L'histoire sans fin

Microsoft a dû bloquer l’accès aux dépôts GitHub de plus de 70 de ses propres projets. Certains d’entre eux ont été piratés au cours d’une campagne de vols d’identifiants d’outils d’IA générative nommée Miasma.

L’éditeur de GitHub n’est pas épargné par les attaques actuelles contre la supply chain de logiciels open source. Ainsi, Microsoft a dû désactiver l’accès à plus de 70 de ses propres dépôts sur GitHub, comme l’expliquait le site Open Source Malware.

Dans le lot, le dépôt d’Azure nommé « functions-action » qui permet de déployer le code d’un projet utilisant « Azure Functions » ou encore le framework Durable Task, « utilisé activement en production par de nombreuses équipes, y compris les équipes d’ingénierie au sein de Microsoft ». Ceux-ci sont maintenant de nouveau accessibles comme d’autres, Microsoft redonnant accès à ses projets au fur et à mesure des corrections et vérifications.

Microsoft avait identifié l’attaque chez Red Hat

Une bonne partie de ces dépôts ont été touchés par la campagne de vol d’identifiants « Miasma », selon Open Source Malware et l’entreprise de sécurité StepSecurity. Ironiquement, l’équipe de recherche en sécurité de Microsoft avait détecté que cette attaque visait la chaîne d’approvisionnement npm de Red Hat, touchant « 32 paquets modifiés de manière malveillante dans plus de 90 versions relevant du périmètre npm @redhat-cloud-services », expliquait l’entreprise le 2 juin dernier.

« Un pipeline CI/CD (Continuous Integration/Continuous Delivery) a permis à des pirates de publier des paquets infectés par des chevaux de Troie via le flux de publication légitime OpenID Connect (OIDC) de GitHub Actions. Ainsi, ces paquets malveillants portaient des signatures de provenance authentiques tout en intégrant le marqueur de campagne « Miasma : The Spreading Blight » », expliquait Microsoft concernant les paquets npm de Red Hat.

• La saga continue : un paquet NPM vérolé de Bitwarden CLI a dérobé des secrets
• Hackerbot-claw : un bot exploite GitHub Actions et vide le dépôt de Trivy

Mais l’entreprise de Redmond a été attaquée à son tour. StepSecurity a identifié le commit poussé dans le dépôt Azure/durabletask à l’aide d’un compte de contributeur piraté. « Cette modification a ajouté cinq fichiers destinés à permettre l’exécution automatique du code dans quatre outils de développement différents », explique l’entreprise dans son billet de blog et ajoute : « Cloner le dépôt ne présente aucun risque. L’ouvrir, en revanche, n’est pas sans danger ». Le code s’exécute automatiquement lorsqu’un développeur ouvre le dépôt dans Claude Code, Gemini CLI, Cursor ou VS Code et cherche à récupérer des identifiants.

Step Security fait le lien avec l’attaque Mini Shai-Hulud menée par TeamPCP, notamment car les deux utilisent un même domaine secondaire : C2 t.m-kosche[.]com. Elle explique aussi que « le compte piraté est celui du même contributeur dont les identifiants ont été utilisés lors de l’attaque contre PyPI du 19 mai » que l’entreprise de sécurité avait identifiée dans le dépôt du SDK durabletask maintenu par Microsoft.

La compromission des identifiants développeurs comme porte d’entrée

« Le génie de ce ver Miasma réside dans la manière dont il s’est fondu dans les flux de travail légitimes », explique Cloudsmith, une autre entreprise de sécurité qui a analysé le problème. « Il n’exploite aucune faille logicielle de GitHub ou de npm. Il tire plutôt parti du modèle de confiance sous-jacent de l’écosystème d’ingénierie moderne. La compromission des identifiants de développeurs a permis de demander un jeton OIDC GitHub légitime. Cela a été suivi de la publication d’une version malveillante dotée d’une provenance SLSA valide, ce qui a finalement conduit les scanners conventionnels à la considérer comme une mise à jour de routine fiable. En volant les identifiants légitimes du responsable de maintenance, le ver a pu agir exactement comme l’aurait fait un éditeur authentifié », ajoute Cloudsmith.

Le billet de l’entreprise explique aussi que Miasma génère une charge utile chiffrée de manière unique pour chaque infection, ce qui permet de passer outre les outils de détection traditionnels.

Microsoft a confirmé à 404 Media avoir désactivé les dépôts concernés. Interrogée par TechCrunch, l’entreprise explique : « Nous avons temporairement supprimé certains dépôts pendant que nous enquêtions sur la présence éventuelle de contenus malveillants ». « Certains de ces dépôts ont été rétablis après vérification, tandis que d’autres pourraient rester hors ligne pendant la poursuite des travaux », explique le porte-parole de l’entreprise, Ben Hope.

