Microsofts Open-Source-Tools wurden gehackt und zum Diebstahl von Passwörtern von KI-Entwicklern missbraucht

Könnte das vielleicht der Grund sein, warum ich weiterhin Anmeldeversuche für mein MS-Konto bekomme, selbst wenn ich das Passwort ändere?

Hacker-News-Kommentare

• Das ist reine Spekulation und eine persönliche Beobachtung, aber das frühere RBAC-Modell war praktisch schon kaputt und wirkt jetzt völlig zerbrochen.
  Coding-Assistenten und Engineers fassen gleichzeitig viele voneinander unabhängige Projekte an, und besonders dadurch, dass sie nun sogar Experimente machen, für die früher keine Zeit da war, ist das Supply-Chain-Risiko in Unternehmen meiner Meinung nach stark gestiegen.
  Ich sage nicht, dass das direkt damit zusammenhängt, aber ich glaube, es hat Einfluss, und dass Entwickler und Manager vielerorts inzwischen dazu drängen, mit privaten Geräten irgendwie schnell AI-Coding zu betreiben, dürfte bald ebenfalls zum Problem werden.
  Es fällt schwer zu glauben, dass es unter den jüngsten Supply-Chain-Vorfällen kein gemeinsames Muster gibt, und dass es Hackergruppen gibt, die sich auf solche Angriffe spezialisieren, liegt meiner Meinung nach daran, dass die Belohnung groß ist.

  • Nur zur Klarstellung: Der ursprüngliche Kommentar behauptet nicht, dass das zusammenhängt, aber das hat überhaupt nichts mit AI oder Vibe Coding zu tun.
    Das ist eine Fortsetzung der schon lange bestehenden fehlenden Sicherheit bei der Installation von Entwickler-Abhängigkeiten und des Shai-Halud-Wurms.
    Hacker haben herausgefunden, dass es leicht ist, Entwickler dazu zu bringen, irgendetwas zu installieren, und dass Entwicklergeräte ideale Ziele sind, weil dort viele sensible Daten wie Zugangsdaten, Cloud-CLIs und MCP liegen.
  • Bei uns in der Firma ist es ähnlich. So eine Art Dogma nach dem Motto: „Wenn wir nicht so viel wie möglich mit AI machen, fallen wir zurück.“
    Sicherheit wird ignoriert, Hauptsache man rennt als Erster aus der Gruppe los — es fühlt sich wie eine exakte Wiederholung des früheren IoT-Hypes an.
  • Ich habe jahrelang darauf hingewiesen, dass wir im Verhältnis zur Gesamtzahl der Projekte viel zu wenig Personal haben, aber das Management meinte, die meisten Projekte lägen brach, also sei es okay, jeder Person viele davon aufzubürden.
    Am Ende kommt dann genau so etwas heraus.
  • Ich frage mich, ob gemeint ist, dass rollenbasierte Zugriffskontrolle, also RBAC, durch etwas anderes ersetzt werden sollte, oder ob nur bestimmte heute verwendete RBAC-Modelle kaputt sind.
    Persönlich glaube ich, dass das Capability-basierte Sicherheitsmodell die Zukunft ist, auch wenn der Name etwas verwirrend ist.

• Schon die Überschrift ist tendenziös formuliert, und der Text ist so geschrieben, als sei es die Schuld von Open Source.
  Noch absurder wird es dadurch, dass die Verantwortung für den versuchten Supply-Chain-Angriff Microsoft zugeschoben wird.
  Da steht: Microsoft did not immediately provide the specific number of customers affected, when asked by TechCrunch. — aber TechCrunch erklärt nicht, dass Open Source nun einmal so funktioniert.
  Ich kritisiere Microsoft gern, wenn es Anlass gibt, aber in diesem Fall finde ich, dass Microsoft sichere und richtige Maßnahmen ergriffen hat.
  Der Artikel stellt es so dar, als sei alles Microsofts Fehler und als sei es etwas Peinliches, den Umfang der Kompromittierung begrenzt zu haben.
  Auch die Formulierung steal passwords of AI developers lässt eine merkwürdige Doppeldeutigkeit offen: Sind damit „AI-Entwickler“ gemeint oder „Entwickler, die AI verwenden“?
  Auch die Erklärung des Supply-Chain-Angriffs beschreibt nicht dessen eigentliche Bedeutung, sondern nur das Ergebnis und warum die Angriffsfläche existiert, daher halte ich diese Berichterstattung für sehr schlecht.

