Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Tecnología y Ciencia Ciberseguridad

Microsoft deshabilita 73 repositorios de GitHub por malware contra agentes de IA

El gusano Miasma golpeó repositorios de Microsoft y expuso un nuevo riesgo para agentes de IA.

por Ricardo Perez
El 4 minutos de lectura
Microsoft deshabilita 73 repositorios de GitHub por malware contra agentes de IA
Photo by Roman Synkevych / Unsplash

TL;DR:

Microsoft retiró temporalmente repositorios de GitHub mientras investiga contenido malicioso.
Investigadores reportan 73 repositorios afectados en organizaciones como Azure, Microsoft y Azure-Samples.
El ataque apuntaba a credenciales de desarrolladores que abrieran código en Claude Code, Gemini CLI, Cursor o VS Code.

Microsoft bloqueó sus numerosos repositorios de GitHub después de que los investigadores descubrieran que el malware roba credenciales cuando los desarrolladores abren código con herramientas como Claude Code, Gemini CLI, Cursor y VS Code. Lo que es particularmente explosivo es que no solo se trata de paquetes infectados, sino que también se extiende a repositorios relacionados con Azure, procesos CI/CD y código de muestra de IA, alcanzando un punto crítico donde muchas empresas actualmente unen la automatización, la nube y los agentes de programación.

404 Media reportó que Microsoft confirmó la remoción temporal de repositorios mientras revisa posible contenido malicioso. La compañía no detalló públicamente cuántos repositorios retiró ni el alcance final de la investigación.

"Hemos retirado temporalmente algunos repositorios mientras investigamos posible contenido malicioso", dijo Microsoft a 404 Media.

El dato más fuerte viene de investigadores externos. StepSecurity aseguró que GitHub deshabilitó 73 repositorios en cuatro organizaciones de Microsoft después de un commit malicioso en Azure/durabletask; The Hacker News reportó la misma cifra con base en OpenSourceMalware y otros análisis de seguridad.

En una revisión directa, repositorios como Azure/durabletask, Azure/azure-functions-host, microsoft/durabletask-dotnet y Azure-Samples/llm-fine-tuning todavía mostraban el aviso de GitHub Staff:

"El acceso a este repositorio fue deshabilitado por el personal de GitHub debido a una violación de sus términos de servicio."

El ataque no empezaba al ejecutar el proyecto, sino al abrirlo

Un agente de IA para programar es una herramienta que lee, modifica o ejecuta instrucciones dentro de un proyecto de software para ayudar a escribir código. Esa comodidad abrió una puerta delicada: si el repositorio incluye archivos de configuración maliciosos, el asistente puede convertirse en el detonador.

StepSecurity explicó que el commit 5f456b8 agregó cinco archivos y ningún archivo de código fuente legítimo. La carga principal era un JavaScript ofuscado de 4,643,745 bytes apuntado por configuraciones de herramientas de desarrollo.

Los vectores reportados fueron:

  • .claude/settings.json, para ejecutar el payload al iniciar una sesión de Claude Code.
  • .gemini/settings.json, con un mecanismo equivalente para Gemini CLI.
  • .cursor/rules/setup.mdc, usando una instrucción que presentaba la ejecución como requisito de setup para Cursor.
  • .vscode/tasks.json, con una tarea runOn: folderOpen para VS Code.
  • .github/setup.js, el archivo ofuscado que concentraba el payload de robo de credenciales.

El matiz técnico cambia la lectura del incidente. Clonar un repositorio podía no ser el problema inmediato; abrirlo en el entorno equivocado sí. StepSecurity lo resumió de forma directa: el payload se activa cuando el desarrollador abre la carpeta en una herramienta vulnerable al flujo configurado.

black and gray laptop computer turned on
Photo by Markus Spiske / Unsplash

Azure, Durable Task y CI/CD quedaron en el centro del golpe

La lista reportada por StepSecurity incluye 49 repositorios de Azure, 10 de Microsoft, 13 de Azure-Samples y 1 de MicrosoftDocs. Entre ellos aparecen piezas relacionadas con Azure Functions, Durable Task, conectores, ejemplos de IA y documentación de Windows Driver.

