- 攻撃者がローテーションされていないGitHub Actionsのシークレットを悪用し、Microsoftの73件のリポジトリを侵害
- AzureやMicrosoft、Azure-Samples、MicrosoftDocsの各組織にMiasmaワームが埋め込まれる
- Microsoftは影響を受けたリポジトリを削除し、顧客に通知のうえ調査を継続
GitHubは、Microsoftのリポジトリ73件を無効化しました。脅威アクターが約1か月前に窃取した認証情報を使ってリポジトリに侵入し、情報窃取型マルウェアを仕込んだとされています。
この事実は、セキュリティ企業Cloudsmithとコミュニティ主導のマルウェア解析サイトOpenSourceMalwareによって明らかになりました。両者の報告によると、2026年5月中旬、何者か(TeamPCPとみられる)がMicrosoftのGitHub Actionsのシークレットを悪用し、悪意のあるPyPIパッケージを公開しました。これらのパッケージはすぐに削除されましたが、Microsoftはこの攻撃で使用されたシークレットをローテーションしていなかったようです。
今回、同一の脅威アクターが同じ認証情報を使い、Azure、Azure-Samples、microsoft、MicrosoftDocsという4つのGitHub組織にまたがる73件の新たなリポジトリを侵害したとみられています。最も大きな被害を受けたのはAzure組織で、49件のリポジトリが影響を受けました。これはFunctionsチームが公開しているリポジトリのほぼ全てに相当します。
深刻な影響
今回の攻撃で大きく異なる点は、配布されたのがMini Shai-Hulud ワームではなく、TeamPCPがMini Shai-Hulud をオープンソース化した後に派生して登場したMiasmaワームだったことです。
研究者たちは、一部のライブラリが他のユーザーのパイプライン内で動作していることから、実際の影響は非常に深刻だと指摘しています。たとえば、Azure/functions-action@v1を参照するすべてのワークフローが解決できない状態に陥りました。
Microsoftの広報担当者であるBen Hope氏はTechCrunchに対し、同社が「悪意のあるコンテンツの可能性について調査するため、一部のリポジトリを一時的に削除した」と説明しました。
「一部のリポジトリはレビューを経て復元されましたが、対応作業が続く間はオフラインのままとなるものもあります」とHope氏は付け加えました。「調査の一環として、影響を受けたリポジトリからコンテンツをダウンロードした可能性がある少数の顧客に通知を行いました。引き続き調査を進め、顧客側での対応が必要な事項が新たに判明した場合は、既存のサポートチャネルを通じて直接ご連絡します。」
今回のインシデントが何人の顧客に影響したかについて、Microsoftは明確な回答を避けています。しかし、影響を受けた顧客は数万人規模に上る可能性が高く、それ以上になることも十分に考えられます。
