Supply Chain

Source: Socket (blog de recherche). L’équipe Threat Research de Socket a identifié neuf paquets NuGet malveillants publiés sous l’alias « shanhai666 » (2023–2024), dont l’un cible les systèmes de contrôle industriels (ICS). Signalés à NuGet le 5 novembre 2025, ils totalisent 9 488 téléchargements et étaient toujours en ligne à la publication. • Nature de l’attaque: compromission de la chaîne d’approvisionnement via des paquets NuGet fournissant 99% de code fonctionnel pour masquer ~20 lignes de charge malveillante. Techniques incluant typosquatting (notamment « Sharp7Extend » autour de la bibliothèque légitime Sharp7), bundling de bibliothèques légitimes, méthodes d’extension C# pour intercepter les opérations, déclenchement temporel (2027–2028) et exécution probabiliste (20% d’arrêts). Des certificats Microsoft contrefaits et des métadonnées incohérentes d’auteur sont signalés. ...

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2. Faits saillants 🚨 Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456. Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail. Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan. Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations. Comportements malveillants observés ...

🔐 Fuite massive de secrets dans les extensions VSCode : plus de 500 extensions exposées Les chercheurs de Wiz Research ont découvert une fuite massive de secrets au sein des extensions de l’IDE Visual Studio Code (VSCode), touchant à la fois le VSCode Marketplace et Open VSX, une plateforme utilisée par des forks alimentés par l’IA tels que Cursor et Windsurf. Plus de 550 secrets valides ont été trouvés dans 500 extensions publiées par des centaines d’éditeurs. Parmi les fuites, plus d’une centaine concernaient des jetons d’accès capables de mettre à jour directement les extensions, exposant potentiellement 150 000 installations à un risque de compromission via des mises à jour malveillantes. ...

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

Source: manchicken (GitHub) — Le chercheur publie une divulgation responsable d’une vulnérabilité signalée à 1Password en octobre 2023 et autorisée à la publication via BugCrowd en janvier 2024, portant sur le comportement de 1Password CLI (op). • Nature de la vulnérabilité: une fois le coffre déverrouillé via 1Password CLI, la session reste active et est héritée par les processus enfants, sans nouvelle invite. Ce comportement permet à des composants de la chaîne d’outillage (ex. extensions ou scripts post‑installation) d’accéder aux secrets sans interaction supplémentaire. Le chercheur montre que les mots de passe sont récupérables en clair et que l’outil peut énumérer les coffres et les éléments. ...

Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie. ...

Selon Acronis (rubrique Threats and Vulnerabilities), un ransomware a visé la plateforme MUSE de Collins Aerospace, entraînant des perturbations majeures dans plusieurs aéroports européens, et a été formellement reconnu par RTX Corporation dans un dépôt à la SEC. • Faits marquants: un ransomware a touché la plateforme de traitement passagers ARINC MUSE, utilisée pour le partage de comptoirs, bornes et portes d’embarquement. Les aéroports de Heathrow, Bruxelles, Berlin et Dublin ont dû revenir à des procédures manuelles, provoquant retards et annulations. Un suspect a été arrêté au Royaume‑Uni puis libéré sous caution. Le variant du ransomware et le vecteur d’attaque restent non confirmés. RTX a apporté la première reconnaissance officielle de l’incident via une déclaration à la SEC. ✈️ ...

Source: BleepingComputer (Sergiu Gatlan). Cloudflare révèle avoir été impacté par la série de compromissions Salesloft/Drift touchant des environnements Salesforce, avec exfiltration de données textuelles de son CRM de support entre le 12 et le 17 août 2025, après une phase de reconnaissance le 9 août. Cloudflare indique que des attaquants ont accédé à une instance Salesforce utilisée pour la gestion des tickets clients et ont exfiltré uniquement le texte des objets de cas (pas les pièces jointes). Parmi les éléments sensibles potentiellement exposés figurent des informations de contact clients et des contenus de tickets pouvant inclure des clés, secrets, jetons ou mots de passe. L’entreprise a identifié 104 jetons API Cloudflare présents dans ces données et les a tous rotationnés avant la notification clients du 2 septembre, sans activité suspecte détectée à ce stade. ...

Selon Kudelski Security (blog de recherche), un enchaînement de failles dans l’intégration de Rubocop par CodeRabbit a permis d’obtenir une exécution de code à distance (RCE) sur des serveurs de production, d’exfiltrer de nombreux secrets (dont la clé privée du GitHub App CodeRabbit) et, par ricochet, d’accéder en lecture/écriture à des dépôts GitHub installés (jusqu’à 1 M de dépôts). Les correctifs ont été déployés rapidement en janvier 2025, notamment la désactivation puis l’isolation de Rubocop. ...

Selon Reuters (13 août), les autorités américaines utilisent des traceurs de localisation dissimulés dans des expéditions ciblées de matériel IA pour faire respecter les contrôles à l’export, face aux risques de détournement vers des destinations restreintes comme la Chine. Des personnes directement informées indiquent que ces traceurs visent des expéditions à haut risque et servent à détecter des détournements de puces IA et de serveurs. Cette pratique, déjà utilisée par le passé pour d’autres biens soumis à contrôle (ex. pièces d’avion), a été appliquée aux semi-conducteurs ces dernières années afin d’étayer des dossiers contre des individus et entreprises qui enfreignent les contrôles à l’export. ...