73 repositorios en 105 segundos. Hackers atacaron en dos ocasiones proyectos de Microsoft. ¿Cuál es el alcance del daño del que la empresa guarda silencio?
Detectan código malicioso en proyectos de Microsoft dirigido a desarrolladores que trabajan con IA
Incluso las grandes empresas tecnológicas no siempre detectan el peligro donde los desarrolladores tienden a confiar en el código casi de forma automática. Microsoft cerró temporalmente el acceso a decenas de sus proyectos abiertos en GitHub después de que en algunos repositorios se encontrara código malicioso, que robaba contraseñas y otras credenciales.
Bajo sospecha quedaron proyectos relacionados con la plataforma en la nube Microsoft Azure, Durable Task y herramientas que usan los desarrolladores cuando escriben código con asistentes de IA. Entre esos entornos se mencionaron Claude Code, la interfaz de línea de comandos de Gemini, Cursor y Visual Studio Code. Según Cloudsmith, OpenSourceMalware y StepSecurity, los atacantes añadieron a los proyectos archivos de configuración que podían robar secretos cuando el usuario abría el repositorio infectado en el entorno de desarrollo.
Microsoft confirmó que retiró temporalmente parte de los repositorios mientras realizaba la verificación. El representante de la compañía Ben Hope informó que algunos proyectos ya se han restaurado tras el análisis, mientras que otros siguen inaccesibles mientras continúa la investigación. La empresa también notificó a un pequeño número de clientes que podrían haber descargado el contenido de los repositorios afectados. Microsoft no reveló cuántos usuarios u organizaciones resultaron perjudicados.
Según OpenSourceMalware, el 5 de junio GitHub desconectó 73 repositorios de Microsoft en cuatro organizaciones en 105 segundos. Entre ellos se encontraban toda la organización Azure Functions, la familia Durable Task y varios ejemplos de aplicaciones con IA. En las páginas de los proyectos desconectados aparecía un mensaje indicando que el acceso al repositorio había sido cerrado por el personal de GitHub por incumplimiento de las condiciones del servicio.
El incidente resulta especialmente inquietante por su relación con un hackeo previo. En mayo los atacantes ya habían atacado el proyecto Durable Task y publicado tres versiones maliciosas de la herramienta. OpenSourceMalware describió el nuevo caso como una nueva compromisión de Durable Task. Ese escenario podría significar que Microsoft no expulsó completamente a los atacantes después del primer ataque o que se enfrentó a un nuevo ataque independiente.
La modificación maliciosa en Durable Task estaba dirigida a usuarios que abren el repositorio mediante herramientas de desarrollo con IA. En ese caso, el programa podía acceder a contraseñas, tokens y otros secretos que los desarrolladores suelen necesitar para trabajar con sistemas en la nube, repositorios de código e infraestructura interna.
El ataque corresponde a una compromisión de la cadena de suministro. En esos casos, los atacantes no atacan el objetivo final directamente, sino el código o las bibliotecas en las que confían otros desarrolladores y empresas. Este enfoque es especialmente peligroso cuando el proyecto infectado lo usan personas con acceso a servicios en la nube, entornos de trabajo y datos de clientes.
Cuando se desconectaron los repositorios, esto pudo interrumpir procesos automáticos en GitHub si las compilaciones o los flujos de trabajo dependían de los proyectos cerrados de Microsoft. En las discusiones de los foros, los usuarios se quejaron de que la compañía prácticamente no explicó públicamente la magnitud del problema. Mientras Microsoft continúa la verificación, los desarrolladores afectados deberán revisar las copias descargadas de los proyectos, comprobar las credenciales y reemplazar los secretos que podrían haber caído en manos ajenas.