  • TechCrunch ist sehr nachlässig und schwer vertrauenswürdig.
    Ich habe schon erlebt, dass über Dinge berichtet wurde, an denen ich direkt gearbeitet hatte, wobei für Suchmaschinenoptimierung Fakten frei erfunden wurden, und es gab keinen Weg, eine Korrektur durchzusetzen.
  • Ich verstehe nicht, was an diesem Satz problematisch sein soll.
    Microsoft hat strukturelle Sicherheitsprobleme, und dass GitHub Actions nicht ausreichend abgesichert waren und Merge Requests die CI/CD umgehen konnten, hat das begünstigt oder sichtbar gemacht.
    Das ist ein Microsoft-Problem, das schon vor AI existierte, und darüber gibt es auch keine Debatte: https://www.cisa.gov/sites/default/files/2025-03/CSRBReviewO...
    Im AI-Zeitalter hat sich dieses Problem endemisch verbreitet und wird nun als Waffe eingesetzt.
  • Dann würde mich interessieren, wie du die Post-Mortem-Analyse siehst.
    Was genau ist tatsächlich passiert, und wie sollte man das lesen?

• Das scheinen relevante Beiträge zu sein
  https://news.ycombinator.com/item?id=48418318 (The Blight Reaches Microsoft: 73 Repos Disabled in 105 Seconds)
  https://news.ycombinator.com/item?id=48450543 (Miasma Worm Hits Microsoft Again: Azure Functions Action and 72 Other Repositories Disabled After Supply Chain Attack Targeting AI Coding Agents)
  https://news.ycombinator.com/item?id=48416155
  https://news.ycombinator.com/item?id=48416269 (Miasma Worm Targets AI Coding Agents via GitHub Repos)

  • Für alle infizierten Repositories wurde ein Mitigation-Tool erstellt, mit dem sich der Wurm reparieren oder entfernen lässt, und dazu wurde auch ein Beitrag geschrieben
    Am Montag hat die Hades-Kampagne Unterstützung für Composer, Go und Pip hinzugefügt. Davor wurden nur NPM und AI-Assistant-Editoren unterstützt; Ruby war zwar auch dabei, aber es scheint heute kaum noch jemand Rubygems zu verwenden
    Was selbst Microsoft übersieht, ist, dass dies der erste Wurm ist, der auf allen Plattformen des Code-Ökosystems läuft. Er läuft auf Entwickler-Hosts, Servern und CI/CD-Runnern und verbreitet sich in alle Repositories, auf die diese Systeme zugreifen können
    Um diesen Wurm zu besiegen, müsste man alle Computer sowie AWS EC2, Google Cloud Platform, Azure und Kubernetes-Cluster gleichzeitig zu 100 % abschalten. Er verbreitet sich buchstäblich über die gesamte Infrastruktur hinweg
    Wie bei APT28-Malware üblich, besteht der Kill Switch darin, die Host-Sprache auf ru_RU.KOI8-R zu setzen, also die Umgebungsvariable LANG. Dann wird der Verbreitungsmechanismus deaktiviert
    Mitigation-Tool: https://github.com/cookiengineer/antimiasma
    Blogbeitrag: https://cookie.engineer/weblog/articles/malware-insights-mia...

• Ich vermute stark, dass es sich um einen Fall schlampiger Nutzung traditioneller Personal Access Tokens handelt
  Wenn man Tokens an AI-Agenten auf irgendeinem seltsamen openclaw-Gerät weitergibt, sollte man fein granulare Tokens verwenden
  Mein GitHub-Konto erstreckt sich über drei Organisationen mit völlig unterschiedlichen Richtlinien, und ich finde es immer noch etwas erstaunlich, dass klassische Tokens weiterhin erlaubt sind
  Zumindest sollte man sie für jede Organisation manuell freigeben müssen

