Attaque Chaîne D'approvisionnement

Selon l’article, une campagne active nommée « PhantomRaven » cible les développeurs via des paquets npm malveillants afin de voler des informations sensibles. — Points clés — Type d’attaque : Compromission de la chaîne d’approvisionnement logicielle via des paquets npm malveillants. Cibles : Développeurs et environnements de développement/CI. Impact : Vol de tokens d’authentification, secrets CI/CD et identifiants GitHub. Ampleur : Des dizaines de paquets concernés. — Détails — La campagne « PhantomRaven » s’appuie sur la publication de multiples modules npm piégés. Après installation par des développeurs, ces paquets exécutent du code visant à collecter des secrets d’accès, incluant des tokens d’authentification, des secrets d’intégration continue/livraison continue (CI/CD) et des identifiants GitHub. ...

Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommée « s1ngularity » a compromis la plateforme de build Nx à partir du 26 août 2025, ciblant les versions 20.9.0 à 21.8.0. L’objectif principal : le vol d’identifiants et de secrets de développeurs, touchant majoritairement des utilisateurs macOS. L’attaque a exfiltré des tokens GitHub, clés d’authentification npm et clés privées SSH. Elle a également visé des clés API d’outils d’IA (dont Gemini, Claude et Q), marquant un intérêt pour les plateformes d’IA émergentes. Un payload destructeur modifiait les fichiers de démarrage du terminal, provoquant le plantage des sessions. 🔐 ...

Selon le Threat Research Team de Socket, onze packages Go malveillants (dont dix encore en ligne) — dont huit sont des typosquats — recourent à une routine d’obfuscation par index identique et déploient un second étage depuis des C2 en .icu et .tech, avec un impact potentiel sur les développeurs et systèmes CI qui les importent. • Découverte et mécanisme: le code exécute silencieusement un shell, récupère un payload de second étage depuis un ensemble interchangeable d’endpoints C2 et l’exécute en mémoire. La plupart des C2 partagent le chemin « /storage/de373d0df/a31546bf ». Six des dix URLs restent accessibles, offrant à l’attaquant un accès à la demande aux environnements affectés. Les binaires ELF/PE observés effectuent un inventaire hôte, lisent des données de navigateurs et beaconnent vers l’extérieur, souvent après un délai initial d’une heure pour évasion de sandbox. ...