GitHub

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L’article relate une série d’incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d’attaquants distincts. 🔗 Chronologie des incidents 19 mars 2026 : Compromission du compte GitHub de Trivy, scanner de vulnérabilités open source. Le groupe TeamPCP pousse du malware vers les utilisateurs de Trivy, dont Checkmarx. Le malware cible des tokens de dépôts, clés SSH et autres credentials. 23 mars 2026 : Le compte GitHub de Checkmarx est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche. 30 mars 2026 : Date de la donnée exfiltrée et ultérieurement publiée par Lapsu$, indiquant que l’accès persistait malgré les tentatives de remédiation. 22 avril 2026 : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel Checkmarx/kics publie également des packages malveillants. Bitwarden est aussi touché : un package malveillant est distribué via npm (@bitwarden/cli@2026.4.0) entre 17h57 et 19h30 (ET). Fin avril 2026 : Lapsu$ publie des données privées de Checkmarx sur le dark web. 🎯 Victimes et vecteurs Trivy : point d’entrée initial (compte GitHub compromis) Checkmarx : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$ Bitwarden : victime de la même campagne, via le package npm @bitwarden/cli@2026.4.0 👥 Acteurs de la menace TeamPCP : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d’accès privilégiés. Lapsu$ : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP. 🔧 Infrastructure commune Selon la société Socket, le payload utilisé contre Bitwarden partage le même endpoint C2 et la même infrastructure core que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy. ...

🔍 Contexte Publié le 7 avril 2026 par Cisco Talos (Diana Brown), cet article documente une augmentation d’activité malveillante exploitant les pipelines de notification de plateformes SaaS populaires (GitHub et Atlassian Jira) pour distribuer des emails de spam et de phishing à grande échelle. ⚙️ Technique : Platform-as-a-Proxy (PaaP) Les attaquants exploitent une technique nommée Platform-as-a-Proxy (PaaP) : en abusant des fonctionnalités natives de notification des plateformes SaaS, les emails malveillants sont émis depuis l’infrastructure légitime des fournisseurs, satisfaisant automatiquement les contrôles SPF, DKIM et DMARC. Cela neutralise les principaux mécanismes de filtrage email basés sur la réputation. ...

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

🌐 Contexte Source : socket.dev, publié le 28 mars 2026. Une campagne de phishing coordonnée et à grande échelle cible les développeurs directement sur la plateforme GitHub, en exploitant la fonctionnalité GitHub Discussions pour diffuser de fausses alertes de sécurité liées à Visual Studio Code. 🎯 Mode opératoire Les attaquants créent des milliers de GitHub Discussions quasi-identiques imitant des avis de sécurité légitimes, avec des titres tels que : “Visual Studio Code – Severe Vulnerability – Immediate Update Required” “Critical Exploit – Urgent Action Needed” Chaque post référence des CVE fabriqués et des plages de versions fictives, et incite les développeurs à télécharger une version “corrigée” via un lien externe. Les publications sont effectuées par des comptes récemment créés ou peu actifs, et taguent massivement des développeurs pour amplifier la portée via le système de notifications email de GitHub. ...

🎯 Contexte Source : BleepingComputer — Article publié le 26 mars 2026. Cet article rapporte la continuation d’une attaque supply chain ciblant Aqua Security, entreprise spécialisée dans la sécurité cloud-native et éditrice de l’outil open source Trivy. 🔍 Déroulement de l’attaque Le groupe TeamPCP a poursuivi ses opérations malveillantes contre Aqua Security en : Poussant des images Docker malveillantes dans les dépôts de la société Compromettant l’organisation GitHub d’Aqua Security Altérant des dizaines de dépôts au sein de cette organisation 🏴 Acteurs et cibles L’acteur de menace identifié est TeamPCP, déjà responsable de l’attaque initiale sur Trivy. La cible principale est Aqua Security et son écosystème de dépôts publics, ce qui expose potentiellement les utilisateurs en aval de la chaîne d’approvisionnement logicielle. ...

🔍 Contexte Source : TechCrunch, publié le 23 mars 2026. Des chercheurs en cybersécurité ont signalé la publication publique sur GitHub d’un kit d’exploit baptisé “DarkSword”, ciblant les utilisateurs d’iPhone fonctionnant sous des versions obsolètes d’iOS. 💣 Nature de la menace Le kit d’exploit DarkSword a été rendu publiquement accessible, ce qui signifie que des hackers et cybercriminels peuvent désormais l’utiliser librement pour compromettre des appareils Apple vulnérables. L’objectif déclaré est le déploiement de spywares sur les appareils ciblés. ...