  • AI-Agenten sollten meiner Meinung nach eigene Sicherheitsprinzipale sein und nur für die benötigten Repositories oder Organisationen dedizierte Access Tokens erhalten
    Ein für menschliche Konten „geprägtes“ Access Token an AI-Agenten weiterzugeben, fühlt sich an wie das neue „Passwort auf einen Post-it schreiben“
  • Stimmt, aber das Rechtemanagement für fein granulare Tokens ist fast ein Albtraum
    Es ist nicht leicht zu beurteilen, was für welche Aufgabe genau nötig und korrekt ist
    Außerdem denken viele Softwareentwickler, dass es wichtiger ist, sich auf den Code statt auf Berechtigungen zu konzentrieren, und sehen Rechte oft als Verantwortung anderer
  • Wenn ein klassisches PAT die Ursache ist, bedeutet das dann nicht, dass neben den jüngsten GitHub-Repositories auch zusätzliche private Repositories gefährdet sein könnten?
  • Für das Scraping öffentlicher Repositories verwende ich klassische Tokens von Konten mit niedrigen Rechten
    Berechtigungen auf Organisationsebene würden für meinen Zweck vermutlich völlig ausreichen

• Gestern musste ich das Passwort meines persönlichen Microsoft-Kontos zurücksetzen, weil ich eine Zwei-Faktor-Authentifizierungs-Benachrichtigung wegen eines Anmeldeversuchs aus Rumänien bekommen habe
  Ich habe keine Ahnung, wie man an das Passwort gekommen ist. Das einzige Microsoft-Produkt, das ich besitze, ist eine Xbox
  Schon vor AI wirkte Microsoft auf mich undicht wie ein Sieb, und ich wünschte, mein Unternehmen könnte sich von Microsoft lösen, aber wir hängen bereits fest

  • Bei einem persönlichen Microsoft-Konto ist es fast unmöglich, passwortlose Anmeldung nicht zu erlauben
    Daher ist das Konto in der Praxis wahrscheinlich genau so eingerichtet, und die MFA-Anfrage, die du erhalten hast, war womöglich gar keine Zwei-Faktor-Authentifizierung, sondern einfach ein Versuch, auf das Konto zuzugreifen
    Ich habe solche Anfragen auch mehrmals täglich bekommen und festgestellt, dass die Einrichtung der Microsoft-Authenticator-App auf dem Telefon bei aktivierter Sperre wie Gesicht, Fingerabdruck oder PIN zwangsweise auf passwortlos umstellt
    Um das zu umgehen, muss man beim Einrichten des Kontos in der Authenticator-App all diese Sperren deaktivieren
    Da ich mein Microsoft-Konto kaum nutze, authentifiziere ich mich inzwischen per separater E-Mail statt über den Authenticator
    Dass das überhaupt so funktioniert, ist wahnsinnig, aber vermutlich erfüllt irgendjemand intern bei Microsoft damit KPIs für passwortlose Anmeldungen
  • In einigen Organisationen, in denen ich gearbeitet habe, wurden MFA-Prompts angezeigt, unabhängig davon, ob das Passwort korrekt war oder nicht. Das sollte einfach die Zeit der Angreifer verschwenden
    Ich weiß allerdings nicht sicher, ob Microsoft das auch so macht

• Ich wünschte, jemand würde erklären, wie man in so viele Repositories obfuskierte Dateien einschleusen kann. Gibt es überhaupt keine Code-Reviews?
  Auch die Überschrift ist irreführend. setup fügt Konfigurationen hinzu, die von den Leuten, die im Repository arbeiten, automatisch ausgeführt werden, und diese Leute müssen VSCode, Cursor, Claude oder Gemini verwenden.
  Wer Codex, opencode oder andere Execution-Harnesses nutzt, dürfte sicher sein.
  Details: https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-...

