Microsoft-repoer ble ny angrepsflate for AI-kodeverktøy

Microsoft og GitHub tok 5. juni midlertidig ned 73 Microsoft-repoer etter funn av mistenkt supply-chain-malware. Saken er ikke bare enda en advarsel om åpne kildekodepakker. Den viser at angrepsflaten nå flytter seg inn i konfigurasjonen rundt AI-kodeverktøyene utviklere bruker hver dag.

Ifølge Dark Reading ble repoer i hovedsak under Microsofts Azure-organisasjon deaktivert i løpet av under to minutter. Blant repoene var Azure/functions-action, GitHub Action-en mange virksomheter bruker for å deploye Azure Functions. Da repoet ble deaktivert, stoppet CI/CD-løp som refererte til Azure/functions-action@v1.

Microsoft sier til Dark Reading at selskapet midlertidig fjernet enkelte repoer mens det undersøkte mulig skadelig innhold. Repoene skal senere ha blitt gjenopprettet etter gjennomgang. Microsoft sier også at et lite antall kunder som kan ha hentet innhold fra de berørte repoene, ble varslet.

Det viktigste for norske CIO-er og CISO-er er ikke bare hvor lenge repoene var utilgjengelige. Det er metoden. StepSecurity knytter hendelsen til Miasma, en variant av Shai-Hulud-lignende supply-chain-angrep. Tidligere kampanjer har brukt pakkeregistre og installasjonskroker. Denne runden skal i stedet ha plantet konfigurasjonsfiler for AI-kodeverktøy og IDE-er.

Filer for Claude Code, Gemini CLI, Cursor og Visual Studio Code skal ha pekt mot en obfuskert JavaScript-payload. Poenget er enkelt og stygt: En utvikler kan klone et repo som ser legitimt ut, åpne det i sitt vanlige AI-kodeverktøy, og utløse kode som forsøker å hente ut tokens, nøkler og andre utviklerhemmeligheter.

Det gjør dette til en annen type leverandørrisiko enn klassisk dependency scanning. Mange sikkerhetsprogrammer leter etter farlige pakker, postinstall-skript og kjente CVE-er. Færre har like moden kontroll på hva agentkonfigurasjon, IDE-regler, lokale tasks og skjulte prosjektfiler kan gjøre når et repo åpnes i et verktøy med tilgang til terminal, filsystem og hemmeligheter.

For virksomheter som allerede har rullet ut AI-koding, er dette et varsel om at «developer experience» nå er en produksjonsnær sikkerhetsflate. Claude Code, Gemini CLI, Cursor og VS Code er ikke bare skrivehjelp. De blir automatiseringslag med tilgang til repositories, terminaler, sky-CLI-er og ofte personlige eller maskinelle credentials. Da holder det ikke å godkjenne selve modellen. Hele runtime-miljøet må inn i risikostyringen.

Saken har også en operasjonell side. Når en populær GitHub Action for Azure Functions forsvinner midlertidig, stopper bygg og deployer hos kunder som ikke har robust pinning, cache eller fallback. Det er en påminnelse om at CI/CD-avhengigheter må behandles som kritisk infrastruktur, ikke som usynlig lim i en YAML-fil.

Tiltakene bør være konkrete. Organisasjoner som klonet berørte Microsoft-repoer etter 2. juni og åpnet dem i de nevnte verktøyene, bør behandle arbeidsstasjonen som mistenkt. Det betyr rotering av GitHub-, npm-, PyPI- og skytokens, gjennomgang av shell-historikk og prosesslogger, og kontroll av om uventede pakkeversjoner eller commits er publisert fra egne kontoer.

Neste steg er å gjøre policyen generell. Sikkerhetsteam bør auditere repoer for .claude-, .gemini-, .cursor- og .vscode-konfigurasjon på samme måte som de allerede ser etter GitHub Actions, Dockerfiles og package scripts. CI/CD-runnere bør ha begrenset utgående nettverk. GitHub Actions bør pinne til commit-SHA der risikoen er høy. Branch protection og krav om review må også gjelde konfigurasjonsfiler som kan få agentverktøy til å kjøre kode.

Dette er ikke et argument mot AI-koding. Det er et argument mot å late som AI-koding bare er en klient på toppen av eksisterende sikkerhetsmodell. Når agentene får terminal, kontekst og tilgang til utviklerens nøkler, blir de en del av supply chain. Da må de overvåkes og styres som supply chain.

For styret er læringen enkel: AI-produktivitet uten kontroll på utviklerflaten kan bli en snarvei for angripere. Det bør inn i samme risikobilde som skyleverandører, CI/CD, secrets management og tredjepartsbiblioteker. Den nye angrepsflaten er ikke bare hva utvikleren installerer. Det er hva verktøyet automatisk gjør når utvikleren åpner et tilsynelatende legitimt prosjekt.

Kilder og medier

Primær nyhetskilde: Dark Reading, «Miasma Supply Chain Worm Burrows Into 73 Microsoft Repositories», publisert 9. juni 2026: https://www.darkreading.com/application-security/miasma-supply-chain-worm-73-microsoft-repositories

Teknisk analyse og anbefalinger: StepSecurity, «Miasma Worm Hits Microsoft Again»: https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents

Supplerende top-tier-dekning: TechCrunch, «Microsoft’s open source tools were hacked to steal passwords of AI developers»: https://techcrunch.com/2026/06/08/microsofts-open-source-tools-were-hacked-to-steal-passwords-of-ai-developers/

Microsoft-kontekst: Microsoft Learn Q&A om Azure/functions-action-nedetid og gjenoppretting: https://learn.microsoft.com/en-us/answers/questions/5912595/github-action-azure-functions-action-down

Thumbnail: OpenAI Image 2 / hogby.ai