Supply Chain Attack

🔍 Contexte Source : Hudson Rock (infostealers.com), publié le 20 avril 2026. Cet article présente les conclusions d’une investigation de threat intelligence menée par Hudson Rock à la suite de la confirmation publique d’une violation de données chez Vercel, plateforme cloud de déploiement d’applications. 🦠 Vecteur initial : infection Lumma Stealer En février 2026, un employé de Context.ai (fournisseur tiers de Vercel) a été compromis par Lumma Stealer. L’infection aurait été contractée via le téléchargement de scripts malveillants liés à des exploits de jeu (Roblox auto-farm scripts/executors), vecteur classique de déploiement de Lumma Stealer. ...

📰 Source : The Cyber Express — Date de publication : 13 avril 2026 🎯 Contexte Rockstar Games, éditeur de GTA 5 et de la franchise Grand Theft Auto, a confirmé avoir subi une violation de données impliquant un accès non autorisé à des informations internes. L’entreprise attribue l’incident à une vulnérabilité d’un prestataire tiers. 🔓 Vecteur d’intrusion Le groupe cybercriminel ShinyHunters revendique l’attaque et affirme avoir compromis l’infrastructure cloud de Rockstar. Selon les informations disponibles : ...

🔍 Contexte Analyse technique publiée le 12 avril 2026 sur GitHub par le chercheur Kavan00, portant sur des projecteurs Android vendus sur Amazon, eBay et AliExpress sous les marques Hotack, Huyukang, Magcubic et Nonete. L’analyse couvre la période du 11 au 12 avril 2026 et documente une attaque de chaîne d’approvisionnement similaire aux cas BADBOX. 🎯 Dispositifs affectés Chipset : Allwinner H713 / sun50iw12p1 OS : SpectraOS (Android 11, Kernel 5.4.99) Fabricant OEM : Blue Shark, Shenzhen (opérateur C2 : Shenzhen Aodin Technology) Firmware : HY260Pro_SpectraOS_TPYB SELinux en mode Permissive (non appliqué) Clé de signature plateforme : AOSP Test Key publique 🦠 Écosystème malveillant Quatre applications système interagissent, toutes signées avec la clé AOSP test et exécutées avec UID 1000 (System) : ...

🔍 Contexte Publié le 2 avril 2026 par Hudson Rock sur infostealers.com, ce rapport présente une analyse forensique exhaustive d’un endpoint compromis par le stealer LummaC2 (build du 31 juillet 2024), infecté le 6 août 2024. La machine (DESKTOP-OG1CFR5, IP 192.161.60.132, Windows 10 Enterprise) appartenait à un opérateur nord-coréen travaillant pour le syndicat chinois Funnull. 💀 Vecteur d’infection L’opérateur a lui-même téléchargé un faux installateur logiciel hébergé sur MediaFire (@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip), contenant le payload LummaC2. L’infection a permis l’exfiltration de 100+ credentials, 7 000+ logs de navigation, accès Cloudflare admin et des milliers de traductions Google internes. ...

Source : ZDI (Zero Day Initiative) — billet de recherche décrivant la découverte et l’exploitation de CVE-2025-5037, une vulnérabilité de confusion de type dans Autodesk Revit 2025 qui permet une exécution de code à distance (RCE) via des fichiers RFA spécialement conçus. La faille provient du désérialiseur de Revit, qui traite 4 611 types d’objets. En manipulant l’index de classe dans les données sérialisées du flux Global\Latest d’un fichier OLE Compound, un attaquant peut amener l’application à traiter un objet std::pair (index de classe 0xc4) comme une classe munie d’un pointeur de vtable, ouvrant la voie à l’exécution de code. ...

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée. 🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement. ...

Source: Aikido (blog) — Analyse publiée dans un contexte de Security Operations, avec entretien de Josh Junon, mainteneur compromis, sur l’incident ayant touché des paquets npm majeurs dont « debug » et « chalk ». L’article décrit une attaque de la chaîne d’approvisionnement menée via phishing contre des mainteneurs npm, aboutissant à une injection de code malveillant. Les paquets compromis ont été téléchargés 2,6 millions de fois, tandis que « debug » et « chalk » cumulent 2,6 milliards de téléchargements hebdomadaires, illustrant la fragilité de l’écosystème. Le malware ciblait spécifiquement le vol de cryptomonnaies via injection dans le contexte du navigateur, sans viser une compromission système plus large. ...

Selon Varonis, une attaque de chaîne d’approvisionnement a compromis 20 packages npm populaires totalisant 2,67 milliards de téléchargements hebdomadaires, grâce à une campagne de phishing améliorée par IA visant les mainteneurs. L’infrastructure d’email « propre » et des contenus professionnels ont aidé à contourner les défenses classiques, permettant l’injection d’un malware de détournement de portefeuilles à travers six réseaux blockchain. Côté technique, le malware implémente un intercepteur côté navigateur qui accroche des API Web critiques (fetch(), XMLHttpRequest, window.ethereum.request()) pour réécrire silencieusement des transactions. Il cible Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash, recourt à des regex et contient 280 adresses de portefeuilles attaquants codées en dur. Le code inspecte en temps réel les payloads, utilise la distance de Levenshtein pour substituer des adresses lookalike et manipule des interactions DEX sur Uniswap et PancakeSwap. ...

Selon Socket (blog de recherche), l’équipe Threat Research a identifié une attaque coordonnée de la chaîne d’approvisionnement via quatre paquets npm se faisant passer pour des utilitaires crypto et Flashbots, visant les développeurs Web3, les chercheurs MEV et les opérateurs DeFi, avec un risque de pertes financières immédiates et irréversibles. — Détails clés — Type d’attaque : supply chain sur l’écosystème npm avec usurpation d’outils légitimes (crypto/Flashbots). Cible : développeurs Web3, MEV searchers, opérateurs DeFi. Impact : vol d’identifiants et de clés privées de portefeuilles, exfiltrés vers une infrastructure Telegram contrôlée par l’attaquant. — Vecteurs et techniques — ...

Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle. L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant. ...