Supply-Chain

🎯 Contexte Analyse publiée le 20 juin 2026 par SafeDep sur la découverte d’un package npm malveillant @withgoogle/stitch-sdk (versions v0.1.1 et v0.1.2), conçu pour imiter le SDK officiel de Google Stitch AI (@google/stitch-sdk, 30 000+ téléchargements hebdomadaires). 🔍 Technique d’attaque : Scope Squatting L’attaquant a exploité le fait que npm ne vérifie pas les marques déposées lors de l’enregistrement de scopes. Le produit Google est accessible via stitch.withgoogle.com, mais son scope npm officiel est @google. L’attaquant a enregistré le scope @withgoogle (premier arrivé, premier servi) et publié un package avec le même nom de base que le SDK légitime, avec des numéros de version identiques (0.1.1, 0.1.2). ...

🗓️ Contexte Article publié le 23 juin 2026 par TechCrunch (auteur : Zack Whittaker). Il couvre la confirmation par Klue, société de market intelligence basée à Vancouver, d’une violation de données détectée le 12 juin 2026 et divulguée publiquement le 20 juin 2026. 🔓 Nature de l’attaque Les attaquants ont exploité une credential legacy qualifiée de « legacy credential associated with an integration service », originellement fournie à un tiers non identifié en 2022 dans le cadre d’un pilote limité. Cette credential n’a jamais été révoquée à l’issue du pilote. ...

🗓️ Contexte Article publié par Reuters le 22 juin 2026, basé sur des informations de chercheurs en cybersécurité et une déclaration officielle de Tata Electronics. L’incident a été rendu public après la découverte de données volées sur le dark web. 🎯 Incident Tata Electronics, l’un des principaux partenaires de fabrication d’Apple en Inde, a confirmé avoir détecté un incident de cybersécurité sur certains de ses systèmes il y a plusieurs semaines. La société a indiqué que ses opérations restent non affectées. ...

🎯 Contexte Source : BleepingComputer, publié le 20 juin 2026. Microsoft a officiellement attribué, dans une mise à jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystème npm du framework Mastra AI au groupe nord-coréen Sapphire Sleet, également connu sous le nom de BlueNoroff. 🔓 Vecteur d’attaque initial Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a été utilisé pour publier des mises à jour malveillantes sur plus de 140 packages dans le scope @mastra. ...

🔍 Contexte Source : BleepingComputer, publié le 16 juin 2026. La société Aikido Security a découvert une campagne malveillante coordonnée ciblant les développeurs via le JetBrains Marketplace, la place de marché officielle des plugins pour les IDE JetBrains (IntelliJ, PyCharm, etc.). 🎯 Nature de l’attaque Au moins 15 plugins malveillants, publiés sous 7 comptes vendeurs distincts, ont été identifiés. Ces plugins se présentent comme des assistants de codage IA, des outils de revue de code et des utilitaires Git s’appuyant sur des services populaires tels qu’OpenAI, DeepSeek et SiliconFlow. Ils fonctionnent comme annoncé mais intègrent un comportement caché d’exfiltration de credentials. ...

🗓️ Contexte Source : Zscaler ThreatLabz via Cyber Security News, publié le 19 juin 2026. L’activité malveillante a été détectée pour la première fois le 14 mai 2026, lors d’un pic inhabituel de trafic lié au groupe SmartApeSG. 🎯 Nature de l’attaque Il s’agit d’une attaque de chaîne d’approvisionnement (supply chain attack) : les attaquants ont compromis le script JavaScript du widget Okendo Reviews, un outil tiers de gestion d’avis clients utilisé par plus de 18 000 marques dans le monde. En ciblant ce widget plutôt que chaque site individuellement, les attaquants ont maximisé leur portée sans avoir à compromettre chaque site séparément. ...