« Dans le cadre de notre enquête, nous avons contacté un petit nombre de clients susceptibles d’avoir téléchargé du contenu provenant des dépôts concernés. Nous poursuivrons notre enquête et, si nous identifions d’autres éléments nécessitant une intervention de la part des clients, nous les contacterons directement via nos canaux d’assistance habituels », ajoute-t-il, sans préciser ce « petit nombre ».

L'histoire sans fin

Microsoft a dû bloquer l’accès aux dépôts GitHub de plus de 70 de ses propres projets. Certains d’entre eux ont été piratés au cours d’une campagne de vols d’identifiants d’outils d’IA générative nommée Miasma.

L’éditeur de GitHub n’est pas épargné par les attaques actuelles contre la supply chain de logiciels open source. Ainsi, Microsoft a dû désactiver l’accès à plus de 70 de ses propres dépôts sur GitHub, comme l’expliquait le site Open Source Malware.

Dans le lot, le dépôt d’Azure nommé « functions-action » qui permet de déployer le code d’un projet utilisant « Azure Functions » ou encore le framework Durable Task, « utilisé activement en production par de nombreuses équipes, y compris les équipes d’ingénierie au sein de Microsoft ». Ceux-ci sont maintenant de nouveau accessibles comme d’autres, Microsoft redonnant accès à ses projets au fur et à mesure des corrections et vérifications.

Microsoft avait identifié l’attaque chez Red Hat

Une bonne partie de ces dépôts ont été touchés par la campagne de vol d’identifiants « Miasma », selon Open Source Malware et l’entreprise de sécurité StepSecurity. Ironiquement, l’équipe de recherche en sécurité de Microsoft avait détecté que cette attaque visait la chaîne d’approvisionnement npm de Red Hat, touchant « 32 paquets modifiés de manière malveillante dans plus de 90 versions relevant du périmètre npm @redhat-cloud-services », expliquait l’entreprise le 2 juin dernier.

« Un pipeline CI/CD (Continuous Integration/Continuous Delivery) a permis à des pirates de publier des paquets infectés par des chevaux de Troie via le flux de publication légitime OpenID Connect (OIDC) de GitHub Actions. Ainsi, ces paquets malveillants portaient des signatures de provenance authentiques tout en intégrant le marqueur de campagne « Miasma : The Spreading Blight » », expliquait Microsoft concernant les paquets npm de Red Hat.

• La saga continue : un paquet NPM vérolé de Bitwarden CLI a dérobé des secrets
• Hackerbot-claw : un bot exploite GitHub Actions et vide le dépôt de Trivy

Mais l’entreprise de Redmond a été attaquée à son tour. StepSecurity a identifié le commit poussé dans le dépôt Azure/durabletask à l’aide d’un compte de contributeur piraté. « Cette modification a ajouté cinq fichiers destinés à permettre l’exécution automatique du code dans quatre outils de développement différents », explique l’entreprise dans son billet de blog et ajoute : « Cloner le dépôt ne présente aucun risque. L’ouvrir, en revanche, n’est pas sans danger ». Le code s’exécute automatiquement lorsqu’un développeur ouvre le dépôt dans Claude Code, Gemini CLI, Cursor ou VS Code et cherche à récupérer des identifiants.

Step Security fait le lien avec l’attaque Mini Shai-Hulud menée par TeamPCP, notamment car les deux utilisent un même domaine secondaire : C2 t.m-kosche[.]com. Elle explique aussi que « le compte piraté est celui du même contributeur dont les identifiants ont été utilisés lors de l’attaque contre PyPI du 19 mai » que l’entreprise de sécurité avait identifiée dans le dépôt du SDK durabletask maintenu par Microsoft.

La compromission des identifiants développeurs comme porte d’entrée

« Le génie de ce ver Miasma réside dans la manière dont il s’est fondu dans les flux de travail légitimes », explique Cloudsmith, une autre entreprise de sécurité qui a analysé le problème. « Il n’exploite aucune faille logicielle de GitHub ou de npm. Il tire plutôt parti du modèle de confiance sous-jacent de l’écosystème d’ingénierie moderne. La compromission des identifiants de développeurs a permis de demander un jeton OIDC GitHub légitime. Cela a été suivi de la publication d’une version malveillante dotée d’une provenance SLSA valide, ce qui a finalement conduit les scanners conventionnels à la considérer comme une mise à jour de routine fiable. En volant les identifiants légitimes du responsable de maintenance, le ver a pu agir exactement comme l’aurait fait un éditeur authentifié », ajoute Cloudsmith.

Le billet de l’entreprise explique aussi que Miasma génère une charge utile chiffrée de manière unique pour chaque infection, ce qui permet de passer outre les outils de détection traditionnels.

