73 dépôts GitHub de Microsoft infectés par le ver Miasma : un simple commit piégé suffit à compromettre les postes de développeurs

Une nouvelle menace plane sur les développeurs. Le ver Miasma a réussi à infecter 73 dépôts GitHub appartenant à Microsoft en seulement 105 secondes, forçant la plateforme à désactiver massivement ces projets pour stopper la propagation. L'incident, révélé ces derniers jours, met en lumière une technique d'attaque sophistiquée qui cible directement les environnements de développement modernes.

Une propagation foudroyante via un commit piégé

Tout a commencé avec le dépôt Azure/durabletask. Un compte de contributeur légitime a été compromis, permettant à l'attaquant d'injecter un commit malveillant. Celui-ci contenait des fichiers de configuration en apparence anodins, mais capables de déclencher une exécution de code à distance dès l'instant où un développeur ouvrait le projet dans son éditeur. Les assistants de codage dopés à l'intelligence artificielle, comme Claude Code, Gemini CLI et Cursor, étaient particulièrement visés. Leur objectif ? Siphonner les secrets d'accès au cloud et les configurations des outils de développement, en priorité sous Linux.

Une riposte immédiate mais aux conséquences en cascade

GitHub a réagi en désactivant l'intégralité des 73 dépôts en 105 secondes, soit environ 1,2 dépôt par seconde. La purge a touché quatre organisations Microsoft : toute l'organisation Azure Functions, la famille Durable Task, et plusieurs dépôts d'applications-exemples destinées à l'IA. Cependant, parmi les dépôts désactivés se trouvait Azure/functions-action, une dépendance critique utilisée par des milliers de projets dans leurs pipelines d'automatisation CI/CD. Dès que functions-action@v1 a cessé de répondre, des chaînes entières de compilation et de déploiement se sont effondrées en cascade, bien au-delà des serveurs de Microsoft, provoquant des interruptions massives dans l'écosystème open source.

Des précédents inquiétants

Miasma n'en est pas à son coup d'essai. Le 19 mai, il avait déjà frappé PyPI, le dépôt public de paquets Python, en publiant trois versions vérolées du paquet durabletask en seulement 35 minutes. Le 3 juin, plus de 50 paquets npm, l'équivalent côté JavaScript, étaient compromis. La récidive sur le même projet durabletask interroge. Pour Ashish Kurmi, directeur technique de la société de sécurité StepSecurity, les jetons d'accès du compte développeur compromis lors de l'attaque sur PyPI n'avaient visiblement pas tous été révoqués. La même porte d'entrée est restée ouverte, permettant à Miasma de frapper de nouveau.

Une filiation préoccupante

L'éditeur de sécurité Snyk décrit Miasma comme un descendant de Mini Shai Hulud, un ver revendiqué par le groupe cybercriminel TeamPCP, qui avait par la suite publié son code en open source. Cette parenté suggère que les techniques utilisées pourraient être réutilisées par d'autres acteurs malveillants. De son côté, Microsoft n'a pas répondu aux sollicitations de la presse au sujet de cette intrusion.

Des leçons à tirer pour la sécurité des développeurs

Cet incident rappelle que les environnements de développement, et en particulier les dépôts de code, constituent une surface d'attaque de plus en plus convoitée. Les assistants de codage IA, qui accèdent directement aux secrets et aux configurations cloud, offrent une porte d'entrée idéale pour les cybercriminels. La compromission d'un seul compte développeur, si les jetons d'accès ne sont pas immédiatement révoqués après une première alerte, peut entraîner des conséquences en cascade sur l'ensemble de l'écosystème. Les équipes de sécurité sont invitées à renforcer la surveillance des dépôts, à limiter les permissions des jetons et à mettre en place des procédures de révocation rapide en cas d'incident.