Le GitHub de Microsoft a temporairement désactivé plus de 70 référentiels après qu’ils auraient été compromis par un ver lors de la dernière attaque de la chaîne d’approvisionnement open source.
Le code shack a supprimé 73 dépôts en l’espace de 105 secondes après le déclenchement de ses alarmes le vendredi 5 juin, après avoir détecté des signes indiquant que le ver Miasma infectait ses projets, selon le co-fondateur et directeur technique de StepSecurity, Ashish Kurmi.
« Notre priorité est de protéger les clients et l’écosystème dans son ensemble. Nous avons temporairement supprimé certains référentiels alors que nous enquêtions sur un contenu potentiellement malveillant », nous a déclaré mercredi un porte-parole de Microsoft, deux jours après la publication initiale de cet article. « Tous ces dépôts ont été restaurés après examen. Dans le cadre de notre enquête, nous avons informé un petit nombre de clients qui pourraient avoir extrait le contenu des référentiels concernés. Nous continuerons à enquêter, et si quelque chose d’autre est identifié qui nécessite une action du client, nous vous contacterons directement via nos canaux d’assistance établis. «
AD ENREGISTREMENT
AD ENREGISTREMENT
Les utilisateurs ont rapidement signalé des problèmes vendredi, après que les visites à ces dépôts ont toutes abouti à l’affichage du même message, indiquant qu’ils avaient été désactivés en raison de violations des conditions de service.
Selon l’analyse de StepSecurity, l’attaque a débuté après qu’un compte de contributeur compromis ait poussé une validation malveillante vers Azure/durabletask. Le commit a supprimé les fichiers de configuration qui déclenchaient l’exécution de code à distance sur les machines lorsqu’un développeur ouvrait le dépôt dans un outil de codage IDE ou AI, tel que Claude Code, Gemini CLI et Cursor.
Plusieurs développeurs ont rapidement signalé des pipelines CI/CD cassés, a montré un fil de discussion, bien qu’un modérateur ait déclaré à l’époque que cela était dû à « un problème de gestion interne ».
« Le dépôt qui a le plus immédiatement causé des problèmes était Azure/functions-action », a écrit Kurmi, utilisé pour déployer du code sur Azure. Une fois supprimé, chaque workflow faisant référence à Azure/functions-action@v1 a cessé de se résoudre.
GitHub est intervenu quelques heures après que les dépôts aient été infectés par le commit malveillant. Ses détections automatisées ont démarré et désactivé les dépôts en moins de deux minutes, en deux vagues distinctes.
Cependant, c’est le travail de la famille durabletask qui a laissé entendre que l’attaque était en effet une réouverture de la précédente attaque du ver Miasma qui avait frappé Microsoft le mois dernier.
Le package PyPi durabletask de Microsoft était une cible précédente du ver Miasma le 19 mai. En l’espace de 35 minutes, trois versions du package ont été téléchargées sur PyPi, ce qui a implanté des voleurs d’informations sur les machines des développeurs, détectant spécifiquement les secrets du cloud et les configurations des outils de développement sur les systèmes Linux.
Surtout, le reciblage de durabletask suggère que les jetons associés au compte de développeur compromis utilisé pour exécuter l’attaque PyPi n’ont pas été entièrement tournés, permettant à un attaquant d’accéder et de pousser les validations vers GitHub, a déclaré Kurmi.
AD ENREGISTREMENT
C’était soit cela, soit le contributeur avait été à nouveau compromis via la propre boucle de propagation du ver, soit le jeton d’un autre contributeur avait été utilisé mais l’attaquant avait modifié les métadonnées pour faire croire à une attaque répétée.
Le magasin de sécurité Snyk a décrit Miasma comme un descendant du ver Mini Shai Hulud. C’est le même qui a ravagé les packages open source du registre npm, y compris celui de Red Hat, plus tôt ce mois-ci.
Le groupe de cybercriminalité TeamPCP a revendiqué la responsabilité du développement de Mini Shai Hulud, qui porte lui-même le nom d’un ver antérieur du même nom, sans « mini ».
Cependant, étant donné que Mini Shai Hulud est open source par TeamPCP, il est difficile de dire s’il était également derrière Miasma ou si quelqu’un d’autre a pris les rênes du projet de suivi.
StepSecurity a également signalé que deux jours avant l’attaque de Microsoft, le même ver devenait une nuisance chez npm, compromettant plus de 50 packages, dont un SDK Vapi.ai avec plus de 408 000 téléchargements mensuels.®
Mis à jour le 10 juin avec un nouveau commentaire de Microsoft et le fait que les dépôts ont maintenant été restaurés.
