La campagne cybercriminelle qui a déjà compromis des dizaines de dépôts de développeurs en mai et juin continue de se transformer. Une nouvelle vague, documentée par la société de sécurité Socket, révèle une escalade technique où les attaquants utilisent les mécanismes de sécurité des IA comme bouclier anti-détection.

Miasma ne faiblit pas.

Depuis plusieurs semaines, cette supply chain attack ciblant les développeurs via des packages npm corrompus et des dépôts GitHub compromis continue d’inquiéter la communauté cyber, et surtout, d’évoluer rapidement.

Au total, 471 artefacts compromis ont été identifiés, répartis entre les registres JavaScript (npm) et Python (PyPI). Un volume qui témoigne d’une opération désormais bien structurée, s’apparentant de plus en plus à une véritable infrastructure criminelle en développement actif.

Le 8 juin 2026, les chercheurs de Socket ont documenté une troisième vague d’attaques. Celle-ci élargit encore le périmètre et introduit des techniques d’évasion inédites : hooks de démarrage Python, extensions natives compilées rendant l’analyse quasi impossible à l’œil nu, ou encore dissociation entre le mécanisme de déclenchement et le payload malveillant.

Mais l’élément le plus préoccupant de cette nouvelle vague se joue ailleurs.

Bitdefender logo black
Box Bitdefender (2)
Et votre vie numérique devient sereine
Bitdefender Premium Security est une solution de cybersécurité européenne qui vous protège automatiquement contre les pirates et toutes les menaces du web. Profitez de vos activités en ligne en toute tranquillité
La solution de cybersécurité tout-en-un
Le fichier malveillant _index.js commence par un commentaire JavaScript non exécuté conçu pour déclencher des refus de sécurité des modèles de langage (LLM) et perturber l’analyse de malware assistée par IA // Source : Socket
Le fichier malveillant _index.js commence par un commentaire JavaScript conçu pour déclencher les garde-fous des LLM et perturber l’analyse de malware assistée par IA // Source : Socket

Objectif : tromper les scanners IA

Le piège repose sur un angle mort. Les outils de sécurité automatisés qui s’appuient sur un LLM pour analyser des fichiers suspects sont entraînés à refuser tout contenu perçu comme dangereux, et c’est précisément ce réflexe que les attaquants ont retourné contre eux.

Concrètement : le fichier malveillant commence par un long bloc de commentaires, du texte que le moteur d’exécution ignore totalement, et qui n’a donc aucun effet sur le fonctionnement du malware.

Mais son contenu est truffé de références à des armes biologiques, nucléaires, et d’autres formulations délibérément sensibles. Résultat : le scanner LLM lit ce commentaire en premier, s’arrête, refuse d’analyser le fichier, et passe à côté du vrai malware dissimulé juste derrière.

Pour John Scott-Railton, chercheur senior au Citizen Lab de l’Université de Toronto, cette technique met en lumière une faiblesse structurelle dans la sécurisation des modèles : « C’est l’exemple le plus clair montrant pourquoi une sur-indexation sur l’alignement de sécurité de premier ordre est risquée. »

Par « alignement de sécurité de premier ordre », l’expert désigne l’entraînement des modèles à refuser catégoriquement tout contenu perçu comme dangereux. Un réflexe pertinent en contexte conversationnel, pour éviter les abus, mais qui montre ici ses limites dans des chaînes d’analyse automatisées.

« Lorsque des modèles, ouverts ou fermés, sont déployés avec des mécanismes de refus trop agressifs, ils créent des angles morts de second ordre que les attaquants ne manqueront pas d’exploiter. Nous n’en sommes qu’aux prémices de l’exploitation de ces fonctionnalités par les attaquants », assure l’expert.

Ce qu’il faut vérifier

Face à l’évolution de la campagne Miasma, de nombreuses entreprises de cybersécurité maintiennent désormais des listes actualisées de packages compromis.

Si vous en avez installé un entre début et mi-juin 2026, la priorité reste inchangée par rapport aux vagues précédentes : procéder immédiatement à une rotation complète des secrets. Cela inclut notamment les tokens GitHub, les clés cloud, les identifiants de registres npm ou PyPI, ainsi que les clés SSH.

Socket recommande également d’inspecter les environnements Python à la recherche d’artefacts suspects : fichiers .pth exécutables inconnus, fichiers _index.js inattendus, ou encore extensions .abi3.so récemment apparues dans des packages qui n’en contenaient pas auparavant.

Enfin, dans les environnements d’intégration continue, une vérification s’impose : examiner d’éventuelles modifications de workflows GitHub Actions et détecter tout accès anormal aux identifiants de publication.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !