GitHub ha deshabilitado 73 repositorios de Microsoft después de que un actor de amenazas los comprometiera con malware peligroso. La intrusión se habría apoyado en secretos de GitHub Actions robados un mes antes y nunca rotados.
El impacto va más allá de una limpieza puntual. Varios repositorios afectados forman parte de Azure, Azure-Samples, microsoft y MicrosoftDocs, y algunos flujos que dependen de ellos dejaron de resolver referencias como Azure/functions-action@v1.
Un ataque que reutilizó secretos robados un mes antes
La investigación apunta a que el ataque de mediados de mayo de 2026 sirvió como puerta de entrada. Según Cloudsmith y OpenSourceMalware, entonces se usaron secretos robados de Microsoft para publicar paquetes maliciosos en PyPI, que fueron retirados con rapidez.
El problema, según esas mismas fuentes, es que los secretos no se habrían rotado después de aquel incidente. El mismo actor habría reutilizado esas credenciales para entrar en nuevos repositorios y desplegar el gusano Miasma.
- 73 repositorios deshabilitados.
- Cuatro organizaciones afectadas: Azure, Azure-Samples, microsoft y MicrosoftDocs.
- 49 repositorios retirados solo en Azure.
- El alcance golpeó sobre todo a los repositorios del equipo de Functions.
Miasma reemplazó a Mini Shai-Hulud en esta oleada
La variante detectada esta vez no fue Mini Shai-Hulud, sino Miasma, una derivación que apareció después de que TeamPCP abriera el código de Mini Shai-Hulud. El efecto práctico cambió poco para quienes dependían de esos repositorios: contenido retirado, referencias rotas y pipelines afectados.
Microsoft confirmó a TechCrunch que retiró temporalmente algunos repositorios mientras investigaba contenido potencialmente malicioso. Ben Hope explicó que algunos ya se han restaurado tras la revisión, mientras que otros siguen fuera de línea. También indicó que se notificó a un grupo reducido de clientes que pudo haber descargado contenido de los repositorios afectados.
Qué queda ahora sobre la mesa para los clientes afectados
La compañía no precisó cuántos clientes resultaron afectados. La propia fuente apunta a que la cifra podría situarse en decenas de miles o más, aunque Microsoft no la ha confirmado. Para los equipos que consumen esos repositorios, el problema no es solo el malware publicado, sino la dependencia de código y acciones internas que dejaron de estar disponibles.
El caso enlaza con otros incidentes recientes en GitHub, como el hackeo de miles de repositorios internos o la oleada de paquetes comprometidos en npm. En nuestra cobertura sobre el fallo de una extensión que expuso miles de secretos en GitHub ya se vio hasta qué punto una credencial mal gestionada puede ampliar el alcance de un ataque. Aquí, el patrón se repite con una consecuencia más concreta: repositorios retirados, workflows rotos y una investigación que sigue abierta.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
FAQ
GitHub ha deshabilitado 73 repositorios. La mayoría del impacto se concentró en la organización Azure, que perdió 49 repositorios.
La fuente habla de secretos de GitHub Actions robados un mes antes y no rotados después del incidente inicial. Esas credenciales habrían servido para comprometer nuevos repositorios.
La campaña afectó a Azure, Azure-Samples, microsoft y MicrosoftDocs. El golpe más grande se lo llevó Azure, según los datos aportados por los investigadores.
Microsoft explicó a TechCrunch que retiró temporalmente algunos repositorios mientras investigaba contenido potencialmente malicioso. También señaló que algunos ya se han restaurado y que notificó a ciertos clientes.
Comentarios