GitHub intègre la détection de vulnérabilités par IA dans son outil Code Security Source : BleepingComputer — Date : 25 mars 2026 🧩 Contexte GitHub annonce l’intégration d’un moteur de détection de vulnérabilités basé sur l’IA dans son outil GitHub Code Security, en complément de l’analyse statique CodeQL existante. L’objectif est d’étendre la couverture à des langages et frameworks jusqu’ici insuffisamment pris en charge par l’analyse statique traditionnelle. 🔍 Détails techniques Le nouveau modèle hybride combine deux approches complémentaires : ...

📊 Contexte Publié le 24 mars 2026 par GitGuardian, le rapport annuel State of Secrets Sprawl 2026 (5ème édition) analyse la prolifération des secrets (credentials, API keys, tokens) dans les dépôts publics et privés, les outils collaboratifs et les environnements locaux. Il s’appuie sur l’analyse de commits GitHub publics, de datasets de machines compromises et de configurations d’infrastructure IA. 🔑 Chiffres clés sur GitHub public 28,65 millions de nouveaux secrets hardcodés ajoutés aux commits GitHub publics en 2025 (+34% YoY, plus forte hausse jamais enregistrée) 1,94 milliard de commits publics en 2025 (+43% YoY) Base de développeurs actifs en hausse de 33% 🤖 Explosion des fuites liées à l’IA 1 275 105 secrets de services IA détectés en 2025, soit +81% YoY 113 000 clés API DeepSeek exposées citées comme exemple 8 des 10 détecteurs à la croissance la plus rapide sont liés à des services IA L’infrastructure LLM (orchestration, RAG, vector storage) fuite 5× plus vite que les fournisseurs de modèles core Les commits assistés par Claude Code affichent un taux de fuite de 3,2% vs 1,5% en baseline ⚙️ Fuites dans les configurations MCP 24 008 secrets uniques exposés dans des fichiers de configuration MCP sur GitHub public 2 117 credentials valides uniques identifiés (8,8% des findings MCP) Les guides de documentation officiels encouragent souvent des patterns non sécurisés (API keys en dur dans les fichiers de config) 🏢 Dépôts internes et outils collaboratifs Les dépôts internes sont 6× plus susceptibles de contenir des secrets hardcodés que les dépôts publics 28% des incidents proviennent entièrement hors des dépôts (Slack, Jira, Confluence) Les fuites hors code sont 13 points de pourcentage plus susceptibles d’être classées critiques 💻 Machines développeurs et CI/CD Analyse du dataset Shai-Hulud 2 : 6 943 machines compromises, 294 842 occurrences de secrets, 33 185 secrets uniques 59% des machines compromises étaient des runners CI/CD (pas des postes personnels) Les agents IA avec accès local (terminaux, variables d’environnement, credential stores) élargissent la surface d’attaque ⏳ Lacunes de remédiation 64% des secrets valides de 2022 sont encore actifs et exploitables en janvier 2026 46% des secrets critiques sont manqués par une priorisation basée uniquement sur la validation automatique 📌 Type d’article Rapport de recherche annuel à visée CTI et sensibilisation, publié par GitGuardian pour quantifier l’ampleur de la prolifération des secrets dans les environnements de développement modernes, avec focus sur l’impact de l’IA générative. ...

🔍 Contexte Article d’investigation publié par The Guardian le 14 mars 2026, rédigé par Hannah Devlin et Tom Burgis. UK Biobank est une base de données médicales britannique fondée en 2003, détenant les dossiers de santé de 500 000 volontaires britanniques, incluant séquences génomiques, scanners, échantillons sanguins et données de style de vie. 📂 Nature de l’incident Des données de santé confidentielles ont été exposées publiquement en ligne à de nombreuses reprises par des chercheurs ayant accidentellement publié des jeux de données Biobank sur GitHub en même temps que leur code d’analyse. Cette pratique résulte de l’obligation croissante des journaux scientifiques et financeurs de publier le code source des analyses. ...

Selon The Hacker News, la campagne d’attaque de la chaîne d’approvisionnement GlassWorm s’intensifie, s’appuyant sur des extensions Open VSX malveillantes et plus de 150 dépôts GitHub compromis. Type d’attaque: attaque de la chaîne d’approvisionnement (supply chain) 🔗 Composants impliqués: des dizaines d’extensions Open VSX malveillantes 🧩; plus de 150 dépôts GitHub compromis 📦 Campagne: GlassWorm 🐛 L’article souligne l’ampleur de la compromission sur deux écosystèmes clés (extensions et dépôts de code), utilisée comme partie intégrante de la campagne GlassWorm. ...