Microsoft a coupé l’accès à des dizaines de ses projets open source hébergés sur GitHub alors qu’il enquête sur la façon dont les pirates ont apparemment violé les projets et injecté des logiciels malveillants de vol de mots de passe dans le code.
De nombreux projets concernés concernent le service cloud Azure de Microsoft et d’autres outils utilisés par les développeurs pour coder avec des applications de développement d’IA, tels que Claude Code, l’interface de ligne de commande de Gemini et VS Code.
Selon la société de sécurité Cloudsmith et le site communautaire d’analyse des logiciels malveillants OpenSourceMalware, qui ont été parmi les premiers à signaler le piratage, le logiciel malveillant a permis aux pirates de voler les mots de passe de l’utilisateur et d’autres informations d’identification sensibles lorsqu’ils ont ouvert les outils compromis dans leurs applications de codage d’IA.
On ne sait pas immédiatement combien de personnes ont téléchargé les outils concernés.
Microsoft a confirmé avoir retiré les dépôts, comme l’a rapporté pour la première fois 404 Media. Un porte-parole de Microsoft a accusé réception de notre e-mail, mais n’a pas immédiatement commenté.
Au moins 70 projets appartenant à Microsoft ont été « désactivés », selon un message chargé lors de la tentative d’accès aux pages des projets sur GitHub, un site d’hébergement de code appartenant à Microsoft. « L’accès à ce référentiel a été désactivé par le personnel de GitHub en raison d’une violation des conditions d’utilisation de GitHub. »
Il s’agit du dernier exemple en date de ces derniers mois de pirates informatiques piratant des projets open source très populaires dans le but d’implanter des logiciels malveillants sur un grand nombre d’utilisateurs dont le code est installé sur leurs ordinateurs. Ces piratages sont connus sous le nom d’attaques de « chaîne d’approvisionnement » car ils ciblent du code souvent utilisé dans un grand nombre de produits logiciels, ou par un type spécifique d’utilisateur, qu’il peut être avantageux de pirater car ils ont parfois accès aux systèmes cloud et à de grandes quantités de données clients.
S’il n’est pas rare que des développeurs uniques de projets open source soient ciblés par des pirates informatiques – dans certains cas dans le cadre d’efforts de longue haleine visant à gagner la confiance du développeur – il est rare que de grands géants de la technologie comme Microsoft, qui disposent des ressources nécessaires pour se défendre contre ce type d’attaques, soient victimes d’une intrusion.
Il s’agit de la deuxième violation connue de Microsoft au cours des dernières semaines qui a permis à des pirates informatiques de compromettre ses projets open source, selon Ars Technica. À la mi-mai, des chercheurs en sécurité ont déclaré que le projet open source de Microsoft, Durable Task, un outil qui aide les développeurs à créer des applications, avait été piraté. OpenSourceMalware a déclaré que le dernier incident de Microsoft est un « nouveau compromis » du projet Durable Task, suggérant que Microsoft n’a peut-être pas éradiqué les pirates dès sa première tentative ou une violation entièrement nouvelle et distincte.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
