Attaque Supply Chain

Source: SentinelOne (Flash Report, 25 novembre 2025) — Ce rapport Wayfinder TLP:Green analyse une nouvelle vague de compromission de paquets NPM baptisée « Sha1-Hulud » (démarrée autour du 21 novembre 2025), présentant des capacités accrues par rapport à l’attaque « Shai Hulud » précédente. 🚨 Nature de l’attaque et vecteur Type d’attaque: attaque supply chain NPM avec exécution en phase preinstall (au lieu de postinstall). Composants: téléchargement du runtime légitime Bun (curl/PowerShell) puis exécution de bun_environment.js (JavaScript obfusqué ajouté aux paquets compromis). Packages affectés: plusieurs projets populaires, dont Postman, Zapier, AsyncAPI (liste complète référencée par SentinelOne). 🧠 Exécution, persistance et exfiltration ...

Source: Sky News Australia — L’article relate la publication en ligne par le groupe de hackers Cyber Toufan de documents sensibles liés aux véhicules de combat d’infanterie Redback destinés à l’armée australienne. Selon Sky News Australia, Cyber Toufan (présumé lié à l’État iranien) a publié sur Telegram des rendus 3D classifiés et des détails techniques des véhicules blindés Redback (contrat d’environ 7 milliards de dollars australiens). Le groupe revendique un vol de données auprès de 17 entreprises de défense israéliennes après avoir obtenu un accès à la société de chaîne d’approvisionnement MAYA Technologies il y a plus d’un an. ...

Selon techdigest.tv (10 novembre 2025), le prestataire chinois de cybersécurité Knownsec, lié aux autorités, a subi une fuite de données majeure. Plus de 12 000 documents classifiés publiés d’abord sur GitHub (puis retirés pour violation des conditions d’usage) dévoilent l’infrastructure opérationnelle d’un programme de cyberespionnage étatique, suscitant une vive inquiétude internationale. Les archives révèlent un arsenal technique étendu : RATs multi-OS ciblant Linux, Windows, macOS, iOS et Android, et des outils de surveillance spécialisée. Parmi eux, du code d’attaque Android capable d’extraire de vastes historiques de messages depuis des applications de messagerie populaires pour un espionnage ciblé 🕵️‍♂️. ...

Renault UK a confirmé le vol de certaines données personnelles de ses clients à la suite d’une cyberattaque ayant visé un prestataire externe chargé du traitement des informations[bbc.com]. Les données compromises incluent les noms, adresses, dates de naissance, genre, numéros de téléphone, numéros d’identification et d’immatriculation de véhicule. Aucun mot de passe, ni donnée bancaire, n’a été affecté. Le constructeur précise que le nombre exact de personnes touchées n’est pas communiqué pour des raisons de sécurité, mais que l’incident est circonscrit à l’environnement du prestataire et n’a pas compromis les systèmes internes de Renault. Les personnes concernées seront prévenues directement, et la vigilance face aux sollicitations suspectes est recommandée. ...

Selon CyberArk (billet de blog), l’attaque « Shai-Hulud » a frappé l’écosystème npm en septembre 2024, exploitant des faiblesses d’identité (comptes humains, identités machines, relations de confiance logicielle) pour mener une attaque de chaîne d’approvisionnement ayant compromis 500+ paquets en moins de 24 heures. Le ver 🪱 a été diffusé via des paquets npm trojanisés tels que "@ctrl/tinycolor@4.1.1", livrant une charge utile multi‑étapes. À l’exécution de bundle.js, le malware a collecté des identifiants (fichiers, variables d’environnement, points de terminaison IMDS cloud), s’appuyant notamment sur des outils comme TruffleHog. Les jetons volés (npm, GitHub, cloud) étaient validés, puis les données exfiltrées vers des dépôts GitHub publics et des services de webhooks. ...

Selon Trend Micro, dans un contexte de « Threats and Vulnerabilities », une compromission de l’intégration AI Salesloft‑Drift a permis à l’acteur UNC6395 d’orchestrer une attaque supply chain à grande échelle. — L’attaque a débuté par la compromission du référentiel GitHub de Salesloft, d’où un jeton OAuth associé à leur compte Drift a été dérobé. Les assaillants ont ensuite pivoté vers des instances Salesforce connectées pour procéder à l’exfiltration de données. L’abus des modèles d’accès larges et de l’architecture de confiance des applications d’IA a permis à la campagne de rester indétectée pendant des mois. ...

Selon Arctic Wolf (blog), une campagne sophistiquée de type supply chain cible l’écosystème npm avec un malware auto-propagatif qui vole des identifiants développeur, clés cloud et tokens, puis se répand en empoisonnant d’autres packages. Points clés Type d’attaque : supply chain, malware auto-propagatif (worm), vol d’identifiants. Impact : >180 packages npm compromis ; exfiltration de secrets et réédition de packages trojanisés. Vecteurs : TruffleHog, GitHub Actions, tokens npm compromis, dépôts GitHub publics. Chaîne d’attaque (résumé technique) ...

Selon StepSecurity, un incident de supply chain a compromis le paquet populaire @ctrl/tinycolor (2M+ téléchargements hebdo) ainsi que plus de 40 autres paquets npm, avec retrait des versions malveillantes du registre. Découvert par @franky47, le binaire malveillant bundle.js (~3,6 Mo) s’exécute lors de npm install (probable postinstall détourné) et cible des environnements Linux/macOS. L’attaque s’appuie sur un chargeur Webpack modulaire exécuté de façon asynchrone. Il réalise une reconnaissance du système (plateforme, architecture) et exfiltre l’intégralité de process.env, capturant des variables sensibles (ex. GITHUB_TOKEN, AWS_ACCESS_KEY_ID). Le code adopte une gestion silencieuse des erreurs et n’émet aucun log, tout en camouflant certains comportements (exécution de TruffleHog). ...

Source: Snyk — Billet d’alerte et suivi d’incident décrivant une attaque de la supply chain npm consécutive à la compromission par phishing d’un mainteneur open source (~qix), avec chronologie, IoC et conseils de vérification. — Contexte et fait principal — Un développeur open source très en vue, ~qix, a été victime d’un phishing envoyé depuis l’adresse « support@npmjs.help ». L’attaquant a pris le contrôle de son compte npm, lui permettant de publier des versions malveillantes de paquets populaires auxquels il avait des droits. ...

Selon Wiz Research (billet de recherche), une attaque supply‑chain baptisée « s1ngularity » a compromis des packages Nx sur npm et déployé un malware utilisant des CLIs d’IA pour identifier des fichiers sensibles et exfiltrer des données via des comptes GitHub compromis. • Nature et impact: attaque supply‑chain sur des packages Nx (npm). Le malware, alimenté par des CLIs d’IA (Claude, Gemini, Amazon Q), a entraîné des fuites de milliers de secrets et la publication de dépôts privés, touchant plus de 1 700 victimes. GitHub a procédé à des révocations massives d’identifiants en réponse. ...