73 Microsoft-Repositories
Phishing
15. Juni 2026
UNK_DeadDrop-Phishingkampagne zielt auf Entwickler ab
Router
15. Juni 2026
Routerhersteller verlangen strengere Kontrolle bei Geräte-Importen
Cyberattacke, Iran, Irak, Hacker
15. Juni 2026
Hacker attackieren staatliche Banken im Iran

Weitere Artikel

UNK_DeadDrop-Phishingkampagne zielt auf Entwickler ab
Kriminelle verkaufen Daten von 4,9 Millionen Wise-Kunden
Kein großer Profisportverein bleibt von Cyberangriffen verschont
Zero-Day-Lücke: ShinyHunters hacken über 100 Organisationen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.