Microsoft onderzoekt malware in GitHub-repos

In dit artikel:

Microsoft heeft op 5 juni tientallen open-source repositories van GitHub tijdelijk uit de lucht gehaald omdat onderzoek loopt naar mogelijk kwaadaardige code. Binnen enkele minuten werden meer dan zeventig projecten, verspreid over organisaties als Azure, Azure‑Samples en MicrosoftDocs, onbereikbaar verklaard met een melding over een schending van de gebruiksvoorwaarden. Een deel van de repositories is na controle weer teruggezet; andere blijven offline zolang het onderzoek doorgaat.

Het merendeel van de getroffen code heeft betrekking op Azure Functions (runtime, SDK’s, taal‑workers, tools, extensies) en onderdelen uit de Durable Task‑familie, die gebruikt worden voor workflow- en orkestratiefuncties in Azure. Ook verschillende GitHub Actions die worden ingezet voor het uitrollen van Azure Functions-apps waren niet meer beschikbaar, waardoor deploymentworkflows bij ontwikkelaars stilvielen.

Microsoft bevestigde tegenover TechCrunch dat de verwijderingen opzettelijk waren en dat een beperkt aantal klanten is gewaarschuwd omdat zij mogelijk code uit de getroffen repositories hebben gedownload. Het bedrijf gaf geen aantallen of technische details over de aard van de mogelijke compromittering vrij.

Beveiligingsbedrijven zoals Cloudsmith en OpenSourceMalware melden dat zij in sommige repositories malware hebben aangetroffen die gericht zou zijn op het stelen van wachtwoorden en andere gevoelige inloggegevens. Die schadelijke code zou zich specifiek hebben gericht op gebruikers van AI‑ondersteunde ontwikkelomgevingen (onder meer Claude Code, Gemini CLI en Visual Studio Code). Hoeveel ontwikkelaars hiermee zijn getroffen, is niet bekend.

Het incident volgt op een eerder beveiligingsprobleem in mei, toen kwaadaardige versies van het Durable Task‑pakket op PyPI verschenen; toen werd onder meer misbruik van GitHub Actions‑credentials vastgesteld. Of die zaak verband houdt met de huidige ontdekkingen heeft Microsoft niet bevestigd.

Voor ontwikkelaars adviseerde Microsoft tijdelijk alternatieve deploymentmethodes (o.a. Azure CLI, Azure DevOps Pipelines, VS Code, Zip Deploy). Een deel van de repositories blijft offline terwijl het onderzoek voortduurt; Microsoft heeft aangegeven extra klanten rechtstreeks te informeren als dat nodig blijkt.