Le ver Miasma s’est propagé le 6 juin et a infecté plus de 70 bibliothèques open source de GitHub en moins de 2 minutes. Le système de défense automatique de GitHub a mis hors ligne 73 bibliothèques infectées en 105 secondes après l’envoi de code malveillant. Les bibliothèques concernées couvrent principalement les processus hôtes des Azure Functions, ainsi que la version open source multilingue du framework d’orchestration Durable Task.
Chaîne d’attaque : mécanismes techniques confirmés et périmètre affecté
D’après les rapports confirmés des chercheurs de StepSecurity et de BankInfoSecurity, le chemin technique de cette attaque est le suivant : les attaquants utilisent des identifiants de comptes contributeurs déjà compromis, modifient des fichiers de configuration partagés hérités entre plusieurs bibliothèques, et le code malveillant se diffuse en quelques secondes vers des dizaines de bibliothèques. La charge utile vise les fonctions d’automatisation des flux de travail de développement modernes, et s’exécute lors de l’analyse des fichiers de configuration par des assistants IA (Claude Code, Cursor, Gemini CLI).
Après le lancement du ver, il vole des identifiants cloud, des jetons d’authentification et des secrets de développeurs, puis utilise ces identifiants pour rechercher la prochaine bibliothèque potentiellement vulnérable dans l’écosystème GitHub. StepSecurity indique également que cet incident pourrait être lié à une intrusion antérieure contre le planificateur de tâches Azure pour DurableTask Python, mais le chemin exact utilisé pour accéder aux bibliothèques touchées fait encore l’objet d’une enquête.
Lien confirmé avec l’affaire de piratage GitHub de mai
D’après l’analyse des chercheurs en sécurité, cette attaque est directement liée à l’affaire de vol de code interne de GitHub mise en œuvre en mai 2026 par TeamPCP : TeamPCP a publié sur le marketplace d’applications Microsoft une extension VS Code contenant des logiciels malveillants ; un employé de GitHub a téléchargé le fichier pendant la fenêtre de mise en ligne de 11 minutes, ce qui a conduit au vol d’identifiants et de clés ; les attaquants ont ensuite volé environ 3 800 bibliothèques internes à partir de GitHub en utilisant les identifiants dérobés ; par la suite, TeamPCP a publié publiquement le cadre de ver auto-réplicatif Mini Shai-Hulud.
Le ver Miasma qui a compromis 70+ bibliothèques open source de Microsoft est une version améliorée et dérivée de Mini Shai-Hulud. C’est également la deuxième intrusion en quelques semaines contre le projet open source Durable Task de Microsoft — fin mai 2026, un paquet de dépendances Python malveillant y avait déjà été implanté.
FAQ
Comment les développeurs peuvent-ils déterminer si leur environnement est affecté par l’attaque Miasma ?
D’après les recommandations des chercheurs en sécurité, il convient de suivre les étapes suivantes : vérifier si des bibliothèques liées à Azure Functions ou à Durable Task concernées ont déjà été récupérées (clone/pull) ; auditer l’environnement local de développement pour détecter des modifications suspectes de fichiers de configuration ; faire une rotation (rotate) des identifiants cloud AWS, GCP, Azure susceptibles d’avoir été exposés, des clés SSH, des jetons npm/PyPI et des clés Kubernetes ; vérifier l’intégrité des bibliothèques locales. Après que GitHub a mené une enquête préliminaire et supprimé le code malveillant chez Microsoft, il a progressivement rétabli les 73 bibliothèques affectées.
Pourquoi les assistants de conception de programmes IA (Claude Code, Cursor, Gemini CLI) seraient-ils le vecteur d’attaque de Miasma ?
Le ver Miasma a été conçu spécifiquement pour cibler les flux de travail de programmation assistée par IA. Les attaquants implantent une charge utile malveillante dans les fichiers de configuration des bibliothèques, tandis que les assistants IA, lorsqu’ils aident les développeurs à ouvrir ou analyser un projet, analysent généralement automatiquement ces fichiers de configuration. Sans isolement adéquat, ce processus d’analyse déclenche l’exécution du code malveillant, faisant de l’assistant IA un exécuteur involontaire de code malveillant.
Comment le mécanisme de défense automatique de GitHub, qui a mis hors ligne 73 bibliothèques en 105 secondes, fonctionne-t-il ?
D’après les explications des chercheurs de StepSecurity, le système de défense automatique de GitHub a identifié le schéma d’attaque et a mis hors ligne les bibliothèques touchées dans les 105 secondes suivant la soumission du code malveillant. Au moment de la publication de l’article, GitHub n’a pas divulgué les détails techniques précis du système de défense automatique, le mécanisme de déclenchement, ni si des organisations en aval avaient déjà été affectées avant la mise hors ligne.
