Supply Chain

Source : Socket (blog de recherche sécurité), 6 février 2026. Le Threat Research Team de Socket décrit une compromission de mainteneur ayant permis la publication de versions malveillantes des clients dYdX v4 sur npm et PyPI, détectées le 27 janvier 2026 et signalées à dYdX le 28 janvier (reconnaissance publique le même jour). • Écosystèmes touchés et vecteurs: des versions spécifiques des paquets dYdX ont été modifiées pour intégrer du code malveillant au cœur des fichiers (registry.ts/js, account.py). Le code exfiltre des seed phrases et des empreintes d’appareil vers un domaine typosquatté (dydx[.]priceoracle[.]site), imitant le service légitime dydx[.]xyz. Le mode opératoire et la connaissance interne du projet suggèrent une compromission de compte développeur. ...

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystème des « skills » ClawdBot/Moltbot, avec des paquets publiés sur ClawHub et GitHub entre fin janvier et début février 2026. – Des dizaines puis des centaines de « skills » thématisés crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingénierie sociale sophistiquée (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur à télécharger et exécuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliqués, avec une première salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 février. ...

Selon Trend Micro (US), une attaque de type watering hole a compromis la page de téléchargement d’EmEditor fin 2025 afin de distribuer un installeur MSI modifié qui déploie un malware multi‑étapes. • Contexte et cible. EmEditor, éditeur de texte populaire (notamment au sein des communautés de développeurs japonaises), a publié un avis de sécurité fin décembre 2025 signalant la compromission de sa page de téléchargement. L’objectif des attaquants: diffuser un installeur altéré déclenchant discrètement une chaîne d’infection post‑installation, augmentant la dwell time et les risques de perturbation opérationnelle. ...

Selon The Register, des chercheurs de Wiz ont dévoilé “CodeBreach”, une vulnérabilité de chaîne d’approvisionnement dans AWS CodeBuild due à des regex non ancrées dans les filtres de webhooks (ACTOR_ID), permettant de contourner les protections sur les pull requests non fiables. AWS a corrigé en septembre après divulgation en août et déclare qu’aucun environnement client ou service AWS n’a été impacté. Nature du problème: regex ACTOR_ID non ancrées (manque des caractères ^ et $) dans des projets CodeBuild publics connectés à GitHub. Cela autorisait des bypass de l’allowlist des mainteneurs si l’ID GitHub de l’attaquant contenait (superstring) l’ID autorisé. Wiz qualifie l’ensemble de “CodeBreach” et estime que l’impact potentiel aurait pu être “plus grave que SolarWinds”, touchant jusqu’au SDK JavaScript AWS utilisé par 66 % des environnements cloud, y compris la Console AWS. ...

Source: Endor Labs — Analyse technique d’une campagne de supply chain visant l’écosystème des « community nodes » n8n; mise à jour au 2026-01-13 indiquant que la campagne est toujours active. ⚠️ Des attaquants ont publié sur npm des paquets n8n déguisés en intégrations « Google Ads » pour collecter des identifiants OAuth/API via un formulaire de configuration légitime, puis exfiltrer ces secrets lors de l’exécution des workflows vers un serveur sous contrôle adversaire. Cette offensive va au-delà des récentes failles RCE n8n et exploite la confiance accordée aux nœuds communautaires non audités. ...

Selon la documentation du projet PackageInferno, l’outil propose une chaîne de traitement complète en conteneurs pour auditer la supply chain npm et visualiser les résultats localement via un tableau de bord. 🧰 Pipeline clef en main en Docker : un « enumerator » construit la file de paquets, un « fetcher » télécharge les tarballs (avec option d’upload S3), un « analyzer » effectue l’analyse statique (YARA en option) et un Postgres stocke les résultats. Un dashboard Streamlit (http://localhost:8501) permet la recherche, le drill‑down et des analyses. La configuration passe par scan.yml (allowlists, seuils, règles YARA), avec historique des scans en base (scan_runs). ...

Security Affairs (par Pierluigi Paganini) relaie un rapport de Koi Security sur le package NPM malveillant “Lotusbail”, un fork de la librairie Baileys pour l’API WhatsApp Web, actif depuis six mois et totalisant plus de 56 000 téléchargements. Le package fonctionne comme une API WhatsApp pleinement opérationnelle, en enveloppant le client WebSocket légitime afin que tous les messages y transitent d’abord. Il intercepte identifiants, messages, contacts et médias tout en maintenant le fonctionnement normal, rendant la détection difficile. ...

Source et contexte — Check Point Research publie une analyse détaillant CVE-2025-61260, une vulnérabilité d’injection de commandes dans OpenAI Codex CLI liée au chargement implicite de configurations locales de projet via MCP (Model Context Protocol). Le problème provient du fait que Codex CLI charge automatiquement, au démarrage, des entrées mcp_servers issues d’une configuration projet lorsque le dépôt contient un .env définissant CODEX_HOME=./.codex et un ./.codex/config.toml. Les commandes déclarées y sont alors exécutées immédiatement sans validation, approbation interactive ni recontrôle lors de modifications. La confiance est liée à l’emplacement (le répertoire résolu) plutôt qu’au contenu, permettant de remplacer ultérieurement une config initialement bénigne par une payload malveillante. ...

Selon PostHog (posthog.com), un ver auto‑réplicant nommé Shai‑Hulud 2.0 a compromis plusieurs de ses SDK JavaScript publiés sur npm le 24 novembre 2025, après le vol d’un token GitHub et l’abus d’un workflow GitHub Actions. Nature de l’attaque: supply chain avec ver auto‑réplicant 🪱. Des versions npm malveillantes contenaient un script preinstall qui exécutait TruffleHog pour scanner et voler des identifiants, les exfiltrait en créant un dépôt GitHub public, puis utilisait d’éventuels tokens npm trouvés pour publier d’autres paquets compromis, propageant ainsi l’infection. ...

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub. L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte. ...