Jenkins

Incident supply chain Checkmarx : artefacts compromis, exfiltration de données et publication par LAPSUS$

🔍 Contexte Cet article est une mise à jour officielle publiée par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sécurité supply chain en cours ayant débuté le 23 mars 2026. L’article compile plusieurs mises à jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026). 🗓️ Chronologie de l’incident 23 mars 2026 : Checkmarx identifie un incident supply chain lié à l’attaque TeamPCP ciblant le scanner Trivy (signalée le 19 mars). Des artefacts malveillants sont publiés sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dépôts GitHub de Checkmarx. 30 mars 2026 : Exfiltration de données depuis les dépôts GitHub de Checkmarx. 22 avril 2026 : Deuxième vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accès persistant ou renouvelé de l’attaquant. 25 avril 2026 : LAPSUS$ publie sur le dark web des données estampillées du 30 mars, issues des dépôts GitHub de Checkmarx. 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace. 🎯 Artefacts compromis Vague 1 (23 mars 2026) : ...

Un botnet DDoS ciblant les serveurs de jeux vidéo déployé via un honeypot Jenkins

🔍 Contexte Publié le 29 avril 2026 par Darktrace (blog Inside the SOC), cet article présente l’analyse technique d’une campagne observée le 18 mars 2026 sur le réseau de honeypots “CloudyPots” de Darktrace. Un acteur malveillant a exploité une instance Jenkins intentionnellement mal configurée pour déployer un botnet DDoS ciblant les serveurs de jeux vidéo. 🎯 Vecteur d’accès initial L’attaquant a abusé de l’endpoint scriptText de Jenkins, qui permet l’exécution de scripts Groovy via la JVM. L’instance honeypot était configurée avec un mot de passe faible, permettant une exécution de code à distance (RCE). Le script malveillant a été envoyé en form-data (URL-encodé) et décodé via CyberChef par les analystes. ...

ByteToBreach fuite le code source de la plateforme e-gouvernement suédoise après compromission de CGI Sverige

🗓️ Contexte Article publié le 13 mars 2026 par Dalia Nasser sur ebuildersecurity.com. Le 12 mars 2026, un acteur malveillant se désignant ByteToBreach a publié sur plusieurs forums web ouverts et plateformes de partage de fichiers ce qu’il présente comme le code source complet de la plateforme e-gouvernement suédoise, obtenu après compromission de CGI Sverige AB, filiale suédoise du groupe CGI, prestataire IT gérant des infrastructures numériques critiques pour le gouvernement suédois. ...