Microsoft a supprimé 73 référentiels sur ses organisations Azure, Microsoft, Azure-Samples et MicrosoftDocs hébergées sur GitHub. Cette action a perturbé plusieurs pipelines d’intégration continue.
L’incident s’est produit le 5 juin et a été circonscrit en seulement 105 secondes. La société a déclaré à BleepingComputer que les dépôts ont été retirés par crainte qu’ils ne distribuent « un contenu potentiellement malveillant ».
Plusieurs chercheurs ont confirmé que ces référentiels ont été retirés à la suite d’une compromission dans le cadre d’une campagne d’attaque de la chaîne d’approvisionnement liée aux programmes malveillants Miasma et Shai-Hulud.
La plateforme OpenSourceMalware signale que le dépôt ‘durabletask’, qui appartient à l’organisation Azure de Microsoft sur GitHub, avait déjà été compromis en mai. Cela pourrait indiquer qu’un nettoyage incomplet a permis à la menace de réapparaître, mais cette information n’est pas confirmée.
Immédiatement après la suppression, un message de GitHub Staff a expliqué que la mesure était prise en raison d’une « violation des conditions d’utilisation de GitHub ».
Un représentant de Microsoft a répondu aux inquiétudes des utilisateurs dans une discussion communautaire. Il a indiqué que les dépôts ont été désactivés à cause d’ »un problème de gestion interne » et qu’une enquête était en cours.
L’effet immédiat le plus important a été la désactivation de l’accès à ‘Azure/functions-action’, une GitHub Action très utilisée par les développeurs pour déployer des Azure Functions. Les workflows qui s’y référaient ont cessé de fonctionner, ce qui a provoqué une panne et de la confusion.
Au moment de la rédaction de cet article, tous les référentiels ont été restaurés et sont considérés comme propres et sûrs.
Cependant, la plateforme OpenSourceMalware note que le package ‘durabletask’ sur l’index PyPI (Python Package Index) avait été compromis en mai. L’attaquant avait publié trois versions malveillantes (1.4.1, 1.4.2 et 1.4.3).
Dans une déclaration à BleepingComputer, un porte-parole de Microsoft a précisé que la société a « temporairement supprimé certains dépôts pendant que nous enquêtions sur un contenu potentiellement malveillant ». Bien que tout soit restauré, Microsoft a « notifié un petit nombre de clients qui auraient pu récupérer du contenu depuis les dépôts affectés ». Le porte-parole a ajouté : « Nous poursuivons notre enquête et si d’autres éléments nécessitent une action des clients, nous les contacterons directement via nos canaux de support habituels. »
L’ingénieur en sécurité Adnan Khan a déclaré que l’incident du 5 juin contre les dépôts Microsoft semblait faire partie de la campagne du logiciel malveillant Miasma, qui avait déjà infecté 32 packages npm de Red Hat.
Dans un rapport publié cette semaine, la société de gestion de la chaîne d’approvisionnement logicielle Cloudsmith a conclu que l’environnement Azure de Microsoft sur GitHub et le dépôt ‘durabletask’ ont été compromis via Miasma. Ce programme malveillant cible des outils de codage basés sur l’intelligence artificielle, comme Claude Code, Gemini CLI, VS Code et Cursor.
Le pirate est passé des packages npm de Red Hat aux ressources de Microsoft sur GitHub. Les chercheurs expliquent : « Le ver a d’abord frappé l’espace de noms npm @redhat-cloud-services en compromettant le compte GitHub d’un employé de Red Hat. En poussant des commits orphelins non examinés vers des dépôts internes, les acteurs de la menace ont injecté un workflow minimal qui demandait les jetons OIDC de GitHub. »
Les attaques de la chaîne d’approvisionnement continuent de cibler les écosystèmes open source. Hier, la société de sécurité des applications Socket a signalé avoir détecté une nouvelle attaque Shai-Hulud ce week-end, qui utilisait un nouveau mécanisme de livraison.
StepSecurity a publié un rapport distinct sur une attaque Shai-Hulud qui a touché Pythagora-io/gpt-pilot, un outil de développement open source basé sur l’intelligence artificielle. Cet outil compte plus de 33 700 étoiles sur GitHub et plus de 3 500 forks.
Les développeurs de logiciels devraient verrouiller les dépendances de leurs projets, ajouter des délais de plusieurs jours avant de récupérer les mises à jour des packages, et tester les nouvelles versions dans des environnements isolés.