Microsoft a récemment détecté une compromission de sécurité affectant 73 de ses projets open-source sur GitHub, entraînant l’injection d’un logiciel malveillant de type « information stealer » dans le code. En réponse, l’entreprise a temporairement désactivé certains de ses dépôts GitHub pour enquêter sur le contenu potentiellement malveillant. Certains dépôts ont été restaurés après examen, tandis que d’autres restent hors ligne pendant que l’enquête se poursuit. (thehackernews.com)
Cette attaque a ciblé plusieurs projets de Microsoft, notamment Azure, Gemini, Cursor et VS Code. Les utilisateurs de ces outils ont été invités à mettre à jour leurs installations pour se protéger contre les risques potentiels associés à cette compromission.
Microsoft a également informé un nombre restreint de clients susceptibles d’avoir téléchargé du contenu à partir des dépôts affectés. L’entreprise a assuré qu’aucune donnée client n’avait été exposée et que les autres services internes n’avaient pas été mis en danger par cet incident. (thehackernews.com)
L’enquête est en cours pour déterminer l’étendue complète de la compromission et pour mettre en place des mes de sécurité renforcées afin de prévenir de futures attaques similaires.
