🗓️ Contexte

Article publié le 8 juin 2026 par Nigel Douglas (Cloudsmith), analysant la campagne du ver Miasma qui a frappé l’écosystème open-source au cours de la semaine précédente. La source est le blog officiel de Cloudsmith, spécialisé en sécurité de la supply chain.

🦠 Description du malware

Miasma est une variante évoluée et auto-réplicante du ver Mini Shai-Hulud, open-sourcé par le groupe TeamPCP. Le dépôt malveillant était décrit comme « Miasma: The Spreading Blight » et « Hades - The End for the Damned ». Le ver génère un payload chiffré de manière unique pour chaque infection, rendant les IOCs basés sur les hachages inutilisables pour la détection.

🔗 Chaîne d’attaque

  1. Compromission d’un compte GitHub d’un employé Red Hat pour accéder au namespace npm @redhat-cloud-services
  2. Injection de commits orphelins non revus dans des dépôts internes
  3. Demande de tokens OIDC GitHub via un workflow malveillant minimal
  4. Publication de 32 versions de packages malveillants sur le registre npm avec des attestations SLSA valides (indiscernables de mises à jour légitimes)
  5. Propagation directe aux dépôts sources (ex : icflorescu/mantine-datatable)
  6. Exécution automatique du dropper lors du clonage et de l’ouverture dans des outils de développement IA :
    • Claude Code
    • Gemini CLI
    • VS Code
    • Cursor
  7. Compromission de 73 dépôts GitHub Microsoft, dont Azure/azure-functions-host et l’écosystème durabletask (.NET, Go, Java, JavaScript, MSSQL, Python)

🎯 Objectifs et capacités

  • Collecte d’identités cloud ciblant spécifiquement GCP et Azure
  • Harvesting de credentials sur les machines développeurs et les runners CI/CD
  • Exploitation du modèle de confiance de l’écosystème d’ingénierie moderne (OIDC, SLSA)
  • Les cibles incluent : GitHub PATs, clés SSH, clés de signature CI/CD, secrets d’environnement, credentials Azure et GCP

🔍 Pourquoi les défenses conventionnelles ont échoué

  • Aucune vulnérabilité logicielle exploitée dans GitHub ou npm
  • Exploitation du modèle de confiance : tokens OIDC légitimes, builds avec provenance SLSA valide
  • Payload chiffré unique par infection → hachages inutilisables comme IOCs
  • Persistance : les credentials compromis en mai (attaque durabletask PyPI) n’avaient pas été entièrement révoqués

📌 Type d’article

Article de blog technique à visée commerciale (Cloudsmith), combinant l’analyse d’incident et la promotion de la solution Cloudsmith comme réponse aux attaques de supply chain. But principal : documenter la campagne Miasma et positionner Cloudsmith comme outil de défense.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1552 — Unsecured Credentials (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1553 — Subvert Trust Controls (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1119 — Automated Collection (Collection)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Lateral Movement)

Malware / Outils

  • Miasma (other)
  • Mini Shai-Hulud (other)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ cloudsmith.com — source non référencée (0pts)
  • ✅ 7446 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : TeamPCP (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cloudsmith.com/blog/miasma-worms-path-of-destruction