A Microsoft precisou acionar um botão de emergência na última sexta-feira (05/06) e desativou 73 repositórios próprios no GitHub. A medida foi tomada após a descoberta de que hackers invadiram os espaços para distribuir um malware projetado para roubar credenciais.

Segundo o site 404 Media, o alvo principal da campanha maliciosa eram usuários de assistentes de programação baseados em IA.

Como o malware roubava credenciais?

A mecânica do ataque apostava na invisibilidade. Na prática, os criminosos injetaram arquivos de configuração ocultos no meio de códigos legítimos. Quando um programador baixava e abria esse repositório infectado usando os assistentes de IA, como o Claude Code, a armadilha era ativada de forma quase imperceptível.

A partir daí, o malware passava a rodar em segundo plano, coletando as senhas e os tokens de acesso do usuário para enviá-los a servidores controlados pelos invasores. As evidências técnicas levantadas apontam para a autoria do TeamPCP, um grupo hacker especializado nesse tipo de infiltração.

O caso parece um desdobramento de outra invasão e roubo de milhares de repositórios internos no GitHub, revelado no mês passado. A nova ação da Microsoft sugere que ela não conseguiu blindar totalmente sua infraestrutura.

Apagão em alguns serviços

A resposta da Microsoft impediu a atualização de aplicativos, sites e sistemas de terceiros que utilizam a infraestrutura oficial da companhia. Como a ação foi repentina, muitos desenvolvedores foram pegos de surpresa.

Quem tentava acessar os códigos bloqueados encontrava apenas um aviso informando que o repositório havia sido desativado por “violação dos termos de serviço do GitHub”. Não havia nenhuma instrução ou notificação sobre o risco de vazamento de senhas. Nos fóruns de suporte da Microsoft, programadores relataram confusão.

Ao 404 Media, a dona do Windows confirmou que removeu temporariamente os arquivos para investigar “possível conteúdo malicioso” e garantiu que sua prioridade é proteger o ecossistema de desenvolvimento.

Segundo a Microsoft, alguns repositórios já foram auditados e restaurados, enquanto outros devem continuar offline por tempo indeterminado para varreduras mais profundas. “Continuaremos investigando e, se identificarmos algo mais que exija ação do cliente, entraremos em contato por meio de nossos canais de suporte”, concluiu a empresa.

Microsoft derruba 73 repositórios no GitHub após ataque hacker