Microsoft : des packages compromis avec un voleur de mots de passe

Introduction

Des dizaines de packages open source de Microsoft ont été compromises avec un code avancé de vol de mots de passe, qui s'active lorsque les développeurs les ouvrent dans des agents de codage IA.

Contexte Technique

73 packages ont été signalés comme malveillants par les systèmes automatisés de GitHub, qui les ont bloqués sur la plateforme. Les packages compromis exécutaient une charge utile de 28 KB qui vole des mots de passe à partir d'AWS, Azure, GCP, Kubernetes, des gestionnaires de mots de passe et de plus de 90 configurations d'outils de développement.

Les attaquants ont utilisé une technique qui leur permet de contourner l'ensemble du pipeline de construction du référentiel, en compromettant les informations d'identification de Microsoft pour la publication des packages. Le logiciel malveillant utilisé dans l'attaque est appelé Miasma, qui est essentiellement un clone de l'outil Mini Shai-Hulud de TeamPCP.

Analyse et Implications

Cette attaque est la deuxième atteinte à la chaîne d'approvisionnement en deux mois à avoir compromis un compte de référentiel officiel Microsoft. Les développeurs qui ont utilisé des agents IA pour travailler avec ces packages doivent supposer que leurs systèmes sont compromis.

Les implications de cette attaque sont graves, car elle peut permettre aux attaquants de se propager latéralement à travers les infrastructures cloud et d'infecter d'autres machines de développement. Les entreprises doivent prendre des mesures pour se protéger contre ce type d'attaque, en vérifiant régulièrement leurs packages et en mettant en place des mécanismes de sécurité pour détecter et prévenir les attaques.

Perspective

Il est essentiel de surveiller les packages open source et de vérifier leur intégrité avant de les utiliser. Les entreprises doivent également être conscientes des risques liés à l'utilisation d'agents de codage IA et prendre des mesures pour les sécuriser.

Les prochaines étapes consisteront à analyser les implications de cette attaque et à mettre en place des mesures pour prévenir les attaques similaires à l'avenir. Les développeurs et les entreprises doivent rester vigilants et prendre des mesures pour se protéger contre les attaques de la chaîne d'approvisionnement.