Le framework d'attaque de vol d'identifiants **Miasma**, qui a récemment ciblé les écosystèmes open source par le biais d'attaques de la chaîne d'approvisionnement, a été brièvement rendu open source sur **GitHub**. **Miasma** semble être une évolution du ver **Shai-Hulud** antérieur, précédemment divulgué sur **GitHub** et partageant bon nombre des mêmes fonctionnalités, techniques, et même du code. ### Comment Miasma opère Le malware infecte une machine de développeur, vole l'environnement de build et les identifiants cloud, puis les utilise pour compromettre des dépôts et des packages légitimes. Il publie des versions troyennes pour infecter les développeurs en aval, répétant le cycle. Ce mécanisme de propagation autonome et auto-réplicatif peut rapidement étendre sa portée, transformant potentiellement une seule brèche en une attaque généralisée de la chaîne d'approvisionnement. Le malware a déjà été lié à des attaques de haut niveau contre les **packages npm de Red Hat** et, plus récemment, à 73 dépôts **Microsoft** sur **GitHub**. ### Fuite délibérée et aperçus du code source Des chercheurs de **SafeDep** ont rapporté hier que le code source de **Miasma** avait été divulgué sur **GitHub** via de nombreux comptes de développeurs compromis. Dans chacun de ces comptes, les acteurs de la menace ont divulgué le code source dans un dépôt nommé "Miasma-Open-Source-Release". Cela indique que les acteurs de la menace ont délibérément publié le code source, plutôt qu'il ne s'agisse d'une fuite accidentelle, similaire à la manière dont le code de **Shai-Hulud** a été publié précédemment.  L'analyse du code a montré que la boîte à outils ne nécessite aucune infrastructure de commande et de contrôle (C2) pour fonctionner, car elle utilise **GitHub** à cette fin. ### Récolte étendue d'identifiants et mouvement latéral Le framework récolte des identifiants auprès des fournisseurs cloud, des systèmes CI/CD, des gestionnaires de mots de passe, de **Kubernetes**, et des magasins de secrets. Il les utilise abusivement pour compromettre les packages **npm**, **PyPI**, et **RubyGems**, ainsi que les dépôts **GitHub**, les workflows **Actions**, et les instances **JFrog Artifactory**. Il peut également se déplacer latéralement via **SSH** et **AWS Systems Manager (SSM)**, et empoisonner les configurations d'outils de codage IA tels que **Claude**, **Gemini**, **Cursor**, **Copilot**, **Kiro**, et **Cline**.  ### Le 'Dead-Man Switch' et les payloads évasifs Une fonctionnalité intéressante révélée dans le code source divulgué de **Miasma** est un "dead-man switch" qui est installé lorsque le malware utilise le token **GitHub** volé d'une victime comme canal d'exfiltration. Le composant surveille la validité du token chaque minute et, s'il est révoqué, exécute une commande destructive (`rm -rf ~/; rm -rf ~/Documents`), supprimant récursivement les fichiers et répertoires dans le dossier personnel et le dossier Documents de l'utilisateur. Le moniteur s'exécute en tant que service utilisateur **systemd** sous **Linux** ou **LaunchAgent** sous **macOS**, et reste actif jusqu'à 72 heures. Un autre aspect intéressant révélé est un pipeline de build en cinq étapes qui génère des payloads uniques pour chaque build. **SafeDep** rapporte que le processus combine le chiffrement **AES-256-GCM** par fichier des actifs intégrés, l'obfuscation de chaînes aléatoires, des transformations de source, l'obfuscation JavaScript, et un chargeur auto-extractible qui encapsule le payload final dans trois couches de chiffrement. Des clés aléatoires et une couche d'encodage externe aléatoire garantissent que chaque échantillon généré diffère des builds précédents, rendant la détection basée sur les signatures et l'analyse statique plus difficiles. ### Implications pour la sécurité de l'open source La fuite de **Shai-Hulud** a conduit à la publication de variantes plus avancées, telles que **Miasma**, et à une augmentation des taux d'attaque. De même, la fuite du code source de **Miasma** devrait avoir un effet similaire à mesure que les acteurs de la menace adoptent le code et l'ajustent davantage. Cela pourrait avoir des conséquences importantes pour la sécurité de l'écosystème open source, car les attaques de la chaîne d'approvisionnement continuent de le cibler à un rythme sans précédent. Il est conseillé aux développeurs de logiciels d'épingler les dépendances de projet, d'introduire des délais de plusieurs jours avant d'adopter les mises à jour de packages nouvellement publiées, et de valider les nouvelles builds dans des environnements de test isolés.