🗓️ Contexte

Source : DataBreachToday.eu — Article publié le 8 juin 2026. L’incident s’est produit le vendredi précédant la publication. Les chercheurs de StepSecurity ont documenté et suivi l’attaque.

🎯 Nature de l’attaque

Une attaque de chaîne d’approvisionnement (supply-chain) baptisée Miasma a frappé l’écosystème de développement Microsoft. Les attaquants ont utilisé un compte contributeur préalablement compromis pour injecter du code malveillant dans les dépôts Azure de Microsoft.

⚡ Propagation et impact

  • 73 dépôts GitHub compromis en moins de 2 minutes
  • Dépôts affectés : Azure, Azure-Samples et Microsoft, incluant des projets liés à Azure Functions et au framework Durable Task
  • GitHub a temporairement désactivé les dépôts concernés avant leur restauration après investigation
  • Les dépôts ont été rétablis après suppression du code malveillant par Microsoft et GitHub

🛠️ Mécanisme technique

Les attaquants ont planté des fichiers de configuration malveillants conçus pour s’exécuter automatiquement lorsque les dépôts étaient ouverts via des outils de codage assistés par IA :

  • Claude Code
  • Cursor
  • Gemini CLI
  • Autres assistants de codage IA

La modification de fichiers de configuration hérités entre projets a permis la propagation rapide à des dizaines de dépôts en quelques secondes.

💀 Payload et objectifs

Le payload malveillant était conçu pour voler des credentials, des tokens d’authentification et des secrets développeurs. Les versions précédentes de la campagne Miasma ont ciblé :

  • Credentials cloud
  • Configurations Kubernetes
  • Données de gestionnaires de mots de passe
  • Dépôts de code source

🔗 Liens avec des incidents antérieurs

L’incident est lié à la campagne Miasma, opération basée sur un malware auto-réplicant publié par le groupe TeamPCP, également responsable du toolkit Mini Shai-Hulud ciblant des dépôts JavaScript et Python. Les chercheurs suggèrent un lien possible avec une compromission antérieure du package Python durabletask d’Azure, où un malware voleur de credentials avait été inséré après compromission d’un compte mainteneur.

📰 Type d’article

Article de presse spécialisée relatant un incident de sécurité en cours, basé sur les analyses de chercheurs de StepSecurity, avec des éléments d’investigation encore ouverts.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1078.004 — Valid Accounts: Cloud Accounts (Defense Evasion)
  • T1554 — Compromise Host Software Binary (Persistence)
  • T1552 — Unsecured Credentials (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1543 — Create or Modify System Process (Persistence)

Malware / Outils

  • Miasma (other)
  • Mini Shai-Hulud (other)

🟡 Indice de vérification factuelle : 35/100 (moyenne)

  • ⬜ databreachtoday.eu — source non référencée (0pts)
  • ✅ 4125 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : TeamPCP (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.databreachtoday.eu/miasma-worm-hits-microsofts-ai-coding-ecosystem-a-31912

🖴 Archive : https://web.archive.org/web/20260611134621/https://www.databreachtoday.eu/miasma-worm-hits-microsofts-ai-coding-ecosystem-a-31912