  • Ich habe einen guten Freund, der bei einem großen Konzern arbeitet. Ich kann nicht sagen, welche Firma, aber es ist ein S&P-500-Unternehmen.
    Er arbeitet dort schon ziemlich lange, hat aber noch nie gesehen, wie das Projekt, für das er zuständig ist, tatsächlich aussieht; er hat das Repository geklont und kennt die verwendete Sprache, aber mehr auch nicht.
    Alles wird gerade grob mit AI zusammengeklebt. Das Projekt ist das Authentifizierungs- und Autorisierungssystem für das gesamte Produkt des Unternehmens.
    Laut ihm: „Ich drücke den ganzen Tag nur Tab und schreibe in Reviews ‚beabsichtigtes Verhalten‘. Die Reviews macht komplett AI, Menschen greifen nicht ein. CEO und CTO meinen das todernst und wollen, dass wir so arbeiten. Wenn etwas kaputtgeht, hat niemand je den eigentlichen Code gesehen, also weiß auch niemand, wie es funktioniert. Die Leistungsbewertung richtet sich nicht danach, was wir geschafft haben, sondern nach der Zahl der verwendeten Tokens.“
    Es ist gut möglich, dass es derzeit in vielen Unternehmen so läuft, und es wäre nicht abwegig anzunehmen, dass es keine echten Code-Reviews gibt.
  • Viele der bösartigen Commits sind mit dem Autor github-actions gekennzeichnet.
    Das heißt, es wurde in die interne GitHub-CI/CD-Schiene authentifiziert, und solche Commits gibt es so viele, dass es für jedes Automatisierungstool schwer wäre, in einem Heuhaufen aus Spreu das Gift zu finden.
    Deshalb hängt das mit der GitHub-Sicherheitsverletzung vom September 2025 zusammen.
    „Die GitHub-Stars der fünf Repositories summieren sich auf 1.459, wovon allein mantine-datatable 1.225 ausmacht. Stars sind ein grober Proxy dafür, wie viele Entwickler den Quellcode lokal ausgecheckt haben, und genau diese Gruppe ist das Ziel des Angriffs.“
    „Alle Commits waren unsigniert, hatten die Identität github-actions und hinterließen dieselbe Sechs-Dateien-Signatur mit Nachrichten wie chore: update dependencies [skip ci]. Dass fünf Repositories in 49 Sekunden abgearbeitet wurden, war kein Mensch, sondern Automatisierung. Das passt zur Selbstverbreitung von Shai-Hulud, bei der nach dem Einsammeln von GitHub-Tokens mit Schreibrechten aus einer früheren Infektion ein Persistence-Payload in jedes Repository gepusht wird, das diese Tokens erreichen.“
    https://safedep.io/miasma-worm-ai-coding-agent-config-inject...
    So funktioniert es tatsächlich: https://safedep.io/config-files-that-run-code/
    Ich habe mit diesen Leuten nichts zu tun, aber das ist die einfachste und zugleich detaillierteste Erklärung, die ich bisher dazu gefunden habe, was hier gerade passiert.
  • Ein Kollege fragte ganz ernsthaft: „Wenn wir jetzt den Großteil des Codes generieren, wer liest diesen Code dann eigentlich vollständig?“
    Es ist eine kleine Firma, aber bei manchen Leuten wirkt der Drang, AI wie einem Orakel zu vertrauen, fast religiös.
    Ich lese mehr als 90 % des von mir generierten Codes so, als würde ich den Code eines Junior-Entwicklers reviewen.
    Ich betreibe gerade ziemlich intensiv Vibe Coding an einem neuen Feature, aber sobald GitHub-PRs wieder funktionieren, werde ich alles gründlich lesen.
  • Wenn ein Account kompromittiert wurde, der in das Repository pushen kann, wäre ein PR-Review gar nicht nötig gewesen.

• Und solchen Leuten vertrauen wir die Root-CA-Zertifikate für Secure Boot an?

