Rapport D'incident

🎯 Contexte Article publié le 19 mai 2026 par Snyk (blog.snyk.io), rédigé par Liran Tal. Il documente une attaque de supply chain active sur le registre npm, ciblant l’écosystème de visualisation de données @antv (suite originaire d’Alibaba). 🔥 Incident Le 19 mai 2026 entre 01:39 et 02:06 UTC, le groupe TeamPCP (alias : DeadCatx3, PCPcat) a publié 637 versions malveillantes sur 323 packages npm en deux vagues automatisées de 22 minutes. Le vecteur initial est la compromission du compte npm atool, qui maintient 547 packages représentant environ 16 millions de téléchargements hebdomadaires. ...

🔍 Contexte Publié le 18 mai 2026 par la Microsoft Defender Security Research Team, cet article constitue un rapport d’incident détaillé analysant une campagne sophistiquée menée par le groupe Storm-2949. L’attaque a ciblé une organisation non nommée dont l’infrastructure repose massivement sur les services cloud Microsoft (Microsoft 365, Azure). 🎯 Vecteur d’accès initial L’accès initial a été obtenu via ingénierie sociale ciblée combinée à un abus du processus SSPR (Self-Service Password Reset) de Microsoft Entra ID. Le groupe a : ...

🔍 Contexte Cet article est une mise à jour officielle publiée par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sécurité supply chain en cours ayant débuté le 23 mars 2026. L’article compile plusieurs mises à jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026). 🗓️ Chronologie de l’incident 23 mars 2026 : Checkmarx identifie un incident supply chain lié à l’attaque TeamPCP ciblant le scanner Trivy (signalée le 19 mars). Des artefacts malveillants sont publiés sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dépôts GitHub de Checkmarx. 30 mars 2026 : Exfiltration de données depuis les dépôts GitHub de Checkmarx. 22 avril 2026 : Deuxième vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accès persistant ou renouvelé de l’attaquant. 25 avril 2026 : LAPSUS$ publie sur le dark web des données estampillées du 30 mars, issues des dépôts GitHub de Checkmarx. 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace. 🎯 Artefacts compromis Vague 1 (23 mars 2026) : ...

🔍 Contexte Rapport d’incident publié le 11 mai 2026 par The DFIR Report, documentant une intrusion observée en avril 2026 et liée à une campagne précédemment rapportée par Atos en mars 2026. La famille de malware EtherRAT avait été initialement découverte par Sysdig en décembre 2025 ciblant des serveurs Linux via CVE-2025-55182 (React2Shell). 🎯 Vecteur d’accès initial Un utilisateur a exécuté un installeur MSI malveillant (RAMMap.msi) se faisant passer pour l’utilitaire Sysinternals RAMMap. Ce MSI a déployé une variante d’EtherRAT qui : ...

🌐 Contexte Source : Rapid7 Blog, publié le 6 mai 2026. L’article présente une analyse forensique d’une intrusion détectée début 2026, initialement identifiée comme une attaque Chaos ransomware-as-a-service (RaaS), mais réévaluée comme une opération étatique sous faux drapeau. 🎭 Attribution et faux drapeau L’analyse forensique attribue l’activité avec confiance modérée à MuddyWater (Seedworm), un groupe APT iranien affilié au Ministry of Intelligence and Security (MOIS). Les artefacts techniques ayant conduit à cette attribution incluent : ...

🗂️ Contexte Source : The Record (Recorded Future News), publié le 7 mai 2026. L’Agence de Sécurité Intérieure polonaise (ABW) a publié son premier rapport public d’activité depuis 2014, couvrant les menaces cyber et d’espionnage auxquelles la Pologne a fait face en 2024 et 2025. 🎯 Incidents ciblant les infrastructures d’eau Des attaquants ont compromis des stations de traitement d’eau dans cinq communes polonaises : Jabłonna Lacka Szczytno Małdyty Tolkmicko Sierakowo Dans certains cas, les attaquants ont obtenu un accès aux systèmes de contrôle industriel (ICS), leur permettant de modifier les paramètres techniques des équipements, créant un risque direct sur la continuité de l’approvisionnement en eau. Selon CyberDefence24, dans au moins un établissement, des paramètres liés aux pompes et aux alarmes ont été modifiés après compromission d’un compte administrateur. ...

🗂️ Contexte Dragos a publié le 6 mai 2026 un rapport d’intelligence sur une compromission observée entre décembre 2025 et février 2026, ciblant plusieurs organisations gouvernementales mexicaines, dont Servicios de Agua y Drenaje de Monterrey (SADM), la régie municipale des eaux de Monterrey. L’investigation a été initiée par Gambit Security, qui a contacté Dragos pour l’analyse des composantes OT de l’intrusion. 🎯 Nature de l’attaque Un adversaire inconnu a exploité des outils d’IA commerciaux — principalement Anthropic Claude et OpenAI GPT — pour accélérer et automatiser l’ensemble du cycle d’intrusion : ...

🔍 Contexte Publié le 5 mai 2026 sur Securelist (Kaspersky), cet article de threat intelligence documente une attaque de type supply chain visant le logiciel DAEMON Tools, utilisé pour monter des images disque. La compromission a été identifiée début mai 2026 et remonte au 8 avril 2026. 🎯 Nature de l’attaque Les installeurs officiels de DAEMON Tools (versions 12.5.0.2421 à 12.5.0.2434), distribués depuis le site légitime d’AVB Disc Soft et signés numériquement par le développeur, ont été trojanisés. Trois binaires ont été compromis : ...

🗓️ Contexte Publié le 3 mai 2026 sur BleepingComputer par Lawrence Abrams, cet article couvre deux événements liés : un faux positif massif de Microsoft Defender sur des certificats DigiCert légitimes, et la compromission réelle de l’autorité de certification DigiCert ayant conduit à l’émission frauduleuse de certificats EV de signature de code. 🚨 Faux positifs Microsoft Defender Depuis le 30 avril 2026, une mise à jour de signatures Defender (antérieure à la version 1.449.430.0) a commencé à détecter des certificats racine DigiCert légitimes présents dans le Windows trust store comme Trojan:Win32/Cerdigent.A!dha. ...

🔍 Contexte Le 16 avril 2025, l’équipe de recherche de Cybernews a découvert un serveur exposé appartenant à un acteur malveillant opérant le marketplace de cartes bancaires volées Jerry’s Store. L’article, publié le 1er mai 2026, détaille les mécanismes de cette fuite et les opérations du groupe. 💥 Incident Les opérateurs de Jerry’s Store ont utilisé Cursor, un environnement de développement assisté par IA développé par la société américaine Anysphere, pour configurer leur serveur et leurs tableaux de bord administrateurs. L’IA a généré un code défaillant créant un répertoire web ouvert sans authentification, exposant ainsi l’ensemble des données. ...