CI/CD

🎯 Contexte Le 1er juin 2026, l’équipe de recherche de Socket a publié une analyse technique détaillée d’une campagne de compromission de la chaîne d’approvisionnement logicielle ciblant le namespace npm officiel @redhat-cloud-services. L’article est classé comme une publication de recherche avec analyse technique approfondie. 🦠 Nature de l’attaque La campagne, qualifiée de « mini Shai-Hulud », reprend les tactiques fondamentales du framework d’attaque Shai-Hulud rendu open source par le groupe TeamPCP (promu via un concours BreachForums). L’attribution reste incertaine en raison de la disponibilité publique des outils. Au total, 95 versions de packages ont été publiées le 1er juin 2026 entre 10h54 et 14h25 UTC, détectées par Socket entre 11h00 et 15h21 UTC. ...

🗓️ Contexte Article publié le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les découvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommée Megalodon. 🎯 Description de l’attaque En l’espace de six heures, des acteurs malveillants ont poussé des milliers de commits vers des dépôts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodés en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions. ...

🔍 Contexte Publié le 22 mai 2026 par Kazuki Fujisawa (Trend Micro), cet article documente l’évolution technique du malware InvisibleFerret utilisé par Void Dokkaebi (alias Famous Chollima), un groupe d’intrusion aligné avec la Corée du Nord. 🎯 Acteur et cibles Void Dokkaebi cible systématiquement les développeurs de logiciels détenant des credentials de wallets cryptomonnaies, des clés de signature, et des accès aux pipelines CI/CD et infrastructures de production. Le vecteur initial historique repose sur de fausses offres d’emploi dans des entreprises crypto et IA, incitant les développeurs à cloner et exécuter des dépôts de code. ...

🎯 Contexte Source : Tenable Research Special Operations (RSO), publiée le 21 mai 2026. L’article présente une FAQ détaillée sur la campagne Mini Shai-Hulud, quatrième génération d’un ver auto-propagant opéré par le groupe TeamPCP, actif depuis septembre 2025 dans les écosystèmes npm et PyPI. 🐛 Évolution du ver Shai-Hulud Quatre générations ont été identifiées : Shai-Hulud (septembre 2025) : premier malware auto-réplicant observé dans npm, vol de tokens mainteneur SHA1-Hulud (novembre 2025) : fonctionnalité wiper et collecte de credentials améliorée SANDWORM_MODE (mars 2026) : ciblage adaptatif avec énumération des pipelines CI/CD Mini Shai-Hulud (avril 2026) : variante la plus destructrice, active au moment de la publication ⚙️ Capacités techniques de Mini Shai-Hulud Contournement des attestations SLSA Build Level 3 via Sigstore (première mondiale) Extraction de tokens OIDC depuis la mémoire du processus GitHub Actions runner Hooks de persistance ciblant les agents de codage IA et les IDEs développeurs Propagation cross-écosystème (npm et PyPI) Triple exfiltration redondante : serveur C2 dédié, réseau Session (décentralisé), dead drops via GitHub API 🔗 Trois chaînes d’attaque Vol de token + publication automatisée massive : hook preinstall téléchargeant le runtime Bun pour exécuter un payload obfusqué Hijack OIDC avec contournement de provenance (utilisé dans la vague TanStack) : extraction de token OIDC depuis la mémoire du runner, publication via le pipeline légitime avec attestation cryptographique valide Injection PyPI : dropper injecté dans le fichier d’initialisation du package, téléchargeant un payload depuis une infrastructure contrôlée par l’attaquant 🏛️ CVE associée CVE-2026-45321 (CVSSv3 : 9.6, VPR : 9.2) : injection de code malveillant dans 42 packages @tanstack via trois failles chaînées dans la configuration GitHub Actions de TanStack. L’attaquant a créé un fork sous un compte renommé, ouvert une PR déclenchant un workflow pull_request_target, empoisonné le cache GitHub Actions, puis extrait des tokens OIDC pour publier 84 versions malveillantes en moins de six minutes avec des attestations SLSA valides. ...

🗓️ Contexte Source : BleepingComputer, publié le 14 mai 2026. L’article rapporte une tentative d’extorsion par le groupe cybercriminel TeamPCP à l’encontre de Mistral AI, société française spécialisée dans les grands modèles de langage (LLM). 🎯 Incident L’attaque s’inscrit dans le cadre de l’opération Mini Shai-Hulud, une attaque de la chaîne d’approvisionnement logicielle qui a débuté par la compromission de packages officiels de TanStack et Mistral AI via des identifiants CI/CD volés et des workflows légitimes détournés. ...

📅 Source : SentinelOne Blog — publié le 13 mai 2026. Ce rapport s’appuie sur la télémétrie de plus de 11 000 environnements clients anonymisés et analyse l’évolution du paysage de risques lié aux secrets cloud et à l’intégration de l’IA en entreprise. 🔑 Explosion des credentials AI : Les secrets liés à l’IA (clés API OpenAI, Azure OpenAI, etc.) ont augmenté d’environ 140 % en un an. Ce phénomène est directement corrélé à l’intégration massive des technologies IA dans les systèmes de support client, outils internes, plateformes financières et expériences produit. Environ 88 % des organisations utilisent désormais l’IA dans au moins une fonction métier. ...

🗓️ Contexte Publié le 30 avril 2026 par Dan Goodin sur Ars Technica, cet article couvre la divulgation publique d’une vulnérabilité critique dans le noyau Linux, réalisée par la société de sécurité Theori, cinq semaines après sa notification privée à l’équipe de sécurité du noyau Linux. 🔍 Vulnérabilité : CopyFail (CVE-2026-31431) CopyFail est une élévation de privilèges locale (LPE) affectant le sous-système crypto du noyau Linux, plus précisément le template AEAD authencesn utilisé pour les numéros de séquence étendus IPsec. La faille est un défaut logique en ligne droite : le processus ne copie pas correctement les données, utilise le buffer de destination de l’appelant comme zone de travail temporaire, et écrit 4 octets au-delà de la région de sortie légitime sans les restaurer. ...

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...

🔍 Contexte Publié sur GitHub par BoostSecurity Labs, SmokedMeat est un framework red team post-exploitation ciblant les pipelines CI/CD. Il est présenté comme l’équivalent de Metasploit pour les environnements d’intégration et de déploiement continus. 🛠️ Description technique SmokedMeat est composé de trois composants principaux : Counter : interface TUI opérateur (terminal) Kitchen : serveur C2 (teamserver) gérant les sessions, stagers, callbacks et graphe d’attaque Brisket : implant déployé sur les runners CI compromis, assurant le beaconing, l’exécution de commandes et le pivoting Le framework intègre également un scanner SAST de pipelines (poutine, embarqué) et un scanner de secrets (gitleaks, embarqué). ...