Chaîne D’approvisionnement

Selon Socket (équipe de recherche sur les menaces), un acteur nommé “nhattuanbl” a publié sur Packagist des packages Laravel malveillants qui installent un RAT PHP chiffré via les dépendances Composer, permettant un accès à distance et un canal C2. Packages concernés: nhattuanbl/lara-helper et nhattuanbl/simple-queue embarquent la charge utile dans src/helper.php (identiques byte‑à‑byte). nhattuanbl/lara-swagger est propre mais dépend de lara-helper, entraînant l’installation silencieuse du RAT. Activation: dans lara-helper, inclusion via un service provider Laravel (auto-discovery) à chaque boot; dans simple-queue, inclusion au chargement de la classe (autoload), déclenchée même par class_exists(). Obfuscation: contrôle par goto en spaghetti, chaînes en hex/octal, identifiants aléatoires. Auto‑persistance: au premier include, le script se relance en arrière-plan (CLI arg helper) et utilise un lock file temp (wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock, expiration 15 min). 🕸️ C2 et capacités ...

Selon kmsec-uk, un suivi continu des dépôts npm a détecté entre le 25 et le 26 février 2026 dix-sept nouveaux paquets malveillants embarquant un chargeur inédit recourant à Pastebin et à une stéganographie textuelle, une évolution attribuée aux tests rapides de FAMOUS CHOLLIMA (DPRK). L’attaque s’appuie sur un script d’installation npm (node ./scripts/test/install.js) qui sert de leurre et exécute un JavaScript malveillant unique placé sous vendor/scrypt-js/version.js. Ce composant contacte trois pastes Pastebin en séquence, dont le premier valide interrompt la boucle. Le contenu des pastes, en apparence bénin mais truffé de fautes subtiles, est décodé via une stéganographie textuelle sur mesure pour produire une liste d’hôtes C2 sur Vercel. ...

Source : Socket (Threat Research Team). Les chercheurs décrivent une campagne active de ver supply chain npm dite « Shai‑Hulud‑like », nommée SANDWORM_MODE, diffusée via au moins 19 packages malveillants et deux alias npm, qui vole des identifiants développeur/CI, se propage automatiquement et cible les outils IA des développeurs. — Vue d’ensemble Type d’attaque : ver de chaîne d’approvisionnement npm avec typosquatting et empoisonnement GitHub Actions/AI toolchains. Capacités clés : exfiltration via HTTPS (Cloudflare Worker) avec repli DNS, uploads GitHub API, persistance via hooks Git (init.templateDir), propagation via tokens npm/GitHub et SSH en repli, injection MCP visant Claude/Cursor/Continue/Windsurf, récolte de clés d’API LLM (OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral, Cohere) et dead switch (effacement du home) désactivé par défaut. — Chaîne d’exécution et exfiltration ...

Source: ANSSI (TLP:CLEAR), synthèse publiée le 4 février 2026. Contexte: état des lieux de la menace en 2025 sur l’usage dual des IA génératives et les risques pesant sur les systèmes d’IA. 🔎 Constat général L’ANSSI n’a pas connaissance à ce jour de cyberattaques menées contre des acteurs français à l’aide de l’IA, ni de systèmes capables d’automatiser entièrement une attaque. Toutefois, l’IA générative sert déjà de facilitateur (accélération, volume, diversité, efficacité), surtout sur des environnements peu sécurisés. 🧰 Usages observés de l’IA par les attaquants le long de la chaîne d’attaque ...

Selon Health-ISAC, ce rapport s’appuie sur des données issues de plusieurs initiatives pour illustrer les impacts ressentis par la communauté face aux principales menaces touchant le secteur de la santé en 2025. Le document agrège des informations de la base Health-ISAC Ransomware Events Database, des évaluations de Physical Security et de l’initiative Targeted Alerts, qui a diffusé plus de 1 200 avertissements au secteur en 2025. Il met en avant des enseignements fondés sur les données et sur le partage d’indicateurs via le programme Indicator Sharing. 🏥📊 ...

Selon Cybernews, un cartel de ransomware nommé RansomHub affirme avoir compromis Luxshare, partenaire majeur d’Apple pour l’assemblage d’iPhone, d’AirPods, d’Apple Watch et de Vision Pro, et menace de publier des données sensibles liées à Apple, Nvidia et LG si une rançon n’est pas versée. Les assaillants ont annoncé la prétendue violation sur un forum du dark web, indiquant que les données des partenaires de Luxshare auraient été chiffrées le 15 décembre 2025. Ils exhortent l’entreprise à les contacter pour éviter la fuite de « documents confidentiels et projets ». ...

Source: EmEditor (emeditor.com) — Le 22 décembre 2025, Yutaka Emura annonce qu’un tiers a potentiellement modifié la redirection du bouton « Download Now » sur le site officiel, pouvant délivrer un installeur non légitime entre le 19 déc. 2025 18:39 et le 22 déc. 2025 12:50 (heure du Pacifique). L’URL de téléchargement légitime via redirection (https://support.emeditor.com/en/downloads/latest/installer/64) a été altérée pour pointer vers https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi. Le fichier servi n’a pas été créé par Emurasoft, Inc. et a été retiré. Le MSI potentiellement frauduleux porte une signature numérique « WALSHAM INVESTMENTS LIMITED ». Le problème pourrait toucher aussi des pages d’autres langues (dont le japonais). ...

ReversingLabs publie une enquête sur une campagne active depuis février 2025 révélant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dépendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dépendances pré-packagées dans le dossier node_modules dont le contenu a été altéré par l’attaquant. La dépendance populaire path-is-absolute a été modifiée localement (sans impact sur le package npm officiel) pour ajouter du code déclenché au démarrage de VS Code, chargé de décoder un dropper JavaScript stocké dans un fichier nommé ’lock’ (obfuscation par base64 puis inversion de la chaîne). ...

Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages. ...

Source: Nextron Systems (blog, 28 nov. 2025). L’éditeur décrit son pipeline de scan d’artefacts à grande échelle (Docker Hub, PyPI, NPM, extensions Chrome/VS Code) basé sur THOR Thunderstorm pour détecter scripts obfusqués, charges encodées et implants. Découverte clé ⚠️: une extension VS Code malveillante baptisée “Icon Theme: Material” publiée par “IconKiefApp” (slug Marketplace: Iconkieftwo.icon-theme-materiall) mime l’extension légitime de Philipp Kief. La version 5.29.1 publiée le 28/11/2025 à 11:34 contient deux implants Rust (un PE Windows et un Mach-O macOS) situés dans icon-theme-materiall.5.29.1/extension/dist/extension/desktop/. Plus de 16 000 installations ont été observées. La 5.29.0 ne contenait pas ces implants. L’extension a été signalée à Microsoft et était encore en ligne le 28/11 à 14:00 CET. ...