✨︎ Resumen (TL;DR):
- GitHub deshabilitó de emergencia 73 repositorios de cuatro organizaciones de Microsoft para contener la propagación del gusano Miasma.
- El bloqueo se completó de manera automatizada en apenas 105 segundos tras detectarse código malicioso en la cadena de suministro.
- Los atacantes diseñaron la amenaza para explotar asistentes de programación con inteligencia artificial como Claude Code y VS Code.
El 5 de junio de 2026, GitHub desactivó de forma automática 73 repositorios pertenecientes a cuatro organizaciones de Microsoft en un barrido de apenas 105 segundos. La medida de emergencia busca frenar la propagación de Miasma, un gusano autorreplicante que escaló su ofensiva tras comprometer la cadena de suministro de Red Hat a inicios de mes.
El ataque comenzó cuando una cuenta de colaborador comprometida inyectó un cambio de código malicioso en el repositorio Azure/durabletask, según reportó la firma de seguridad StepSecurity. Este commit contenía archivos de configuración alterados que se ejecutan automáticamente cuando los desarrolladores abren el proyecto en herramientas de programación asistidas por inteligencia artificial como Claude Code, Gemini CLI, Cursor o VS Code.
Miasma es un gusano informático autorreplicante que compromete cadenas de suministro de software e infecta herramientas de programación asistidas por inteligencia artificial para robar credenciales.
El sistema automatizado de GitHub detectó la anomalía y deshabilitó los repositorios afectados en las organizaciones Azure, Azure-Samples, Microsoft y MicrosoftDocs entre las 16:00:50 y las 16:02:35 UTC. Entre los recursos bloqueados se encuentra el popular Azure Functions Action, lo que interrumpió de inmediato los flujos de despliegue de miles de desarrolladores que usan etiquetas mutables en lugar de hashes de confirmación fijos.
El origen del gusano y su evolución
Esta campaña se identificó originalmente el 1 de junio de 2026, cuando investigadores detectaron código malicioso en al menos 32 paquetes bajo el espacio de nombres de npm de Red Hat. La firma Wiz Research descubrió que dichos paquetes ocultaban una carga útil de JavaScript ofuscada de 4.2 MB, activada mediante un script de preinstalación para recolectar credenciales y replicarse de forma autónoma a otros paquetes del usuario.
Microsoft confirmó en su blog de seguridad que la campaña comprometió más de 90 versiones de paquetes de Red Hat. El origen del fallo fue una cuenta de GitHub comprometida de un empleado de Red Hat, utilizada para subir cambios sin pasar por la revisión de código obligatoria. El malware deriva de un gusano más antiguo llamado Mini Shai-Hulud, liberado como código abierto por el grupo TeamPCP en mayo de 2026.
Este incidente revela un cambio táctico preocupante. En lugar de infectar los registros de paquetes habituales, los atacantes ahora apuntan a los asistentes de desarrollo con inteligencia artificial, aprovechando las funciones de ejecución de código sin intervención del usuario. De hecho, la misma cuenta comprometida ya había subido tres versiones maliciosas del paquete de PyPI durabletask de Microsoft el pasado 19 de mayo.
Medidas de mitigación inmediatas
Los desarrolladores que utilicen las acciones de Azure afectadas deben tomar precauciones de seguridad de inmediato. Las firmas de ciberseguridad aconsejan fijar todas las GitHub Actions utilizando el hash SHA completo del commit en lugar de etiquetas de versión sencillas para mitigar riesgos.
También se recomienda revocar y rotar los tokens de Azure CLI y las credenciales de identidades administradas, además de recurrir a métodos de despliegue alternativos como Zip Deploy o Azure CLI de manera directa hasta que se restablezcan por completo los repositorios en la plataforma.
Fuentes: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23
