MiasmaワームがマイクロソフトのGitHubリポジトリ73件を襲う

MiasmaワームがマイクロソフトのGitHubリポジトリ73件を襲う

The Hacker News – Jun 06, 2026

マイクロソフトのGitHubリポジトリ73件がサプライチェーンマルウェア「Miasma」による攻撃の影響を受け、GitHubにより日本時間6月6日深夜に無効化されたという。

影響を受けたリポジトリは以下4つのマイクロソフトのGitHub Organization（組織アカウント）のもの。OpenSourceMalwareによると、これらのリポジトリは、日本時間2026年6月6日01:00:50から同日01:02:35までの105秒間の間に無効化されたという。

• Azure：azure-search-openai-demo-purviewdatasecurity、Connectors-NET-LSP、Connectors-NET-SDK、durabletask、functions-container-action、homebrew-functionsなど49件のリポジトリに影響
• Azure-Samples：llm-fine-tuningなど13件のリポジトリに影響
• microsoft：durabletask-dotnet、durabletask-go、durabletask-js、durabletask-mssqlなど10件のリポジトリに影響
• MicrosoftDocs：1件（windows-driver-docs）のリポジトリに影響

現在、影響を受けたリポジトリの1つである「Azure/azure-functions-host」にアクセスしようとすると、「GitHub利用規約への違反により、このリポジトリへのアクセスはGitHubスタッフにより無効化されています。リポジトリの所有者の方は、詳細についてGitHubサポートまでお問い合わせください」というメッセージが表示されるようになっている。

durabletaskへのコミットから侵害が始まる

Step Securityによると、今回の侵害の起点となったのは「durabletask」リポジトリ。侵害されたContributorアカウントによって同リポジトリへ悪意あるコミット（5f456b8）がプッシュされ、以下5件のファイルが追加されたことにより攻撃がスタートしたという。これらのファイルにより、4つの開発者ツールにおいて自動的なコード実行が達成される仕組みになっていたとされる。

• .claude/settings.json：Claude Code SessionStartフック。このリポジトリ内でClaude Codeのセッションが開始される度に、ペイロードを自動で実行する。
• .gemini/settings.json：Gemini CLI SessionStartフック。上記のClaude Codeと同様の構造を持ち、Gemini CLIセッションが開始されるとトリガーされる。
• .cursor/rules/setup.mdc：Cursor AI用のプロンプトインジェクション。Cursor AIエージェントに対し、ペイロードをプロジェクト設定の要件であるかのように装って実行するよう指示する。「alwaysApply: true」フラグを設定することで、開発者がどのファイルを編集しているかにかかわらず、このルールが有効になるようにしている。
• .vscode/tasks.json：VS Codeの自動実行タスク。開発者がVS Code内でこのフォルダを開くと、AIエージェントが関与しなくとも自動で実行される。
• .github/setup.js：容量4.6MBの悪意あるペイロード。認証情報スティーラーを含む難読化されたJavaScriptファイルで、上記4件の設定ファイルはいずれも同ペイロードファイルを参照している。

5月19日の侵害

OpenSourceMalwareは、今回の攻撃が、5月19日以来のdurabletaskの「再侵害」によるものだと指摘している。

5月19日、Step Securityはマイクロソフトのdurabletask PyPIパッケージにおいて3件の悪意あるバージョンがアップロードされていたことを発見。これらには、AWSやAzure、GCP、Kubernetes、および90件超の開発者ツール構成設定から秘密情報を盗み出す認証情報スティーラーペイロードが含まれていたとされる。TeamPCPの関与が疑われるこの攻撃では、リポジトリのCI/CDパイプライン全体がバイパスされ、侵害された公開用トークンを使ってPyPIへ直接悪性パッケージがアップロードされていたものとみられる。

Step Securityによれば、この悪用された認証情報は、6月の攻撃での悪意あるコミットのプッシュに使われたのと同じContributorアカウントのものだったという。5月と6月、両方の攻撃で同じアカウントが利用されたという事実は、以下3つのうちいずれかのシナリオが発生したことを示唆しているとStep Securityは指摘した。

• このContributorアカウントの認証情報は5月19日以降も更新されておらず、攻撃者は有効なGitHubトークンを保持できていた。
• このContributorアカウントは、ワームマルウェア自身の伝播プロセスを通じて「再侵害」されていた。
• 実際には別のコミッターのトークンが使用されたが、Git Data APIを通じてコミット作成者のメタデータが偽装された。

Miasmaワーム、TeamPCPとの関連

Miasma攻撃の「第3波」か

Step Securityによると、今回の攻撃で使用されたインフラは、より広範な「Miasma」ワームキャンペーンのものと結びついているという。「Mini Shai-Hulud」マルウェアと類似するこのマルウェアはShai-Huludマルウェアの亜種とみられ、GitHub ActionsのシークレットやAWS・Google Cloudの認証情報、Azureサービスプリンシパルの認証情報といった情報を盗み出す性能を持つ。6月1日には、Red Hat社の「@redhat-cloud-services」ネームスペースに属する30件超のnpmパッケージがMiasmaにより侵害されたことが報告されていた。

また、6月3日には、Miasmaの新たな亜種によるサプライチェーン攻撃についてEndor LabsとStepSecurityが報告。この攻撃では57件のnpmパッケージが侵害され、286件超の悪意あるバージョンが公開されている。最大の被害者は月間ダウンロード数408,000回超を誇る@vapi-ai/server-sdk（音声AIプラットフォームVapi.aiの公式SDK）で、月間ダウンロード数12万回超のai-sdk-ollamaなども影響を受けたとされる。

TeamPCPとの関連性

Miasmaの攻撃がTeamPCPによるものなのか、または5月に公開されたShai-Huludマルウェアのソースコードを改変してMiasmaを作り出した別の攻撃者によるものだったのかは不明。一方で、durabletask PyPIパッケージに対する5月19日の攻撃では、TeamPCPのインフラとして知られるC2ドメイン「t.m-kosche[.]com」が使用されていたとされる。5月19日のペイロードとTeamPCPのC2に関連性があることや、5月19日と6月のマイクロソフトリポジトリへの攻撃で同一の侵害アカウントが使われたとみられることから、今回のマイクロソフトリポジトリの侵害もTeamPCPによるものであった可能性が残ることになる。

世界中のCI/CDパイプラインに影響する重大な事態

OpenSourceMalwareは今回の攻撃でマイクロソフトの重要リポジトリ73件が無効化されたことを受け、「この対応により、これらのGitHub Actionsのいずれかを使用しているユーザー全員の継続的インテグレーション・パイプラインが世界中で停止してしまった」と指摘。「とんでもなく重大な事態」だとコメントしている。

Step Securityは特に、CI/CDパイプラインがAzure/functions-action@v1を参照している組織に対し、リポジトリが無効化されている間はAzure CLI など別のデプロイ方法に切り替えること、また、アクションが復元されたら@v1のような変更可能なタグではなく、特定のコミットSHAに固定することを推奨した。

Step Securityのブログ記事では、対策のためのさらに詳しい推奨事項が共有されている。