Durable Task no es una herramienta menor dentro del ecosistema de Microsoft. La documentación oficial lo define como el framework de Microsoft para crear flujos y orquestaciones tolerantes a fallos; también señala usos como automatización de infraestructura, pipelines de datos y orquestación de múltiples agentes de IA.

Esta falla tiene un impacto real en los equipos que implementan el software El repositorio Azure/Functions Action fue reportado como "deshabilitado" en las preguntas y respuestas de Microsoft, lo que afecta a los flujos de trabajo que utilizan Azure/Functions Action@v1 Los moderadores de Microsoft señalaron alternativas a los usuarios en una encuesta en curso, como Azure CLI, Azure DevOps Pipelines, Deploy via VS Code, Zip Deploy y Azure Pipelines.

El propio repositorio Azure/functions-action describe esa acción como una herramienta para desplegar código empaquetado en una Function App de Azure mediante GitHub Actions. Por eso la caída no era solo simbólica: podía frenar pipelines de producción que dependen de esa referencia.

Miasma ya venía escalando antes de tocar repositorios de Microsoft

El ataque está relacionado con la actividad de la cadena de suministro denominada "Miasma" que Microsoft Threat Intelligence documentó hace unos días en el paquete npm de @redhat-cloud-services. En el informe, Microsoft dijo que el ataque implicó la manipulación de más de 90 versiones de 32 malware, buscando credenciales de GitHub, npm, AWS, Azure, GCP, HashiCorp Vault, Kubernetes y sistemas de desarrollo.

El ataque está relacionado con la actividad de la cadena de suministro denominada "Miasma" que Microsoft Threat Intelligence documentó hace unos días en el paquete npm de @redhat-cloud-services. En el informe, Microsoft dijo que el ataque implicó la manipulación de más de 90 versiones de 32 malware, buscando credenciales de GitHub, npm, AWS, Azure, GCP, HashiCorp Vault, Kubernetes y sistemas de desarrollo.

StepSecurity vincula el incidente de junio con la toma de posesión del paquete DurableTask en PyPI en mayo y da tres explicaciones posibles: "las credenciales no se actualizaron completamente", "la cuenta del mantenedor del paquete volvió a ser invadida por un gusano" y "se explotó otro token con metadatos falsificados". Esta noticia aún no ha sido confirmada por Microsoft y aún se encuentra en fase de revisión técnica.

La lección para equipos en México: los secretos de desarrollo ya son superficie de ataque

Para startups, áreas de TI y equipos corporativos en México que usan Azure o GitHub Actions, el riesgo principal no es “usar IA para programar”. El riesgo es tratar los repositorios públicos y los agentes de IA como si siguieran siendo herramientas pasivas.

StepSecurity recomendó que quienes hayan clonado repositorios afectados después del 2 de junio de 2026 y los hayan abierto en VS Code, Claude Code, Cursor o Gemini CLI traten el sistema como comprometido, roten credenciales y auditen archivos sospechosos como .claude/, .gemini/, .cursor/, .vscode/tasks.json o .github/setup.js.

Para pipelines que dependían de Azure/functions-action@v1, la recomendación técnica fue moverse temporalmente a métodos alternativos y, cuando el repositorio vuelva a estar disponible, fijar acciones por commit SHA en vez de usar etiquetas mutables como @v1.

La realidad es que una cuenta legítima, un commit aparentemente normal y una herramienta de inteligencia artificial con suficientes privilegios-no necesita nada más para completar una cadena de ataques, incluso sin explotar las vulnerabilidades clásicas para usar agentes de inteligencia artificial para acelerar el desarrollo. Los equipos no deberían preocuparse por la seguridad a menos que ejecute el código antes de abrir la carpeta ya ha comenzado

Fuentes: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10

Ricardo Perez imagen de perfil
por Ricardo Perez

Leer más de Tecnología y Ciencia