🔍 Contexte Analyse technique publiée le 12 juin 2026 par SafeDep, documentant une attaque de type supply chain ciblant le dépôt open source Egonex-AI/Understand-Anything (outil code-to-knowledge-graph, 57 000+ étoiles GitHub). L’article est une analyse post-mortem détaillée avec déobfuscation complète du payload. 🎯 Vecteur d’attaque L’acteur AsimRaza10 a soumis trois pull requests frauduleuses (PR #198, #206, #261) entre le 24 et le 26 mai 2026, toutes pointant vers le même commit malveillant (8d30be36). Chaque PR présentait une description légitime fictive (correction React, édition README, fichiers de santé communautaire) ne correspondant pas au diff réel. Les deux seuls fichiers modifiés étaient : ...

🎯 Contexte L’article est publié le 16 juin 2026 par Aikido Security. Il documente la découverte d’une campagne malveillante coordonnée ciblant le JetBrains Marketplace, l’écosystème de plugins pour les IDE JetBrains. 🦠 Description de la campagne 15 plugins IDE publiés sous 7 comptes vendeurs distincts partagent un code malveillant commun. Chaque plugin se présente comme un assistant de codage IA basé sur DeepSeek ou d’autres LLMs, proposant des fonctionnalités légitimes (chat, revue de code, tests unitaires, messages de commit). Les premières versions sont apparues fin octobre 2025, et de nouvelles continuaient d’être publiées en juin 2026. ...

🗓️ Contexte Article publié le 21 juin 2026 par Hudson Rock via la plateforme Infostealers. Il s’agit d’une analyse technique approfondie de la campagne FortiBleed, initialement divulguée par Hudson Rock, portant sur la compromission de 75 000 firewalls Fortinet FortiGate exposés sur internet, couvrant 21 632 domaines. ⚙️ Mécanisme d’attaque Les attaquants ont adopté un pipeline entièrement automatisé et assisté par IA : Collecte : exfiltration de fichiers de configuration chiffrés depuis des appareils Fortinet exposés Infrastructure de craquage : location de 36 GPU enterprise (3 instances × 4 GPU + 3 instances × 8 GPU) sur la plateforme Vast.ai, pour un coût d’environ 14,40 $/heure (~350 $/jour) Orchestration : gestion du cluster via un bot Telegram et le framework open source Hashtopolis Développement : scripts et bots écrits avec l’éditeur de code assisté par IA Cursor Post-exploitation : utilisation de frameworks de pentest agentiques open source pour l’énumération Active Directory 🔢 Performances cryptographiques Hachages SHA-256 salés (legacy Fortinet) : jusqu’à 720 milliards de hachages/seconde → mots de passe complexes épuisés en quelques minutes PBKDF2 (FortiOS récent) : entre 180 et 360 millions de hachages/seconde → attaques par dictionnaire et règles ciblées en quelques secondes Résultat : craquage de ~143 000 hachages Kerberos et ~33 000 hachages NetNTLM ciblant des contrôleurs de domaine internes 🌐 Impact supply chain Les firewalls compromis servent de beachheads pour pivoter latéralement vers des fournisseurs tiers, MSPs et partenaires de confiance, transformant une compromission périmétrique en crise de chaîne d’approvisionnement en cascade. ...

🔍 Contexte Publié le 21 juin 2026 sur le blog officiel de Recorded Future, cet article constitue une communication de transparence adressée aux clients et partenaires de la plateforme CTI, suite à un incident de sécurité impliquant un prestataire tiers. 📅 Chronologie de l’incident 12 juin 2026 : début de l’activité non autorisée dans l’environnement de Klue, fournisseur marketing tiers, contenue le même matin 17 juin 2026 : confirmation par Recorded Future que des éléments de son compte Salesforce ont été compromis via un token OAuth compromis lié à l’intégration Salesforce-Klue Semaine du 21 juin 2026 : notification au CSIRT de Recorded Future et publication de la communication 🎯 Nature de l’attaque L’attaque a ciblé la couche d’intégration entre Klue et d’autres plateformes SaaS marketing et commerciales. Le vecteur d’accès identifié est un token OAuth compromis associé à l’intégration entre Salesforce et Klue. Recorded Future n’était pas une cible spécifique mais une victime incidente. ...