Une attaque visant des packages officiels publiés sous le compte npm de Red Hat rappelle la fragilité de la chaîne logicielle moderne. Les chercheurs de Microsoft ont identifié plus de trente paquets compromis capables de voler des identifiants et des secrets présents sur les postes de développeurs et dans les environnements CI/CD.
Microsoft Threat Intelligence a révélé une compromission ayant permis la publication de versions malveillantes de plus de 30 packages distribués sous le namespace « @redhat-cloud-services », un espace considéré comme légitime par de nombreux développeurs et entreprises.
Selon Microsoft, la campagne a été baptisée « Miasma ». Elle repose sur une variante du malware Shai-Hulud, déjà connu pour cibler les environnements de développement et les chaînes d’intégration continue. L’incident a conduit Red Hat à retirer rapidement les versions concernées et à engager des mesures de remédiation.
Des packages de confiance transformés en vecteurs d’attaque
L’intérêt de cette opération réside moins dans sa sophistication technique que dans sa capacité à exploiter la confiance accordée aux composants open source. Les packages concernés étaient publiés sous un compte officiel de Red Hat. Pour un développeur ou une équipe DevOps, ils ne présentaient donc aucun signe évident de compromission. Une fois installé, le code malveillant exécutait différentes actions destinées à collecter des identifiants, des jetons d’authentification et d’autres secrets susceptibles d’ouvrir l’accès à des environnements d’entreprise.
Microsoft indique également que le malware cherchait à identifier des informations liées aux plateformes de développement et aux pipelines CI/CD. Ces environnements constituent aujourd’hui une cible privilégiée pour les attaquants, car ils permettent souvent d’accéder à plusieurs applications, dépôts de code ou infrastructures à partir d’un seul point de compromission.
Les environnements de développement dans le viseur
Cette attaque illustre l’intérêt croissant des attaquants pour les outils de développement et les chaînes de distribution logicielle. Lorsqu’un composant utilisé par des milliers d’organisations est compromis, les attaquants peuvent potentiellement toucher un grand nombre de victimes sans avoir à cibler chaque entreprise individuellement.
L’incident rappelle également que la réputation d’un éditeur ou d’un projet open source ne constitue pas une garantie absolue. Même les dépôts considérés comme fiables peuvent devenir des vecteurs d’attaque lorsque les mécanismes de publication ou les comptes associés sont compromis.
Face à cette réalité, les spécialistes de la sécurité recommandent de renforcer la surveillance des dépendances, de limiter les privilèges accordés aux environnements CI/CD et de contrôler plus étroitement les secrets utilisés par les outils de développement. Dans le cas présent, la valeur recherchée par les attaquants ne résidait pas dans les packages eux-mêmes, mais dans les accès qu’ils pouvaient permettre de récupérer.
