Microsoft sufre segundo ataque a su cadena de suministro en menos de dos meses: 73 paquetes fueron comprometidos con malware

Qué pasó

A fines de la semana pasada, 73 paquetes de código abierto verificados criptográficamente por Microsoft fueron comprometidos e incorporaron un código avanzado de robo de credenciales que se activaba cuando los desarrolladores los abrían en agentes de codificación con inteligencia artificial. GitHub, plataforma propiedad de Microsoft, bloqueó los paquetes en su sistema automatizado, pero en lugar de informar que se trataba de contenido malicioso, los deshabilitó argumentando una 'violación de los términos de servicio', sin advertir a los desarrolladores que sus sistemas podían estar comprometidos.

Microsoft únicamente reconoció la posibilidad de infección el lunes, mediante un comunicado en el que señaló haber 'removido temporalmente algunos repositorios mientras se investiga potencial contenido malicioso'. La empresa no entregó inicialmente detalles sobre la magnitud del incidente ni sobre las medidas que debían adoptar los equipos de desarrollo que hubieran utilizado los paquetes afectados.

Este es el segundo ataque a la cadena de suministro en menos de dos meses que vulnera una cuenta oficial de repositorio de Microsoft. A mediados de mayo, la firma de ciberseguridad StepSecurity documentó el compromiso del SDK de Python durabletask en el repositorio PyPI, un framework para construir flujos de trabajo tolerantes a fallas y orquestaciones para automatizar transacciones distribuidas, que recibe alrededor de 400.000 descargas mensuales.

Los paquetes comprometidos ejecutaban un payload de 28 kilobytes que sustrae credenciales de servicios como AWS, Azure, Google Cloud Platform, Kubernetes, administradores de contraseñas y más de 90 configuraciones de herramientas para desarrolladores. Posteriormente, el malware se propaga lateralmente a través de las infraestructuras cloud para infectar otras máquinas de desarrollo.

El ataque fue atribuido al actor de amenazas identificado como TeamPCP, y el software malicioso utilizado es rastreado bajo el nombre de Miasma, un clon del toolkit Mini Shai-Hulud que el propio grupo había liberado como código abierto. Según la firma de seguridad Cloudsmith, el malware cosecha credenciales de tokens OIDC (OpenID Connect) utilizadas en la atestación de procedencia SLSA, un estándar para garantizar criptográficamente la integridad del software, y se valió de un token legítimo de Microsoft para distribuirse.

Contexto

El caso se inscribe en una tendencia creciente de ataques a la cadena de suministro de software, en la que los ciberdelincuentes comprometen repositorios oficiales para distribuir malware a una gran cantidad de organizaciones en forma simultánea. A diferencia de los ataques tradicionales, que explotan vulnerabilidades en el código, esta técnica manipula el proceso de publicación legítima, lo que permite evadir los mecanismos de seguridad del pipeline de compilación.

La elección de Microsoft como objetivo resulta especialmente sensible, dado que la compañía es la propietaria de GitHub, la plataforma que concentra buena parte del desarrollo de software a nivel global. El uso de un token OIDC válido para autenticar la publicación de los paquetes comprometidos demuestra que los atacantes accedieron a credenciales con privilegios elevados dentro de la organización, lo que les permitió firmar digitalmente el software malicioso como si fuera legítimo.

El vector de activación mediante agentes de codificación con inteligencia artificial añade una dimensión nueva al problema. Herramientas como GitHub Copilot, Cursor o Claude Code ejecutan acciones en nombre del desarrollador y procesan contenido de repositorios externos, lo que amplía la superficie de ataque y reduce la capacidad de supervisión humana sobre el código que se ejecuta en los equipos.

La firma Cloudsmith resumió el riesgo al señalar que la eficacia del gusano Miasma radica en su capacidad de adherirse a flujos de trabajo legítimos, sin explotar vulnerabilidades de software en GitHub ni en los registros de paquetes npm, sino la confianza estructural del ecosistema. El mismo método fue utilizado en un ataque paralelo que envenenó decenas de paquetes de Red Hat, lo que sugiere una estrategia de propagación coordinada.

Impacto para empresas chilenas

El incidente tiene implicancias directas para empresas y desarrolladores chilenos que consumen paquetes de Microsoft a través de npm, PyPI o GitHub, particularmente para aquellos que han integrado agentes de inteligencia artificial en sus procesos de desarrollo. Si bien no se ha confirmado la afectación específica de alguna organización local, la presencia de filiales y operaciones de empresas globales en Chile amplía la superficie de exposición, especialmente en sectores como banca, retail, telecomunicaciones y servicios financieros, donde el uso intensivo de servicios cloud de AWS, Azure o Google Cloud es habitual.

Para las pymes tecnológicas chilenas, que suelen apoyarse en herramientas de código abierto y en servicios gestionados por grandes proveedores, este tipo de ataques representa un riesgo difícil de dimensionar. La recomendación general de los expertos es asumir que cualquier sistema que haya abierto los paquetes comprometidos debe ser tratado como potencialmente infectado, lo que implica rotación de credenciales, auditoría de accesos cloud y revisión de los pipelines de integración y entrega continua.

Adicionalmente, el caso pone en evidencia la dependencia del mercado local respecto a plataformas centralizadas como GitHub. Equipos de desarrollo chilenos que utilizan asistentes de programación con inteligencia artificial deben evaluar con mayor rigor la procedencia de los paquetes que incorporan, especialmente cuando provienen de cuentas corporativas verificadas, ya que el sello criptográfico de validación ya no garantiza, por sí solo, la integridad del contenido.

Qué sigue

La repetición de estos incidentes en un intervalo tan breve sugiere que TeamPCP y grupos similares han encontrado un modelo de ataque replicable contra grandes proveedores de software, lo que obligará a las plataformas de distribución de paquetes a reforzar los mecanismos de verificación y a transparentar los motivos de bloqueo de contenido. Es esperable que GitHub y Microsoft ajusten sus protocolos de respuesta para evitar la ambigüedad que generó el reciente episodio, en el que la advertencia explícita a desarrolladores tardó varios días.

En el mediano plazo, el caso también podría acelerar la adopción de estándares de atestación de procedencia más estrictos, así como la implementación de entornos aislados para la ejecución de agentes de inteligencia artificial, de modo que un paquete comprometido no pueda propagarse con facilidad a través de la infraestructura de desarrollo de una organización.