Posts

🔍 Contexte Le 11 mai 2026, TanStack a publié un post-mortem détaillé d’une compromission de chaîne d’approvisionnement npm survenue entre 19:20 et 19:26 UTC. L’incident a affecté 42 packages @tanstack/* avec 84 versions malveillantes publiées via un enchaînement de trois vulnérabilités dans le pipeline GitHub Actions. ⚙️ Vecteur d’attaque — Trois vulnérabilités chaînées 1. Pattern « Pwn Request » via pull_request_target Le workflow bundle-size.yml utilisait le déclencheur pull_request_target et effectuait un checkout du code de la PR fork, permettant l’exécution de code non approuvé dans le contexte du dépôt de base. ...

🧭 Contexte Publié le 12 mai 2026 par Ross McKerchar (CSO de Sophos), cet article de recherche traite des risques de sécurité liés au déploiement d’agents IA en entreprise, en particulier face à la menace d’injection de prompt indirecte (indirect prompt injection). L’article s’appuie sur des travaux de recherche récents, notamment une étude Google d’avril 2026 sur le dépôt Common Crawl. ⚠️ La menace : la « trifecta létale » Les agents IA opèrent souvent au centre de ce que Simon Wilson nomme la « lethal trifecta » : ils accèdent à des données privées, traitent du contenu non fiable, et communiquent vers l’extérieur. Cette combinaison les rend vulnérables à l’injection de prompt indirecte, où un attaquant plante des instructions dans du contenu lu par l’agent (email, page web, document), qui les exécute avec les privilèges de l’utilisateur légitime. ...

🔍 Contexte Publié le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article détaille la campagne REF6598, une opération d’ingénierie sociale sophistiquée ciblant des individus dans les secteurs financier et des cryptomonnaies. 🎯 Vecteur d’accès initial Les attaquants se font passer pour une société de capital-risque et contactent leurs cibles via LinkedIn, puis migrent la conversation vers Telegram. Ils invitent la victime à utiliser Obsidian comme base de données partagée, en lui fournissant des identifiants pour se connecter à un vault cloud contrôlé par l’attaquant. ...

🔍 Contexte Le 13 mai 2026, Datadog Security Labs publie une analyse statique approfondie du code source du framework offensif Shai-Hulud, attribué au groupe TeamPCP. Ce code a brièvement été disponible sur GitHub avant d’être retiré par la plateforme, mais plusieurs forks ont permis à Datadog d’en obtenir une copie complète. 🎯 Attribution et contexte de la campagne Tout au long du début 2026, TeamPCP a mené une série d’attaques supply chain escaladantes sur les écosystèmes npm et PyPI : hijacking de tags Trivy/Checkmarx KICS, empoisonnement de LiteLLM sur PyPI, compromission des packages TanStack et UiPath sur npm. Le dépôt publié contient le message “Love - TeamPCP” et “Change keys and C as needed”, avec tous les commits datés au 2099-01-01 et signés TeamPCP_OSS <TeamPCP>. ...

🛒 Violation de données chez Skoda Auto Source : Cybernews — Date de publication : 13 mai 2026 Lors d’un exercice de surveillance technique de sécurité, Skoda a découvert que plusieurs individus non autorisés avaient exploité une vulnérabilité dans le logiciel de sa boutique en ligne. Ces attaquants ont obtenu un accès temporaire à la boutique et aux données qui y étaient stockées. 📋 Données exposées Les informations personnelles potentiellement compromises incluent : ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur en sécurité anonyme, opérant sous les alias “Chaotic Eclipse” et “Nightmare Eclipse”. Ces publications sont systématiquement effectuées juste après le Patch Tuesday de Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass de BitLocker Le premier exploit, nommé “Yellow Key”, permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque nécessite : ...

🗓️ Contexte Le 11 mai 2026, Wiz publie une analyse technique détaillant une attaque coordonnée de supply chain menée par le groupe TeamPCP contre les écosystèmes npm et PyPI. Cette campagne, désignée Mini Shai-Hulud, représente une évolution des opérations précédentes du même acteur (SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy). 🎯 Packages compromis Les namespaces et packages impactés incluent : @tanstack : dont @tanstack/react-router (~12 millions de téléchargements hebdomadaires) @uipath : outils d’automatisation enterprise (apollo-core, CLI, agent SDKs) @mistralai/mistralai : client TypeScript officiel de Mistral AI guardrails-ai (PyPI) : package Python de guardrails LLM mistralai (PyPI) Plusieurs dizaines d’autres packages npm (voir liste complète) 🔓 Vecteur d’infection TanStack (chaîne de 3 vulnérabilités GitHub Actions) L’attaquant crée un fork renommé du dépôt TanStack/router (zblgg/configuration) pour échapper aux recherches de forks Ouverture d’une pull request déclenchant un workflow pull_request_target qui exécute le code du fork et empoisonne le cache GitHub Actions (pnpm store) Lors de la fusion de PRs légitimes, le workflow de release restaure le cache empoisonné ; des binaires contrôlés par l’attaquant extraient des tokens OIDC directement depuis la mémoire du runner (/proc/<pid>/mem) Publication de versions malveillantes sans vol de credentials npm 🐛 Vecteurs d’infection dans les packages @tanstack : entrée optionalDependencies pointant vers un commit orphelin + fichier obfusqué router_init.js (~2,3 Mo) dans le tarball @uipath : script preinstall (node setup.mjs) téléchargeant le runtime Bun pour exécuter le payload — même mécanisme que le compromis SAP précédent PyPI : 13 lignes de code téléchargeant et exécutant git-tanstack[.]com/tmp/transformers.pyz 💀 Comportement du payload Le payload est un credential stealer auto-propagant (worm) ciblant : ...

🔍 Contexte Publié le 11 mai 2026 par TrendAI Research (Trend Micro), cet article présente deux campagnes de cyberattaques émergentes exploitant des agents IA agentiques pour automatiser des opérations d’intrusion de bout en bout contre des cibles gouvernementales et financières en Amérique latine. 🎯 Campagne SHADOW-AETHER-040 Active depuis fin 2025, cette campagne a ciblé principalement des entités gouvernementales mexicaines (6 compromises entre le 27 décembre 2025 et le 4 janvier 2026), ainsi que des organisations des secteurs financier, aérien et retail en Amérique latine. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-03 → 2026-05-10. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 3.91% VLAI: High (confidence: 0.9682) CISA: KEV ProduitLinux — Linux Publié2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

📈 250 revendications cette semaine (+76, +43.7% par rapport à S18) Période : 04.05.2026 au 10.05.2026 Analyse Ransomware — Semaine 19 (04 au 10 mai 2026) Introduction La semaine 19 enregistre 250 revendications d’attaques par rançongiciel, soit une hausse de 76 cas supplémentaires (+43,7 %) par rapport à la semaine précédente (174 revendications). Il s’agit d’une augmentation notable en volume absolu, portant le total hebdomadaire à un niveau significativement au-dessus de la semaine S18. ...