https://cyberveille.ch/tags/lapsu/ Recent content in Lapsu$ on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 03 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-03-attaque-supply-chain-en-cascade-trivy-checkmarx-et-bitwarden-compromis-par-teampcp-et-lapsu/ Sun, 03 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-03-attaque-supply-chain-en-cascade-trivy-checkmarx-et-bitwarden-compromis-par-teampcp-et-lapsu/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L&rsquo;article relate une série d&rsquo;incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d&rsquo;attaquants distincts.</p> <h2 id="-chronologie-des-incidents">🔗 Chronologie des incidents</h2> <ul> <li><strong>19 mars 2026</strong> : Compromission du compte GitHub de <strong>Trivy</strong>, scanner de vulnérabilités open source. Le groupe <strong>TeamPCP</strong> pousse du malware vers les utilisateurs de Trivy, dont <strong>Checkmarx</strong>. Le malware cible des tokens de dépôts, clés SSH et autres credentials.</li> <li><strong>23 mars 2026</strong> : Le compte GitHub de <strong>Checkmarx</strong> est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche.</li> <li><strong>30 mars 2026</strong> : Date de la donnée exfiltrée et ultérieurement publiée par <strong>Lapsu$</strong>, indiquant que l&rsquo;accès persistait malgré les tentatives de remédiation.</li> <li><strong>22 avril 2026</strong> : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel <strong>Checkmarx/kics</strong> publie également des packages malveillants. <strong>Bitwarden</strong> est aussi touché : un package malveillant est distribué via npm (<code>@bitwarden/cli@2026.4.0</code>) entre 17h57 et 19h30 (ET).</li> <li><strong>Fin avril 2026</strong> : <strong>Lapsu$</strong> publie des données privées de Checkmarx sur le dark web.</li> </ul> <h2 id="-victimes-et-vecteurs">🎯 Victimes et vecteurs</h2> <ul> <li><strong>Trivy</strong> : point d&rsquo;entrée initial (compte GitHub compromis)</li> <li><strong>Checkmarx</strong> : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$</li> <li><strong>Bitwarden</strong> : victime de la même campagne, via le package npm <code>@bitwarden/cli@2026.4.0</code></li> </ul> <h2 id="-acteurs-de-la-menace">👥 Acteurs de la menace</h2> <ul> <li><strong>TeamPCP</strong> : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d&rsquo;accès privilégiés.</li> <li><strong>Lapsu$</strong> : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP.</li> </ul> <h2 id="-infrastructure-commune">🔧 Infrastructure commune</h2> <p>Selon la société <strong>Socket</strong>, le payload utilisé contre Bitwarden partage le <strong>même endpoint C2 et la même infrastructure core</strong> que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy.</p>