Code Signing

🔍 Contexte Source : Help Net Security, publié le 4 mai 2026. DigiCert est une autorité de certification (CA) mondiale spécialisée dans les services de confiance numérique, notamment les certificats TLS/SSL, la gestion PKI et la sécurité IoT. 🎯 Nature de l’attaque Un acteur malveillant non identifié a mené une attaque d’ingénierie sociale ciblée contre le canal de support de DigiCert. L’attaquant a contacté l’équipe de support via un canal de chat client et a transmis un fichier ZIP malveillant déguisé en capture d’écran client. ...

🔍 Contexte Rapport d’incident publié sur Bugzilla Mozilla (bug #2033170) par DigiCert, daté du 2026-04-02 au 2026-04-17. L’incident a été initialement signalé par un tiers et a conduit à la révocation de 60 certificats EV Code Signing. 🎯 Vecteur d’attaque initial L’acteur malveillant a contacté l’équipe support de DigiCert via un canal de chat client Salesforce et a livré un fichier ZIP malveillant déguisé en capture d’écran client. Ce fichier contenait un exécutable .scr avec une charge utile malveillante. ...

🔍 Contexte Le 10 avril 2026, OpenAI a publié un post-mortem officiel concernant un incident de sécurité lié à la compromission de la bibliothèque tierce Axios, survenu dans le cadre d’une attaque de la chaîne d’approvisionnement logicielle plus large touchant l’industrie. 📅 Chronologie 31 mars 2026 (UTC) : La bibliothèque Axios (version 1.14.1) est compromise dans le cadre d’une attaque supply chain. Un workflow GitHub Actions utilisé par OpenAI dans le processus de signature des applications macOS télécharge et exécute cette version malveillante d’Axios. Ce workflow avait accès à un certificat de signature de code et au matériel de notarisation utilisés pour signer les applications macOS d’OpenAI. 10 avril 2026 : Publication du post-mortem par OpenAI. 8 mai 2026 : Révocation effective du certificat compromis et fin du support des anciennes versions. 🎯 Applications impactées Les applications macOS suivantes étaient signées avec le certificat potentiellement exposé : ...

Source: CA/Browser Forum — Le Forum annonce la fin de la période IPR pour le ballot CSC‑31 « Maximum Validity Reduction » sans exclusion de droits, l’adoption au 17 novembre 2025, et la publication des Code Signing Baseline Requirements v3.10.0. La mise à jour des « Baseline Requirements for the Issuance and Management of Publicly‑Trusted Code Signing Certificates » réduit la validité maximale des certificats de 39 mois à 460 jours, avec entrée en vigueur le 1er mars 2026. La redline et la version publiée sont disponibles (PDF et comparaison GitHub). ...

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...

L’article, publié sur le blog du chercheur en cybersecurité Michael Taggart, explore les implications de la nouvelle version 2.3 de Deno, un outil de développement basé sur Rust, qui est désormais code-signé sur Windows. Deno est présenté comme une alternative à Node.js, apprécié pour ses choix de conception et son approche de la gestion des dépendances. Cependant, la mise à jour 2.3, qui inclut la signature de code sur Windows, soulève des préoccupations en matière de sécurité offensive. ...