Quelques jours après la découverte d’une campagne visant des paquets associés à Red Hat, le ver Miasma continue d’étendre son périmètre. Selon plusieurs chercheurs en cybersécurité, l’attaque a cette fois affecté des dizaines de dépôts hébergés sur GitHub au sein de l’écosystème Microsoft, illustrant une nouvelle fois les risques qui pèsent sur la chaîne d’approvisionnement logicielle.
Une propagation qui se poursuit
La campagne Miasma a été identifiée début juin comme un ver capable de se propager automatiquement au sein d’environnements de développement et de dépôts de code. L’attaque avait d’abord attiré l’attention après la compromission de paquets liés à l’écosystème Red Hat distribués sur npm.
De nouvelles analyses indiquent désormais que le malware a également touché plusieurs organisations GitHub associées à Microsoft. Selon les informations publiées par OpenSourceMalware et relayées par plusieurs médias spécialisés, 73 dépôts répartis entre différentes organisations GitHub du groupe auraient été concernés.
Les dépôts mentionnés incluent notamment des projets liés à Azure, Azure Samples, Microsoft et MicrosoftDocs. Certaines mesures de restriction d’accès ont été mises en œuvre afin de limiter la propagation du code malveillant.
Un fonctionnement fondé sur la confiance accordée aux dépôts
Miasma appartient à une catégorie d’attaques particulièrement redoutée dans le monde du développement logiciel puisqu’il ne cherche pas à cibler directement les utilisateurs finaux, mais à compromettre des composants ou des environnements utilisés par les développeurs.
Lorsqu’un dépôt, une bibliothèque ou un composant est compromis, le risque est de voir le code malveillant se diffuser indirectement auprès d’un grand nombre d’organisations qui utilisent ces ressources dans leurs propres projets. Ce mode opératoire explique pourquoi les attaques de la chaîne d’approvisionnement occupent désormais une place croissante dans les stratégies de défense des éditeurs et des équipes de sécurité.
La multiplication des dépendances logicielles, des dépôts open source et des outils collaboratifs élargit mécaniquement la surface d’exposition de nombreux projets.
