Un groupe de cybercriminels a mené une série d’attaques coordonnées contre la chaîne d’approvisionnement logicielle, compromettant des dizaines de paquets et de dépôts de développement. Au coeur de leur campagne ? Un malware nommé Miasma qui injecte sa charge utile dans les outils que les développeurs utilisent chaque jour.

C’est une supply chain attack en plusieurs vagues, qui aurait demandé des mois de préparation.

Depuis au moins mai 2026, une campagne cybercriminelle baptisée « Miasma » se déploie. Son objectif ? Dérober les credentials, identifiants, clés d’accès, tokens d’authentification et autres secrets de développeurs travaillant sur des projets professionnels ou open source.

Deux rapports de recherche ont notamment mis en lumière l’ampleur du phénomène : celui de l’équipe Microsoft Defender, publié le 2 juin 2026, qui documente une attaque massive sur le registre de packages npm, et celui de la société StepSecurity, publié le 5 juin 2026, qui révèle une deuxième vague ciblant directement les dépôts de code de Microsoft sur GitHub.

Ce qui relie ces incidents : le même malware et potentiellement le même groupe de hackers.

Chaîne d'attaque de bout en bout depuis le flux de l'éditeur de confiance détourné jusqu'au vol d'identifiants, à l'exfiltration et à la propagation du ver à travers les mainteneurs. // Source : Microsoft
Chaîne d’attaque de bout en bout de la première vague. Depuis le flux de l’éditeur de confiance détourné jusqu’au vol d’identifiants. // Source : Microsoft

Comment fonctionne l’attaque

La première vague exploite une faille de confiance. Selon Wiz Research, le point d’entrée serait la compromission du compte GitHub d’un employé Red Hat, ce qui a permis de pousser des commits directement dans des dépôts internes en contournant les mécanismes habituels de revue de code. Les attaquants ont ainsi pu publier 32 packages corrompus sous le label officiel @redhat-cloud-services sur npm, le registre de référence pour les développeurs JavaScript.

Ces packages portaient une signature cryptographique légitime, celle de Red Hat elle-même, ce qui a rendu leur détection bien plus difficile. À l’installation, un script dissimulé dans le package se déclenche en arrière-plan et collecte méthodiquement tous les secrets accessibles sur la machine : clés AWS, Azure, Google Cloud, tokens GitHub, mots de passe SSH. Au total, plus de 117 000 téléchargements hebdomadaires étaient exposés.

Une fois le script exécuté, le malware s’inscrit dans deux fichiers de configuration que les développeurs utilisent quotidiennement : les réglages de Claude Code et ceux de VS Code. Désinstaller le package ne suffit donc pas et le code malveillant continue de s’exécuter à chaque ouverture de l’outil.

La deuxième vague, raffine encore la technique. Plutôt que de passer par un registre de packages, les attaquants ont déposé directement dans un dépôt GitHub cinq fichiers de configuration ciblant les quatre environnements de développement les plus utilisés : Claude Code, Gemini CLI, Cursor et VS Code.

Un développeur qui clone ce dépôt puis l’ouvre dans l’un de ces outils peut déclencher automatiquement le payload. C’est ici que Miasma révèle sa nature de ver informatique : dès que le malware dérobe les tokens GitHub du développeur infecté, il les utilise immédiatement pour s’auto-répliquer et injecter ces mêmes fichiers malveillants dans tous les autres dépôts auxquels la victime a accès. C’est cet effet domino ultra-rapide qui a obligé GitHub à suspendre en urgence 73 dépôts appartenant à Microsoft.

Ce qu’il faut vérifier et comment réagir

Les analyses relient cette campagne à une variante du malware Mini Shai-Hulud, dont le code avait été publié par le groupe TeamPCP. L’attribution directe des attaques à ce groupe reste toutefois incertaine.

Pour les développeurs qui auraient installé des packages @redhat-cloud-services entre le 30 mai et le 3 juin, la priorité est de vérifier le contenu de deux fichiers : ~/.claude/settings.json (dans le répertoire personnel) et .vscode/tasks.json (dans les dossiers de projet). Toute entrée inconnue référençant un script .js externe ou une commande inattendue doit être considérée comme suspecte.

Si une infection est confirmée, la rotation immédiate de l’ensemble des secrets est impérative : tokens GitHub, clés cloud, identifiants npm et autres credentials potentiellement exposés. Il est également recommandé d’auditer les accès GitHub Actions, de vérifier les dépôts sur lesquels le compte compromis dispose de droits d’écriture et de rechercher d’éventuels commits suspects réalisés avec les identifiants volés.

Pour ce qui est de la deuxième vague, Microsoft et GitHub ont confirmé avoir désactivé les dépôts concernés et travaillent à identifier les comptes compromis. Red Hat a de son côté retiré les versions malveillantes de npm.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !