A Microsoft desativou temporariamente dezenas de projetos open source hospedados no GitHub após descobrir que hackers conseguiram comprometer alguns repositórios e inserir códigos maliciosos capazes de roubar senhas e credenciais de desenvolvedores. O incidente afeta principalmente ferramentas relacionadas ao Azure e aplicativos utilizados por profissionais que trabalham com inteligência artificial, incluindo soluções ligadas ao Claude Code, Gemini CLI e Visual Studio Code.
Segundo análises realizadas por empresas de segurança e pesquisadores independentes, o malware era ativado quando os desenvolvedores utilizavam os projetos comprometidos em seus ambientes de programação. A partir desse momento, credenciais sensíveis poderiam ser capturadas e enviadas aos criminosos, permitindo o acesso a contas, serviços em nuvem e outros recursos corporativos.
Microsoft retirou dezenas de projetos do ar
A empresa confirmou que removeu temporariamente diversos repositórios do GitHub enquanto conduz uma investigação interna. Alguns projetos já foram restaurados após análise de segurança, mas outros continuam indisponíveis até que a origem e a extensão do ataque sejam totalmente compreendidas.
Segundo informações divulgadas pela própria Microsoft, um pequeno grupo de clientes potencialmente afetados foi notificado diretamente. A companhia não revelou quantas pessoas podem ter sido impactadas nem quantos downloads foram realizados nos projetos comprometidos antes da descoberta do problema.
O que é um repositório GitHub?
Um repositório é o local onde desenvolvedores armazenam códigos, arquivos e todo o histórico de alterações de um projeto de software. No GitHub, esses repositórios podem ser públicos ou privados e são utilizados por milhões de programadores em todo o mundo para criar aplicações, bibliotecas e ferramentas colaborativamente.
Quando um repositório popular é comprometido, o impacto pode ser enorme, já que milhares de desenvolvedores podem baixar e utilizar o código sem perceber a presença de componentes maliciosos.
Ferramentas de inteligência artificial estavam entre os alvos
Os projetos afetados possuem relação direta com ambientes modernos de desenvolvimento de software, especialmente aqueles que utilizam inteligência artificial para auxiliar programadores. Entre os sistemas citados estão ferramentas ligadas ao Azure, Claude Code, Gemini CLI e Visual Studio Code, plataformas amplamente utilizadas por empresas e profissionais de tecnologia.
Isso torna o incidente particularmente preocupante, pois muitos desses desenvolvedores possuem acesso privilegiado a infraestruturas corporativas, bancos de dados e sistemas em nuvem contendo informações sensíveis.
O que é o Azure?
Azure é a plataforma de computação em nuvem da Microsoft. Ela oferece serviços como hospedagem de aplicações, armazenamento de dados, inteligência artificial, bancos de dados, redes e infraestrutura corporativa. Atualmente, o Azure é um dos maiores concorrentes da Amazon Web Services (AWS) e do Google Cloud.
Por ser amplamente utilizado por empresas de todos os portes, qualquer incidente envolvendo ferramentas relacionadas ao Azure costuma receber grande atenção da comunidade de segurança digital.
Ataque utiliza técnica conhecida como Supply Chain Attack
Especialistas classificam o incidente como um ataque de cadeia de suprimentos de software, conhecido internacionalmente como Supply Chain Attack. Nessa modalidade, os criminosos não atacam diretamente os usuários finais. Em vez disso, comprometem bibliotecas, ferramentas ou componentes utilizados por milhares de desenvolvedores, espalhando o malware de forma muito mais eficiente.
Esse tipo de ataque ganhou notoriedade nos últimos anos justamente por permitir que criminosos atinjam um grande número de vítimas através de uma única brecha em um projeto amplamente utilizado.
O que é um Supply Chain Attack?
Supply Chain Attack é um ataque direcionado à cadeia de fornecimento de software. Em vez de invadir diretamente uma empresa, os criminosos comprometem bibliotecas, frameworks, atualizações ou ferramentas utilizadas por diversos clientes. Quando essas soluções são baixadas ou atualizadas, o código malicioso é distribuído automaticamente para novas vítimas.
Por atingir componentes considerados confiáveis, esse tipo de ataque costuma ser extremamente difícil de detectar nos primeiros momentos.
Incidente pode estar ligado a ataque anterior
Pesquisadores apontam que este novo episódio pode ter relação com um incidente ocorrido em maio envolvendo o projeto Durable Task, uma ferramenta open source da Microsoft utilizada na construção de aplicações. Segundo algumas análises, o caso atual pode representar uma reinfecção do mesmo projeto ou até mesmo indicar que os invasores conseguiram manter algum nível de acesso aos sistemas após o primeiro ataque.
A hipótese ainda está sendo investigada, mas demonstra como grupos especializados em cibercrime têm se tornado cada vez mais persistentes e sofisticados.
Por que esse caso chama tanta atenção?
Ataques contra projetos open source mantidos por desenvolvedores independentes infelizmente não são raros. O que torna este caso diferente é o fato de envolver uma das maiores empresas de tecnologia do planeta. Microsoft, Google, Amazon e outras gigantes investem bilhões de dólares em segurança digital, o que torna invasões desse tipo muito menos comuns.
Justamente por isso, o episódio serve como um lembrete de que nenhum sistema é totalmente imune a ataques, especialmente em um cenário onde ferramentas de desenvolvimento modernas estão cada vez mais conectadas a serviços de nuvem e inteligência artificial.
O que os desenvolvedores devem fazer?
Especialistas recomendam que desenvolvedores e empresas revisem imediatamente credenciais utilizadas em projetos relacionados aos repositórios afetados. Alteração de senhas, rotação de tokens de acesso e auditorias de segurança são medidas importantes para reduzir riscos caso algum componente comprometido tenha sido executado em ambientes de produção.
Além disso, manter uma política rigorosa de atualização e validação de dependências continua sendo uma das melhores formas de proteção contra ataques de cadeia de suprimentos.