Cyberattaque Miasma : un malware s’infiltre dans les outils de développeurs pour voler leurs identifiants

Plus de 117 000 téléchargements hebdomadaires de packages corrompus ont été exposés dans une campagne cybercriminelle ciblant les développeurs, selon Numerama. Depuis mai 2026, le malware nommé Miasma sévit en deux vagues distinctes, exploitant des failles dans les chaînes d’approvisionnement logicielles pour s’infiltrer dans des outils comme Claude Code et VS Code.

Une attaque en deux vagues coordonnées depuis mai 2026

Depuis le début du mois de mai 2026, une campagne cybercriminelle nommée « Miasma » cible systématiquement les outils utilisés par les développeurs professionnels et open source. Comme le rapporte Numerama, l’objectif affiché par les attaquants est clair : dérober les credentials, identifiants, clés d’accès, tokens d’authentification et autres secrets critiques. Deux rapports d’experts, publiés respectivement par Microsoft Defender le 2 juin 2026 et par la société StepSecurity le 5 juin 2026, ont révélé l’ampleur de cette campagne, mettant en lumière deux vagues distinctes mais liées par le même malware et, potentiellement, le même groupe de cybercriminels.

Première vague : l’exploitation d’une faille de confiance via npm

La première phase de l’attaque repose sur une faille de confiance dans la chaîne d’approvisionnement logicielle. Selon les analyses de Wiz Research, les attaquants ont compromis le compte GitHub d’un employé de Red Hat, leur permettant de pousser directement des commits dans des dépôts internes sans passer par les mécanismes habituels de revue de code. Résultat : 32 packages corrompus ont été publiés sous le label officiel @redhat-cloud-services sur npm, le registre central pour les développeurs JavaScript.

Ces packages arboraient une signature cryptographique légitime, celle de Red Hat, ce qui a grandement compliqué leur détection. Une fois installés, un script malveillant se déclenchait en arrière-plan pour collecter méthodiquement les secrets présents sur la machine : clés AWS, Azure, Google Cloud, tokens GitHub, mots de passe SSH, et autres informations sensibles. Selon les estimations, plus de 117 000 téléchargements hebdomadaires ont été exposés à ce risque.

Un ver informatique qui persiste dans les outils de développement

Une fois le package corrompu installé, le malware s’injecte dans deux fichiers de configuration essentiels pour les développeurs : ~/.claude/settings.json et .vscode/tasks.json. Même après désinstallation du package, le code malveillant continue de s’exécuter à chaque ouverture de Claude Code ou VS Code. « Le malware s’inscrit dans les fichiers de configuration quotidiens des développeurs, ce qui en fait une menace persistante et difficile à éradiquer », a expliqué Microsoft Defender dans son rapport.

Deuxième vague : un ver qui s’auto-réplique via les tokens volés

La deuxième phase de l’attaque, plus sophistiquée, cible directement les dépôts GitHub. Plutôt que de passer par un registre de packages, les cybercriminels ont déposé cinq fichiers de configuration malveillants dans un dépôt, ciblant les quatre environnements de développement les plus utilisés : Claude Code, Gemini CLI, Cursor et VS Code. Un développeur clonant ce dépôt et ouvrant un de ces fichiers dans l’un de ces outils déclenchait automatiquement le payload.

Le malware, une fois activé, dérobe les tokens GitHub de la victime et les utilise immédiatement pour s’auto-répliquer. Il injecte alors les mêmes fichiers malveillants dans tous les autres dépôts auxquels la victime a accès. Cet « effet domino » ultra-rapide a contraint GitHub à suspendre en urgence 73 dépôts appartenant à Microsoft le 6 juin 2026, selon StepSecurity. « La propagation est quasi instantanée dès que les tokens sont compromis », a précisé un porte-parole de GitHub.

Des liens avec une variante du malware Mini Shai-Hulud

Les analyses menées par les chercheurs en cybersécurité établissent un lien entre la campagne Miasma et une variante du malware Mini Shai-Hulud, dont le code avait été publié en ligne par le groupe TeamPCP. Bien que les similitudes techniques soient frappantes, l’attribution directe des attaques à ce groupe reste incertaine à ce stade. « Nous observons des recoupements techniques avec des malwares connus, mais aucune preuve formelle ne permet d’incriminer un acteur précis pour l’instant », a indiqué Microsoft Defender dans son communiqué.

Mesures d’urgence et recommandations pour les développeurs

Face à cette menace, plusieurs acteurs du secteur ont réagi rapidement. Red Hat a retiré les versions malveillantes de npm, tandis que Microsoft et GitHub ont désactivé les dépôts compromis et travaillent à identifier les comptes affectés. Pour les développeurs ayant installé des packages @redhat-cloud-services entre le 30 mai et le 3 juin 2026, la priorité est de vérifier deux fichiers spécifiques : ~/.claude/settings.json et .vscode/tasks.json. Toute entrée inconnue faisant référence à un script .js externe ou à une commande inattendue doit être considérée comme suspecte, selon les experts.

En cas de suspicion d’infection, les développeurs sont invités à rotater immédiatement l’ensemble de leurs secrets : tokens GitHub, clés cloud, identifiants npm et autres credentials potentiellement exposés. Il est également recommandé d’auditer les accès GitHub Actions, de vérifier les dépôts sur lesquels le compte compromis dispose de droits d’écriture, et de rechercher d’éventuels commits suspects réalisés avec les identifiants volés.

Alors que les attaques par chaîne d’approvisionnement se multiplient, cette campagne rappelle l’importance de sécuriser non seulement les logiciels finaux, mais aussi les outils et environnements de développement utilisés quotidiennement par des millions de professionnels à travers le monde.