Incident supply chain Checkmarx : artefacts compromis, exfiltration de données et publication par LAPSUS$

🔍 Contexte Cet article est une mise Ă  jour officielle publiĂ©e par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sĂ©curitĂ© supply chain en cours ayant dĂ©butĂ© le 23 mars 2026. L’article compile plusieurs mises Ă  jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026). đŸ—“ïž Chronologie de l’incident 23 mars 2026 : Checkmarx identifie un incident supply chain liĂ© Ă  l’attaque TeamPCP ciblant le scanner Trivy (signalĂ©e le 19 mars). Des artefacts malveillants sont publiĂ©s sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dĂ©pĂŽts GitHub de Checkmarx. 30 mars 2026 : Exfiltration de donnĂ©es depuis les dĂ©pĂŽts GitHub de Checkmarx. 22 avril 2026 : DeuxiĂšme vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accĂšs persistant ou renouvelĂ© de l’attaquant. 25 avril 2026 : LAPSUS$ publie sur le dark web des donnĂ©es estampillĂ©es du 30 mars, issues des dĂ©pĂŽts GitHub de Checkmarx. 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace. 🎯 Artefacts compromis Vague 1 (23 mars 2026) : ...

13 mai 2026 Â· 5 min

Lapsus$ publie 7,1 Go de code source Vodafone aprÚs refus de négociation

📰 Source : Cybernews, publiĂ© le 11 mai 2026 (mis Ă  jour le 13 mai 2026). L’article rapporte une fuite de donnĂ©es revendiquĂ©e par le groupe Lapsus$ Ă  l’encontre de Vodafone, l’un des plus grands opĂ©rateurs de tĂ©lĂ©communications mondiaux. 🎯 Nature de l’incident Lapsus$ affirme avoir exfiltrĂ© du code source interne de Vodafone et avoir accordĂ© un dĂ©lai de 15 jours Ă  l’entreprise pour entamer des nĂ©gociations. Face au refus de Vodafone, le groupe a publiĂ© l’intĂ©gralitĂ© du dataset sur son site de fuite avec le message : « Time expired. Vodafone refused to pay. Data is now public. » ...

13 mai 2026 Â· 3 min

Patch Tuesday mai 2026 : 118 CVE Microsoft dont 3 critiques, volumes records chez Apple, Google, Mozilla et Oracle

📅 Contexte Article publiĂ© le 12 mai 2026 sur Krebs on Security, couvrant le Patch Tuesday de mai 2026. Il s’agit d’un tour d’horizon mensuel des correctifs de sĂ©curitĂ© publiĂ©s par les principaux Ă©diteurs logiciels. đŸȘŸ Microsoft – 118 vulnĂ©rabilitĂ©s corrigĂ©es Microsoft publie des correctifs pour 118 vulnĂ©rabilitĂ©s dans ses systĂšmes Windows et autres produits. C’est le premier Patch Tuesday depuis prĂšs de deux ans sans zero-day activement exploitĂ© ni vulnĂ©rabilitĂ© prĂ©alablement divulguĂ©e publiquement. ...

13 mai 2026 Â· 3 min

Post-mortem : compromission de la chaĂźne d'approvisionnement npm de TanStack (mai 2026)

🔍 Contexte Le 11 mai 2026, TanStack a publiĂ© un post-mortem dĂ©taillĂ© d’une compromission de chaĂźne d’approvisionnement npm survenue entre 19:20 et 19:26 UTC. L’incident a affectĂ© 42 packages @tanstack/* avec 84 versions malveillantes publiĂ©es via un enchaĂźnement de trois vulnĂ©rabilitĂ©s dans le pipeline GitHub Actions. ⚙ Vecteur d’attaque — Trois vulnĂ©rabilitĂ©s chaĂźnĂ©es 1. Pattern « Pwn Request » via pull_request_target Le workflow bundle-size.yml utilisait le dĂ©clencheur pull_request_target et effectuait un checkout du code de la PR fork, permettant l’exĂ©cution de code non approuvĂ© dans le contexte du dĂ©pĂŽt de base. ...

13 mai 2026 Â· 4 min

Réduction du rayon d'impact des agents IA : 7 patterns tactiques contre l'injection de prompt indirecte

🧭 Contexte PubliĂ© le 12 mai 2026 par Ross McKerchar (CSO de Sophos), cet article de recherche traite des risques de sĂ©curitĂ© liĂ©s au dĂ©ploiement d’agents IA en entreprise, en particulier face Ă  la menace d’injection de prompt indirecte (indirect prompt injection). L’article s’appuie sur des travaux de recherche rĂ©cents, notamment une Ă©tude Google d’avril 2026 sur le dĂ©pĂŽt Common Crawl. ⚠ La menace : la « trifecta lĂ©tale » Les agents IA opĂšrent souvent au centre de ce que Simon Wilson nomme la « lethal trifecta » : ils accĂšdent Ă  des donnĂ©es privĂ©es, traitent du contenu non fiable, et communiquent vers l’extĂ©rieur. Cette combinaison les rend vulnĂ©rables Ă  l’injection de prompt indirecte, oĂč un attaquant plante des instructions dans du contenu lu par l’agent (email, page web, document), qui les exĂ©cute avec les privilĂšges de l’utilisateur lĂ©gitime. ...

13 mai 2026 Â· 3 min

REF6598 : Obsidian détourné pour déployer le RAT PHANTOMPULSE via ingénierie sociale

🔍 Contexte PubliĂ© le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article dĂ©taille la campagne REF6598, une opĂ©ration d’ingĂ©nierie sociale sophistiquĂ©e ciblant des individus dans les secteurs financier et des cryptomonnaies. 🎯 Vecteur d’accĂšs initial Les attaquants se font passer pour une sociĂ©tĂ© de capital-risque et contactent leurs cibles via LinkedIn, puis migrent la conversation vers Telegram. Ils invitent la victime Ă  utiliser Obsidian comme base de donnĂ©es partagĂ©e, en lui fournissant des identifiants pour se connecter Ă  un vault cloud contrĂŽlĂ© par l’attaquant. ...