  • Meinst du die Firma, die bei der Sicherheitsüberprüfung 2023 durchgefallen ist? [0]
    „Jeder der oben beschriebenen Mängel mag für sich genommen noch nachvollziehbar sein. In ihrer Gesamtheit weisen sie jedoch auf ein Versagen von Microsofts organisatorischen Kontrollen, Governance und Unternehmenskultur im Umgang mit Sicherheit hin.“
    Microsofts Produkte und Services sind überall. Das Unternehmen ist eines der wichtigsten Technologieunternehmen der Welt, vielleicht sogar das wichtigste. Mit dieser Stellung geht Verantwortung auf höchstem globalem Niveau einher. Es braucht eine verantwortungsvolle, sicherheitsorientierte Unternehmenskultur, die beim CEO beginnt, damit Finanz- oder Go-to-Market-Faktoren die Cybersicherheit und den Schutz von Microsoft-Kunden nicht untergraben.
    „Leider hat der Ausschuss im Verlauf dieser Prüfung eine Reihe operativer und strategischer Entscheidungen festgestellt, die auf eine Unternehmenskultur bei Microsoft hindeuten, in der sowohl Investitionen in die Unternehmenssicherheit als auch rigoroses Risikomanagement niedrige Priorität hatten. Diese Entscheidungen haben weltweit erhebliche Kosten und Schäden für Microsoft-Kunden verursacht.“
    „Der Ausschuss ist überzeugt, dass Microsoft seine Sicherheitskultur in Ordnung bringen muss.“
    [0] https://www.cisa.gov/resources-tools/resources/CSRB-Review-S...
  • Die Root of Trust für Secure Boot ist normalerweise nicht ein Microsoft-Zertifikat, sondern ein OEM-Zertifikat, und das könnte sogar schlimmer sein: https://www.binarly.io/blog/pkfail-untrusted-platform-keys-u...
    Wie auch immer, es steht dir frei, das Microsoft-Zertifikat zu entfernen und dein eigenes zu registrieren.
  • Weniger „Vertrauen“ als vielmehr „man muss es zwangsweise akzeptieren“.
    Auch dieser Vorfall setzt nur die Vorgeschichte fort, in der Microsoft weniger ein Unternehmen war, das sich um Sicherheit kümmert, sondern eher selbst ein Sicherheitsproblem.
  • Microsoft in Sicherheitsfragen zu vertrauen, ist töricht.
    Sie haben in den letzten 40 Jahren immer wieder gezeigt, dass es ihnen egal ist.

• Vielleicht habe ich es erst spät erkannt, aber ich sage schon seit Längerem: Auch wenn man KI aus Gründen wie „der Code ist schlecht“ nicht einsetzen will, sollte man zumindest für Sicherheitsaudits den Einsatz von KI in Betracht ziehen.
  Zumindest sollte man Tools verwenden, die Code auf Schwachstellen scannen.
  Der Angriffsvektor umfasst nicht nur Plugins, die Daten stehlen, sondern auch 0-Day-Schwachstellen in fast jeder eingesetzten Software sowie Script-Kiddies mit LLMs, die eure Webdienste angreifen.
  Hacking wird zunehmen und schlimmer werden, daher sollte man jede Organisation überdenken, die nicht in Cybersicherheitsaudits und Audit-Tools investiert.

• Niemand sollte auf dem eigenen Rechner einfach npm install oder pip install ausführen.
  Wenn man konsequent geeignetes Sandboxing (https://github.com/ashishb/amazing-sandbox) nutzt, kann man den Schadensumfang solcher Angriffe stark begrenzen.

  • Führt das Docker-Backend Befehle in einem rootless Container aus?
    Ich habe den Code überflogen, konnte aber nichts finden, das das bestätigen würde.
  • Docker ist keine ernsthafte Sandboxing-Strategie.
  • Wenn gemeint ist, dass man npm install oder pip install nicht auf dem eigenen Rechner ausführen soll: Welche Alternative wird dann vorgeschlagen?
    Bedeutet das, dass man sie nicht außerhalb einer Sandbox installieren sollte?
  • Gibt es hier auch eine Erkennungskomponente?
    Entwicklung in einer Sandbox ist gut, aber der nächste Schritt ist das Deployment in Produktion.
    Wie erkennt man, ob innerhalb der Sandbox bösartiges Verhalten stattgefunden hat, damit man diese Malware nicht weiter ausrollt?

• Es ist viel zu komisch, dass Microsofts Github den Zugriff von Microsoft Azure und allen anderen Nutzern auf Microsofts Codebasis wegen eines Verstoßes gegen die Nutzungsbedingungen ausgesetzt hat.
  Das vermittelt die Organisationsstruktur auf sehr anschauliche Weise: https://www.businessinsider.com/big-tech-org-charts-2011-6