Microsoft heeft tientallen open-sourceprojecten op GitHub tijdelijk offline gehaald vanwege onderzoek naar mogelijke kwaadaardige code. De maatregel trof onder meer projecten rond Azure Functions, Durable Task en AI-gerelateerde ontwikkeltools. Ook ontwikkelaars die afhankelijk zijn van bijbehorende GitHub Actions ondervonden hinder.
Dit meldt OpenSoureMalware. Op 5 juni werden meer dan zeventig repositories van Microsoft binnen enkele minuten uitgeschakeld. De projecten waren verdeeld over meerdere GitHub-organisaties, waaronder Azure, Azure-Samples en MicrosoftDocs. Bezoekers kregen daarbij de melding dat de toegang door GitHub was uitgeschakeld wegens een schending van de gebruiksvoorwaarden.
Onderzoek naar malware
Microsoft heeft tegenover TechCrunch bevestigd dat de repositories bewust offline zijn gehaald. Volgens woordvoerder Ben Hope gebeurde dat vanwege onderzoek naar mogelijke kwaadaardige inhoud. Een deel van de repositories is inmiddels na controle weer beschikbaar gemaakt, terwijl andere projecten offline blijven zolang het onderzoek voortduurt.
Microsoft maakte daarnaast bekend dat een beperkt aantal klanten is geïnformeerd omdat zij mogelijk code uit de getroffen repositories hebben gedownload. Het bedrijf heeft niet bekendgemaakt hoeveel gebruikers precies zijn geraakt.
Een groot deel van de getroffen repositories had betrekking op Azure Functions. Het ging onder meer om de runtime, SDK’s, programmeertaal-specifieke workers, ontwikkeltools en extensies. Ook repositories voor GitHub Actions die worden gebruikt voor het uitrollen van Azure Functions-applicaties werden uitgeschakeld.
Daarnaast verdwenen repositories uit de Durable Task-familie tijdelijk van GitHub. Deze open-sourceprojecten vormen de basis voor workflow- en orkestratiefuncties binnen Azure.
Problemen voor ontwikkelaars
De maatregel had directe gevolgen voor ontwikkelaars die gebruikmaken van GitHub Actions uit de getroffen repositories. Met name gebruikers van Azure/functions-action meldden dat deploymentworkflows niet langer konden worden uitgevoerd omdat de benodigde repository niet meer beschikbaar was.
Microsoft adviseerde gebruikers tijdelijk alternatieve implementatiemethoden te gebruiken, waaronder Azure CLI, Azure DevOps Pipelines, Azure Pipelines, VS Code en Zip Deploy.
Beveiligingsbedrijven Cloudsmith en OpenSourceMalware stellen dat in sommige getroffen projecten malware is aangetroffen. Volgens hun analyse was deze code gericht op het verzamelen van wachtwoorden en andere gevoelige inloggegevens van ontwikkelaars.
De malware zou zich specifiek hebben gericht op gebruikers van AI-ondersteunde ontwikkelomgevingen, waaronder Claude Code, Gemini CLI en Visual Studio Code. Het is niet bekend hoeveel ontwikkelaars de getroffen software hebben gedownload.
Het incident volgt enkele weken na een beveiligingsprobleem rond het open-sourceproject Durable Task. In mei verschenen via PyPI meerdere kwaadaardige versies van het bijbehorende Python-pakket. Onderzoekers concludeerden destijds dat daarbij GitHub Actions-credentials waren misbruikt.
Of er een verband bestaat tussen dat eerdere incident en het huidige onderzoek heeft Microsoft niet bevestigd. Het bedrijf heeft vooralsnog geen technische details vrijgegeven over de oorzaak van de compromittering of de aard van de aangetroffen malware.
Voorlopig blijft een deel van de repositories offline terwijl het onderzoek doorgaat. Microsoft heeft aangegeven aanvullende klanten rechtstreeks te zullen informeren als daar aanleiding toe blijkt.