Des paquets open source de Microsoft ont été infiltrés par un code malveillant. Ce dernier active le vol d’identifiants lorsque les développeurs les ouvrent dans des agents de codage IA.
La semaine dernière, une série de paquets open source vérifiés cryptographiquement, fournis par Microsoft, a été compromise pour y intégrer un code avancé de vol d’identifiants. Selon plusieurs chercheurs, 73 paquets ont été signalés comme malveillants lorsque les systèmes automatisés de GitHub les ont bloqués sur la plateforme. Ce n’est qu’après que GitHub a désactivé ces paquets, en déclarant qu’ils enfreignaient les conditions d’utilisation de la plateforme, sans préciser immédiatement qu’ils étaient malveillants. Au lieu d’informer les développeurs que leurs systèmes pourraient être compromis, GitHub a simplement encouragé les propriétaires des paquets à les contacter. Lundi, Microsoft a enfin reconnu la possibilité d’une infection des paquets, déclarant dans un e-mail qu’ils avaient temporairement retiré certains dépôts pour enquêter sur un contenu potentiellement malveillant. Cette situation soulève des inquiétudes majeures sur la sécurité des outils de développement basés sur l’IA, car les développeurs utilisant ces paquets doivent désormais assumer que leurs systèmes pourraient être compromis. Les conséquences de telles violations de sécurité peuvent être graves, affectant non seulement les développeurs individuels, mais aussi les entreprises qui dépendent de ces outils pour le développement de leurs produits. Les utilisateurs sont donc fortement encouragés à évaluer les risques avant d’utiliser ces paquets, en prenant des mesures de sécurité appropriées.