Na softwarový dodavatelský řetězec udeřil samošiřící se škodlivý kód. GitHub během dvou minut vypnul desítky repozitářů Microsoftu — a vývojářům po celém světě se rozbily automatizované procesy. Případ ukazuje, jak křehká může být infrastruktura, na které stojí moderní vývoj softwaru.
V pátek 5. června zareagovaly automatické systémy GitHubu na podezřelou aktivitu a během 105 sekund zablokovaly 73 repozitářů. Spouštěčem byl škodlivý příspěvek (commit), který do projektu Azure/durabletask poslal kompromitovaný účet jednoho z přispěvatelů. Tedy účet skutečného vývojáře, ke kterému útočník získal přístup.
Vložený kód byl zákeřný v tom, jak se aktivoval. Repozitář obsahoval konfigurační soubory, které spustily vzdálené vykonání kódu (remote code execution) ve chvíli, kdy vývojář projekt jen otevřel ve svém editoru nebo v AI nástroji pro psaní kódu — jmenovitě Claude Code, Gemini CLI nebo Cursor. Stačilo tedy projekt otevřít, žádné spuštění nebylo potřeba.
Za útokem stojí červ (worm) přezdívaný Miasma. Červ je škodlivý program, který se sám kopíruje a šíří z místa na místo bez zásahu člověka. Tento konkrétní se zaměřoval na systémy Linux a cílil na cloudové přístupové klíče a nastavení vývojářských nástrojů. Jen dva dny předtím stejný kód napadl přes 50 balíčků v registru npm, který používají vývojáři v JavaScriptu po celém světě.
Zablokování repozitářů mělo vedlejší následek. Mnoha firmám přestaly fungovat takzvané CI/CD pipeliny — automatizované postupy, které kód testují a nasazují. Jakmile zmizel repozitář Azure/functions-action, přestaly se ověřovat všechny postupy, které na něj odkazovaly. Bezpečnostní opatření tak samo způsobilo výpadek, byť dočasný a menší než samotný útok.
Proč by to mělo zajímat i v Česku? Většina českých firem i škol dnes staví své aplikace na hotových balíčcích z registrů jako npm nebo PyPI. Když útočník podstrčí škodlivý kód do oblíbeného balíčku, automaticky se rozšíří ke všem, kdo ho používají — bez ohledu na zemi. Tomuto typu hrozby se říká útok na dodavatelský řetězec (supply chain attack) a patří dnes k nejzávažnějším.
Praktický tip pro každého, kdo programuje: nespouštějte a neotevírejte cizí repozitáře bez rozmyslu, zejména ne ve vývojovém prostředí s přístupem k vašim klíčům. A pokud používáte balíčky třetích stran, sledujte, z jaké verze a od koho pocházejí.
Jeden kompromitovaný účet stačil k narušení projektů jedné z největších technologických firem světa. Kolik podobných dveří zůstává otevřených u nás?
Zdroj: The Register