Microsoft a confirmé à 404 Media avoir désactivé les dépôts concernés. Interrogée par TechCrunch, l’entreprise explique : « Nous avons temporairement supprimé certains dépôts pendant que nous enquêtions sur la présence éventuelle de contenus malveillants ». « Certains de ces dépôts ont été rétablis après vérification, tandis que d’autres pourraient rester hors ligne pendant la poursuite des travaux », explique le porte-parole de l’entreprise, Ben Hope.

« Dans le cadre de notre enquête, nous avons contacté un petit nombre de clients susceptibles d’avoir téléchargé du contenu provenant des dépôts concernés. Nous poursuivrons notre enquête et, si nous identifions d’autres éléments nécessitant une intervention de la part des clients, nous les contacterons directement via nos canaux d’assistance habituels », ajoute-t-il, sans préciser ce « petit nombre ».

Nostalgiques d’OS/2 d’IBM, de Mac OS 1.0 ou encore de Windows Me (si, ça doit bien exister) ? Voilà un site qui devrait vous intéresser : The Virtual OS Museum, un musée virtuel consacré aux systèmes d’exploitation.

Andrew Warkentin, qui se présente comme développeur et historien de ces systèmes, explique qu’il collectionne des images d’OS émulés depuis 2003. Actuellement, sa liste en contient déjà plus de 1 700.

« Bien que la situation en matière de préservation des logiciels se soit considérablement améliorée au cours des deux dernières décennies, bon nombre des projets de préservation existants restent encore peu accessibles », explique-t-il. « Lorsque j’ai commencé à collecter des images d’émulateurs (en 2003), il n’existait que quelques petites archives d’images de logiciels et de la documentation correspondante, et relativement peu d’émulateurs pour des plateformes autres que les plateformes grand public bien connues, ajoute-t-il. « Aujourd’hui, il existe de nombreuses archives importantes de logiciels et de documentation historiques, ainsi que de nombreux émulateurs, même pour des plateformes très obscures ».

Le Virtual OS Museum passe en revue une grande partie de l’histoire de l’informatique, de la Small-Scale Experimental Machine surnommée « Manchester baby » aux premières versions d’Android et d’iOS, en passant par les premières versions bêta de Windows Longhorn ou l’Amiga UNIX (AMIX) 2.1c :

Le projet existe en deux versions : une « full » de 179 Go, qui permet d’accéder à toutes les archives en étant déconnecté, et une « lite » de 21 Go qui nécessite de télécharger ce qui correspond aux disquettes, bandes, etc. Et les sources sont disponibles sur Gitlab.

Ce projet n’est pas sans rappeler celui d’Internet Archive. Andrew Warkentin utilise d’ailleurs le site pour les fichiers Zip de son projet pour le téléchargement direct. Ils sont aussi disponibles en .torrent. Il vient également en parallèle d’un autre projet d’archivage de logiciels lancé il y a plus de 10 ans par l’Inria : Software Heritage.

Nostalgiques d’OS/2 d’IBM, de Mac OS 1.0 ou encore de Windows Me (si, ça doit bien exister) ? Voilà un site qui devrait vous intéresser : The Virtual OS Museum, un musée virtuel consacré aux systèmes d’exploitation.

Andrew Warkentin, qui se présente comme développeur et historien de ces systèmes, explique qu’il collectionne des images d’OS émulés depuis 2003. Actuellement, sa liste en contient déjà plus de 1 700.

« Bien que la situation en matière de préservation des logiciels se soit considérablement améliorée au cours des deux dernières décennies, bon nombre des projets de préservation existants restent encore peu accessibles », explique-t-il. « Lorsque j’ai commencé à collecter des images d’émulateurs (en 2003), il n’existait que quelques petites archives d’images de logiciels et de la documentation correspondante, et relativement peu d’émulateurs pour des plateformes autres que les plateformes grand public bien connues, ajoute-t-il. « Aujourd’hui, il existe de nombreuses archives importantes de logiciels et de documentation historiques, ainsi que de nombreux émulateurs, même pour des plateformes très obscures ».

Le Virtual OS Museum passe en revue une grande partie de l’histoire de l’informatique, de la Small-Scale Experimental Machine surnommée « Manchester baby » aux premières versions d’Android et d’iOS, en passant par les premières versions bêta de Windows Longhorn ou l’Amiga UNIX (AMIX) 2.1c :

Le projet existe en deux versions : une « full » de 179 Go, qui permet d’accéder à toutes les archives en étant déconnecté, et une « lite » de 21 Go qui nécessite de télécharger ce qui correspond aux disquettes, bandes, etc. Et les sources sont disponibles sur Gitlab.

Ce projet n’est pas sans rappeler celui d’Internet Archive. Andrew Warkentin utilise d’ailleurs le site pour les fichiers Zip de son projet pour le téléchargement direct. Ils sont aussi disponibles en .torrent. Il vient également en parallèle d’un autre projet d’archivage de logiciels lancé il y a plus de 10 ans par l’Inria : Software Heritage.