13 mai 2026 Â· 4 min

Shai-Hulud : le framework offensif de TeamPCP publié en open source sur GitHub

🔍 Contexte Le 13 mai 2026, Datadog Security Labs publie une analyse statique approfondie du code source du framework offensif Shai-Hulud, attribuĂ© au groupe TeamPCP. Ce code a briĂšvement Ă©tĂ© disponible sur GitHub avant d’ĂȘtre retirĂ© par la plateforme, mais plusieurs forks ont permis Ă  Datadog d’en obtenir une copie complĂšte. 🎯 Attribution et contexte de la campagne Tout au long du dĂ©but 2026, TeamPCP a menĂ© une sĂ©rie d’attaques supply chain escaladantes sur les Ă©cosystĂšmes npm et PyPI : hijacking de tags Trivy/Checkmarx KICS, empoisonnement de LiteLLM sur PyPI, compromission des packages TanStack et UiPath sur npm. Le dĂ©pĂŽt publiĂ© contient le message “Love - TeamPCP” et “Change keys and C as needed”, avec tous les commits datĂ©s au 2099-01-01 et signĂ©s TeamPCP_OSS <TeamPCP>. ...

13 mai 2026 Â· 6 min

Skoda alerte ses clients aprÚs une violation de données sur sa boutique en ligne

🛒 Violation de donnĂ©es chez Skoda Auto Source : Cybernews — Date de publication : 13 mai 2026 Lors d’un exercice de surveillance technique de sĂ©curitĂ©, Skoda a dĂ©couvert que plusieurs individus non autorisĂ©s avaient exploitĂ© une vulnĂ©rabilitĂ© dans le logiciel de sa boutique en ligne. Ces attaquants ont obtenu un accĂšs temporaire Ă  la boutique et aux donnĂ©es qui y Ă©taient stockĂ©es. 📋 DonnĂ©es exposĂ©es Les informations personnelles potentiellement compromises incluent : ...

13 mai 2026 Â· 2 min

Un chercheur publie une 3e vague de zero-days Windows : bypass BitLocker et élévation de privilÚges

đŸ—“ïž Contexte PubliĂ© le 13 mai 2026 par Cybernews, cet article rapporte la troisiĂšme vague de divulgations publiques de zero-days Windows par un chercheur en sĂ©curitĂ© anonyme, opĂ©rant sous les alias “Chaotic Eclipse” et “Nightmare Eclipse”. Ces publications sont systĂ©matiquement effectuĂ©es juste aprĂšs le Patch Tuesday de Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass de BitLocker Le premier exploit, nommĂ© “Yellow Key”, permet de contourner entiĂšrement le chiffrement BitLocker sur les systĂšmes affectĂ©s. Le vecteur d’attaque nĂ©cessite : ...

13 mai 2026 Â· 3 min

Campagne Mini Shai-Hulud : TanStack, UiPath, Mistral AI et d'autres packages npm/PyPI compromis

đŸ—“ïž Contexte Le 11 mai 2026, Wiz publie une analyse technique dĂ©taillant une attaque coordonnĂ©e de supply chain menĂ©e par le groupe TeamPCP contre les Ă©cosystĂšmes npm et PyPI. Cette campagne, dĂ©signĂ©e Mini Shai-Hulud, reprĂ©sente une Ă©volution des opĂ©rations prĂ©cĂ©dentes du mĂȘme acteur (SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy). 🎯 Packages compromis Les namespaces et packages impactĂ©s incluent : @tanstack : dont @tanstack/react-router (~12 millions de tĂ©lĂ©chargements hebdomadaires) @uipath : outils d’automatisation enterprise (apollo-core, CLI, agent SDKs) @mistralai/mistralai : client TypeScript officiel de Mistral AI guardrails-ai (PyPI) : package Python de guardrails LLM mistralai (PyPI) Plusieurs dizaines d’autres packages npm (voir liste complĂšte) 🔓 Vecteur d’infection TanStack (chaĂźne de 3 vulnĂ©rabilitĂ©s GitHub Actions) L’attaquant crĂ©e un fork renommĂ© du dĂ©pĂŽt TanStack/router (zblgg/configuration) pour Ă©chapper aux recherches de forks Ouverture d’une pull request dĂ©clenchant un workflow pull_request_target qui exĂ©cute le code du fork et empoisonne le cache GitHub Actions (pnpm store) Lors de la fusion de PRs lĂ©gitimes, le workflow de release restaure le cache empoisonnĂ© ; des binaires contrĂŽlĂ©s par l’attaquant extraient des tokens OIDC directement depuis la mĂ©moire du runner (/proc/<pid>/mem) Publication de versions malveillantes sans vol de credentials npm 🐛 Vecteurs d’infection dans les packages @tanstack : entrĂ©e optionalDependencies pointant vers un commit orphelin + fichier obfusquĂ© router_init.js (~2,3 Mo) dans le tarball @uipath : script preinstall (node setup.mjs) tĂ©lĂ©chargeant le runtime Bun pour exĂ©cuter le payload — mĂȘme mĂ©canisme que le compromis SAP prĂ©cĂ©dent PyPI : 13 lignes de code tĂ©lĂ©chargeant et exĂ©cutant git-tanstack[.]com/tmp/transformers.pyz 💀 Comportement du payload Le payload est un credential stealer auto-propagant (worm) ciblant : ...

12 mai 2026 Â· 5 min
Derniùre mise à jour le: 11 juillet 2026 📝