Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)
Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.
- Victime
- Microsoft (GitHub repositories)
Le 5 juin 2026, le ver auto-réplicateur de la chaîne d'approvisionnement connu sous le nom de Miasma a atteint Microsoft, compromettant 73 dépôts répartis sur quatre organisations GitHub de l'entreprise — Azure, Azure-Samples, Microsoft et MicrosoftDocs. La campagne a débuté lorsqu'un attaquant a utilisé un compte de contributeur préalablement compromis pour pousser un commit malveillant vers le dépôt Azure/durabletask, à partir duquel le ver s'est propagé automatiquement.
Ce qui s'est passé
Miasma plante des fichiers de configuration qui exécutent une charge utile de vol d'identifiants non pas au moment de l'installation d'un paquet, mais lorsqu'un développeur ouvre le dépôt dans un agent de codage IA ou un éditeur. Les chercheurs ont constaté que le déclencheur de la charge utile était câblé pour s'exécuter automatiquement via cinq points d'entrée développeur — Claude Code, Gemini CLI, Cursor, VS Code et le script de test npm — marquant un glissement de l'abus classique des hooks d'installation vers les événements de démarrage de session des éditeurs et des agents IA.
La charge utile déchiffrée est un collecteur d'identifiants multicloud qui recherche des secrets AWS, Azure, GCP, HashiCorp Vault, Kubernetes, npm et GitHub, les exfiltre vers des dépôts GitHub publics créés par l'attaquant, puis réutilise les jetons volés pour se propager davantage. Sur le registre npm, le ver se propage via binding.gyp, un fichier qui déclenche l'exécution de code lors d'un npm install sans jamais toucher aux scripts de package.json que les outils d'analyse inspectent habituellement. Les analystes estiment que Miasma est une variante du ver Mini Shai-Hulud rendu public par l'acteur identifié comme TeamPCP à la mi-mai 2026.
La détection automatisée d'abus de GitHub a désactivé l'ensemble des 73 dépôts Microsoft impliqués lors d'un balayage automatisé d'environ 105 secondes, limitant la portée de l'attaque avant qu'elle ne se propage davantage hors des espaces de noms de Microsoft.
Pourquoi c'est important
Miasma montre comment les agents de codage IA sont devenus une nouvelle surface d'exécution pour les logiciels malveillants de la chaîne d'approvisionnement : une charge utile n'a plus besoin d'un hook d'installation lorsque le simple fait d'ouvrir un dépôt piégé dans un éditeur assisté par IA suffit à l'exécuter. En transformant chaque mainteneur compromis et ses jetons cloud volés en rampe de lancement vers la victime suivante, le ver étend sa portée automatiquement — et atteindre 73 dépôts au sein d'organisations aussi largement utilisées qu'Azure et Microsoft souligne la rapidité avec laquelle une telle campagne peut menacer l'ensemble de l'écosystème des développeurs.
Chronologie
Un commit malveillant est poussé vers le dépôt Azure/durabletask à l'aide d'un compte de contributeur préalablement compromis, semant la charge utile Miasma.
La détection automatisée d'abus de GitHub désactive les 73 dépôts touchés des organisations Azure, Azure-Samples, Microsoft et MicrosoftDocs en environ 105 secondes.
Sources
- thehackernews.comhttps://thehackernews.com/2026/06/miasma-worm-hits-73-microsoft-github.html
- stepsecurity.iohttps://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents
- thenextweb.comhttps://thenextweb.com/news/miasma-worm-microsoft-github-supply-chain
- rescana.comhttps://www.rescana.com/post/miasma-worm-supply-chain-attack-73-microsoft-github-repositories-compromised-via-ai-coding-tools