Nuovo allarme sicurezza: pacchetti Microsoft infetti

Ben 73 pacchetti open source pubblicati attraverso repository ufficiali Microsoft sono stati compromessi e trasformati in vettori di distribuzione di malware specializzato nel furto di credenziali.

L’incidente, emerso nei primi giorni di giugno 2026, rappresenta uno dei casi più gravi dell’anno per la software supply chain: il codice era firmato, verificato crittograficamente e distribuito tramite canali considerati affidabili. Il peso dell’episodio cresce ulteriormente perché si tratta del secondo attacco riuscito contro asset open source Microsoft nel giro di poche settimane, dopo la compromissione del framework Durable Task scoperta a maggio.

Come sono stati violati i repository e cosa fa Miasma

Gli aggressori hanno ottenuto credenziali legittime utilizzate per pubblicare aggiornamenti software, distribuendo versioni modificate dei pacchetti con un payload malevolo da circa 28 KB. Il software appariva autentico, proveniva da repository ufficiali e superava le verifiche di provenienza normalmente utilizzate dagli sviluppatori.

GitHub ha inizialmente bloccato i repository classificandoli come violazioni dei termini di servizio; solo successivamente Microsoft ha confermato la presenza di contenuti malevoli e rimosso temporaneamente diversi progetti.

Il codice dannoso è identificato come Miasma, variante evoluta del toolkit Mini Shai-Hulud associato al gruppo TeamPCP. Il malware raccoglie credenziali da account AWS, Azure, Google Cloud Platform, configurazioni Kubernetes, password manager e oltre novanta strumenti di sviluppo, propagandosi poi lateralmente nelle infrastrutture cloud.

Gli operatori della campagna hanno inoltre puntato ai token OIDC utilizzati nei processi di attestazione della provenienza del software, riuscendo a pubblicare codice apparentemente affidabile senza violare direttamente le infrastrutture di GitHub.

Gli agenti AI come nuova superficie di attacco

Uno degli aspetti più rilevanti dell’operazione riguarda il ruolo degli assistenti di programmazione basati sull’Intelligenza Artificiale.

Il malware era progettato per attivarsi quando il codice veniva aperto o elaborato da agenti AI con accesso a file locali, repository Git, terminali e credenziali di sviluppo. Tra gli ambienti colpiti figurano Claude Code, Gemini CLI, Cursor e Visual Studio Code. La crescente integrazione tra modelli linguistici e strumenti operativi sulle workstation degli sviluppatori apre scenari inediti: un pacchetto compromesso può diventare un punto d’ingresso verso segreti aziendali e chiavi API senza richiedere tecniche di attacco sofisticate.

Miasma genera inoltre payload cifrati differenti per ogni infezione, rendendo inefficaci gli indicatori basati sugli hash dei file e ostacolando il rilevamento da parte delle piattaforme di sicurezza che si affidano a firme statiche.

Le organizzazioni che hanno utilizzato uno dei 73 pacchetti coinvolti dovrebbero verificare immediatamente gli account di sviluppo, ruotare chiavi e token esposti, nonché analizzare i log delle attività cloud.

La vicenda dimostra che firme digitali e attestazioni di provenienza non bastano quando gli aggressori ottengono credenziali legittime: con la diffusione degli agenti AI nei flussi di sviluppo, proteggere gli account privilegiati e i sistemi di pubblicazione software diventa una priorità critica per l’intera industria.