La cyberattaque Miasma franchit un cap terrifiant en utilisant l’IA contre elle-même
La campagne cybercriminelle Miasma, qui a déjà compromis de nombreux dépôts de développeurs en mai et juin, continue d’évoluer. Une récente analyse de la société de sécurité Socket révèle une escalade technique où les attaquants exploitent les mécanismes de sécurité des intelligences artificielles pour se soustraire à la détection.
Depuis plusieurs semaines, cette supply chain attack ciblant les développeurs via des packages npm corrompus et des dépôts GitHub compromis suscite de vives inquiétudes au sein de la communauté cyber. Au total, 471 artefacts compromis ont été identifiés, répartis entre les registres JavaScript (npm) et Python (PyPI). Ce volume témoigne d’une opération de plus en plus structurée, ressemblant à une véritable infrastructure criminelle en développement actif.
Le 8 juin 2026, les chercheurs de Socket ont documenté une troisième vague d’attaques, élargissant le périmètre et introduisant des techniques d’évasion inédites. Parmi celles-ci, on trouve des hooks de démarrage Python et des extensions natives compilées, rendant l’analyse quasi impossible à l’œil nu. Cependant, l’élément le plus préoccupant de cette nouvelle vague réside dans l’utilisation astucieuse de fichiers malveillants.
Le piège repose sur un angle mort : les outils de sécurité automatisés, qui s’appuient sur des modèles de langage pour analyser des fichiers suspects, sont entraînés à rejeter tout contenu perçu comme dangereux. Les attaquants ont retourné ce réflexe contre eux en intégrant des blocs de commentaires dans les fichiers malveillants, contenant des références à des sujets sensibles tels que des armes biologiques et nucléaires. Cela conduit les scanners à ignorer le véritable malware dissimulé derrière.
Pour John Scott-Railton, chercheur senior au Citizen Lab de l’Université de Toronto, cette technique met en lumière une faiblesse structurelle dans la sécurisation des modèles de langage. Il souligne que la sur-indexation sur l’alignement de sécurité de premier ordre peut créer des angles morts que les attaquants sont susceptibles d’exploiter.
Face à l’évolution de la campagne Miasma, de nombreuses entreprises de cybersécurité maintiennent des listes actualisées de packages compromis. Les utilisateurs ayant installé un de ces packages entre début et mi-juin 2026 sont encouragés à procéder à une rotation complète de leurs secrets, y compris les tokens GitHub et les clés cloud. Des inspections des environnements Python sont également recommandées pour détecter des artefacts suspects.
Source : Socket
