Soixante-treize paquets open source de Microsoft ont été compromis à la fin de la semaine dernière par un logiciel malveillant conçu pour dérober des identifiants de services cloud et d'outils de développement. Le code malveillant s'active lors de son ouverture dans des agents de codage basés sur l'IA.
Des systèmes automatisés sur GitHub ont bloqué les paquets après avoir détecté la menace. GitHub les a désactivés en invoquant une violation des conditions d'utilisation plutôt qu'en les qualifiant explicitement de malveillants. Microsoft a envoyé un courriel lundi indiquant avoir temporairement supprimé certains dépôts tout en enquêtant sur la présence potentielle de contenu malveillant. Il s'agit du deuxième incident de ce type impliquant un compte Microsoft au cours des derniers mois. Le logiciel malveillant, connu sous le nom de Miasma, utilise une charge utile de 28 kilo-octets liée à l'acteur de menace TeamPCP. Il cible les identifiants pour AWS, Azure, GCP, Kubernetes et les gestionnaires de mots de passe avant de se propager latéralement. Le même compte GitHub avait été utilisé lors d'une compromission du SDK Python DurableTask en mai dernier. Des chercheurs en sécurité ont noté que l'attaque contourne la détection traditionnelle en générant des charges utiles chiffrées uniques pour chaque infection.
