🔍 Contexte

Source : BleepingComputer, publié le 10 juin 2026. L’article s’appuie sur un rapport de SafeDep concernant la fuite du code source du framework Miasma sur GitHub.

🦠 Description du malware

Miasma est un framework de vol de credentials évoluant à partir du ver Shai-Hulud, dont le code avait également été précédemment leaké sur GitHub. Il partage avec son prédécesseur de nombreuses fonctionnalités, techniques et portions de code.

Le malware opère selon un cycle autonome de propagation de type ver :

  • Infection d’une machine développeur
  • Vol des credentials d’environnement de build et cloud
  • Compromission de dépôts et packages légitimes
  • Publication de versions trojanisées pour infecter les développeurs en aval

🎯 Capacités techniques

Collecte de credentials :

  • Fournisseurs cloud, systèmes CI/CD, gestionnaires de mots de passe, Kubernetes, secret stores

Abus de packages :

  • npm, PyPI, RubyGems, GitHub repositories, GitHub Actions workflows, JFrog Artifactory

Mouvement latéral :

  • SSH et AWS Systems Manager (SSM)

Empoisonnement d’outils IA :

  • Claude, Gemini, Cursor, Copilot, Kiro, Cline

Infrastructure C2 :

  • Aucune infrastructure C2 dédiée — utilise GitHub comme canal de commande et d’exfiltration

⚙️ Mécanismes notables

Dead-man switch : Installé lorsque le malware utilise un token GitHub volé comme canal d’exfiltration. Surveille la validité du token toutes les minutes ; si révoqué, exécute rm -rf ~/; rm -rf ~/Documents. Fonctionne comme un service systemd (Linux) ou LaunchAgent (macOS) pendant jusqu’à 72 heures.

Pipeline de build en 5 étapes : Génère des payloads uniques à chaque build via :

  • Chiffrement AES-256-GCM par fichier
  • Obfuscation de chaînes randomisée
  • Transformations de source
  • Obfuscation JavaScript
  • Loader auto-extractible avec 3 couches de chiffrement

📢 Modalités de la fuite

SafeDepа rapporté que le code source a été publié via de nombreux comptes développeurs compromis, dans des dépôts nommés Miasma-Open-Source-Release. La publication semble délibérée de la part des acteurs de la menace, à l’image de la fuite précédente de Shai-Hulud.

🏴 Attaques antérieures attribuées

  • Attaques contre des packages npm de Red Hat
  • Compromission de 73 dépôts Microsoft sur GitHub

📄 Type d’article

Article de presse spécialisée à visée informationnelle, documentant la fuite du code source de Miasma et ses implications pour la sécurité de l’écosystème open-source.

🧠 TTPs et IOCs détectés

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1567.001 — Exfiltration Over Web Service: Exfiltration to Code Repository (Exfiltration)
  • T1485 — Data Destruction (Impact)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1553 — Subvert Trust Controls (Defense Evasion)
  • T1543.001 — Create or Modify System Process: Launch Agent (Persistence)
  • T1543.002 — Create or Modify System Process: Systemd Service (Persistence)

Malware / Outils

  • Miasma (framework)
  • Shai-Hulud (framework)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4006 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/the-miasma-worm-source-code-briefly-leaked-on-github/