- Un total de 73 repositorios de Microsoft han sido comprometidos en un ataque de cadena de suministro de alta sofisticación.
- El malware se activa de forma automática cuando el desarrollador utiliza asistentes de IA como Claude Code, Cursor o Gemini CLI.
- La técnica empleada, denominada Phantom Gyp, permite al código malicioso evadir los escáneres de seguridad convencionales.
- Se insta a los equipos de desarrollo a rotar credenciales de AWS, Azure y GCP de manera inmediata.
La comunidad tecnológica se ha llevado un susto de los buenos este mes de junio. Un nuevo bicho, bautizado como Miasma, se ha colado en la cocina de Microsoft afectando a nada menos que 73 repositorios de GitHub relacionados con Azure y sus muestras de código. La velocidad de reacción ha sido clave, ya que la plataforma tardó apenas un minuto y medio en cortar por lo sano tras detectar que algo olía a chamusquina en sus sistemas operativos y de desarrollo.
Lo que realmente nos ha dejado a todos con la boca abierta es la forma de actuar de este malware, que no espera a que instales nada raro de forma manual. Se activa de forma rastrera cuando un programador abre un proyecto usando herramientas de inteligencia artificial como Claude Code, Cursor o VS Code, convirtiendo a nuestros asistentes favoritos en los cómplices involuntarios de una infección a gran escala que no se había visto nunca por estos lares.
Anatomía de un ataque que se salta las reglas
Entrar en los detalles técnicos de Miasma es darse cuenta de que los atacantes sabían muy bien lo que hacían en todo momento. El gusano es una evolución de un código previo filtrado en foros de hackers y sigue un proceso de infección en tres fases que empieza con el robo de credenciales legítimas. Una vez dentro, el atacante mete un archivo que parece inofensivo pero que esconde un regalito de varios megas listo para ejecutarse en cuanto el desarrollador se pone a currar en su entorno habitual.
Para no levantar sospechas entre los expertos en seguridad de España y el resto de Europa, el gusano utiliza una técnica llamada Phantom Gyp. En lugar de usar los scripts de instalación típicos que todo el mundo vigila con lupa, abusa de un pequeño archivo de configuración llamado binding.gyp para lanzar su código malicioso. Es una jugada maestra para pasar por debajo del radar de los escáneres automáticos que solemos usar en nuestras empresas para validar paquetes de npm.
El rastro de destrucción no se limita solo a Microsoft, ya que el ataque ya había dado sus primeros avisos a principios de mes golpeando paquetes de Red Hat. La cosa se las trae, porque el malware tiene un hambre voraz de secretos y tokens de acceso a nubes como AWS, Google Cloud y la propia Azure, enviando todo el botín a repositorios públicos que los atacantes crean sobre la marcha para exfiltrar la información.
Vaya papeleta para los que confiamos ciegamente en la IA para picar código más rápido cada día. El riesgo real está en esa confianza implícita que les damos a estas herramientas para analizar y ejecutar código en nuestro entorno local de trabajo. Si el repositorio que hemos clonado tiene truco, el asistente de IA lo procesará sin rechistar y, sin darnos cuenta, habremos abierto la puerta de nuestra casa a los ciberdelincuentes más activos del momento.
Medidas urgentes para proteger el código
Si por un casual has estado trasteando con repositorios de Azure en los últimos días, más vale prevenir que curar ahora mismo. Lo primero de todo es hacer una limpieza a fondo de las credenciales y rotar todos los tokens de acceso que tengas configurados en tu máquina personal o de trabajo. No es por meter miedo, pero es mejor perder un rato cambiando contraseñas que despertarse con una sorpresa desagradable en la factura de tu proveedor de servicios en la nube.
También es fundamental echar un ojo al historial de commits para ver si hay algún movimiento raro que tú no hayas autorizado. Los atacantes suelen crear repositorios con nombres pomposos como Miasma: The Spreading Blight para guardar lo que nos roban, así que si ves algo así en tu cuenta de GitHub, ya sabes que tienes un problema serio entre manos que requiere una acción inmediata y contundente.
En el fondo, este incidente nos recuerda que la seguridad no es algo que se pueda dejar para mañana, especialmente en las startups que van a toda mecha. Implementar revisiones de código obligatorias y verificar que cada cambio esté firmado digitalmente debería ser el pan de cada día para evitar que se nos cuele un archivo manipulado que nos arruine el lanzamiento de nuestro próximo producto estrella.
La historia de este gusano parece sacada de una película de ciencia ficción, pero es la cruda realidad que nos toca vivir en estos tiempos. Los grupos organizados llevan tiempo perfeccionando estas herramientas de ataque a la cadena de suministro, y lo de Microsoft es solo la punta del iceberg. Toca ponerse las pilas y no bajar la guardia ni un segundo, porque el próximo vector de ataque podría estar escondido en la herramienta de automatización más insospechada de tu equipo.
Para terminar de entender la magnitud del problema, queda claro que nos enfrentamos a una nueva era donde la velocidad de la IA debe ir acompañada de una vigilancia constante. El caso de Miasma sirve como un aviso a navegantes para toda la industria del software, demostrando que la protección de nuestros secretos y la desconfianza ante el código externo son nuestras mejores bazas para mantener a salvo la infraestructura digital europea en un mundo cada vez más interconectado.