Microsoft a coupé l’accès à des dizaines de ses projets open source hébergés sur GitHub alors qu’elle enquête sur la manière dont des pirates ont apparemment infiltré ces projets et injecté un logiciel malveillant voleur de mots de passe dans le code.
De nombreux projets concernés sont liés à Azure (le service cloud de Microsoft) et à d’autres outils utilisés par les développeurs pour coder avec des applications de développement IA, comme Claude Code , l’interface en ligne de commande de Gemini et VS Code.
Comment fonctionne l’attaque ?
Selon la société de sécurité Cloudsmith et le site d’analyse de logiciels malveillants OpenSourceMalware, parmi les premiers à signaler le piratage, le logiciel malveillant permettait aux pirates de voler les mots de passe et autres identifiants sensibles des utilisateurs lorsqu’ils ouvraient les outils compromis dans leurs applications de codage IA.
On ne sait pas encore combien de personnes ont téléchargé les outils concernés.
Microsoft confirme
Microsoft a confirmé avoir retiré les dépôts (repos), comme l’a rapporté 404 Media. Ben Hope, porte-parole de Microsoft, a déclaré à TechCrunch que l’entreprise avait « temporairement supprimé certains dépôts pendant que nous enquêtions sur un contenu potentiellement malveillant ».
« Certains de ces dépôts ont été restaurés après examen, tandis que d’autres peuvent rester hors ligne pendant que les travaux se poursuivent. Nous avons notifié un petit nombre de clients qui ont pu télécharger du contenu à partir des dépôts affectés. »
Au moins 70 projets désactivés
Au moins 70 projets appartenant à Microsoft ont été « désactivés », selon un message apparaît lors de la tentative d’accès aux pages des projets sur GitHub (un site d’hébergement de code appartenant à Microsoft). « L’accès à ce dépôt a été désactivé par le personnel de GitHub en raison d’une violation des conditions d’utilisation de GitHub. »
Une attaque sur la chaîne d’approvisionnement
Il s’agit du dernier exemple en date de pirates informatiques infiltrant des projets open source très populaires dans le but d’infecter un grand nombre d’utilisateurs ayant le code installé sur leurs ordinateurs. Ces piratages sont appelés attaques sur la chaîne d’approvisionnement , car ils ciblent des codes souvent utilisés dans un grand nombre de produits logiciels.
Bien qu’il ne soit pas rare que des développeurs individuels de projets open source soient ciblés, il est rare que des géants comme Microsoft, qui disposent des ressources nécessaires pour se défendre, soient compromis.
Une deuxième brèche en quelques semaines
Il s’agit de la deuxième brèche connue de Microsoft au cours des dernières semaines ayant permis à des pirates de compromettre ses projets open source, selon Ars Technica. À la mi-mai, des chercheurs en sécurité ont déclaré que le projet open source Durable Task de Microsoft avait été piraté. OpenSourceMalware affirme que le dernier incident est une « re-compromission » de ce projet, suggérant que Microsoft n’a peut-être pas éradiqué les pirates du premier coup, ou qu’il s’agit d’une nouvelle brèche distincte.
