Supply Chain

🌐 Contexte L’article est publié le 15 avril 2026 par OpenSourceMalware.com. Il documente une campagne d’attaque supply chain active sur le registre NPM, baptisée Stardrop, détectée à partir du 9 avril 2026 avec un rythme de publication de plus de 40 packages malveillants par jour. 🎯 Cibles Les packages usurpent des noms associés à : Entreprises d’IA : HuggingFace, Codeium, Cerebras, Groq, Inflection AI, Midjourney, Windsurf, Cursor, etc. Fonds de capital-risque : a16z, Bessemer VC, Khosla VC, Founders Fund, Coatue, Felicis, etc. Marques de luxe : Givenchy, Louis Vuitton, Valentino, Versace, Lamborghini, etc. 🔧 Mécanisme d’attaque La chaîne d’infection repose sur trois étapes : ...

🗓️ Contexte Source : The Record Media, publié le 10 avril 2026. Drift, une plateforme de cryptomonnaies, a publié un post-mortem complet décrivant une opération de compromission longue de six mois attribuée au groupe nord-coréen UNC4736, également suivi sous les noms AppleJeus et Citrine Sleet. 🎭 Déroulement de l’opération L’opération a débuté environ six mois avant le vol, lorsque des membres d’une société fictive de trading quantitatif ont approché des contributeurs de Drift lors d’une conférence crypto. Ces individus : ...

🔍 Contexte Le 10 avril 2026, OpenAI a publié un post-mortem officiel concernant un incident de sécurité lié à la compromission de la bibliothèque tierce Axios, survenu dans le cadre d’une attaque de la chaîne d’approvisionnement logicielle plus large touchant l’industrie. 📅 Chronologie 31 mars 2026 (UTC) : La bibliothèque Axios (version 1.14.1) est compromise dans le cadre d’une attaque supply chain. Un workflow GitHub Actions utilisé par OpenAI dans le processus de signature des applications macOS télécharge et exécute cette version malveillante d’Axios. Ce workflow avait accès à un certificat de signature de code et au matériel de notarisation utilisés pour signer les applications macOS d’OpenAI. 10 avril 2026 : Publication du post-mortem par OpenAI. 8 mai 2026 : Révocation effective du certificat compromis et fin du support des anciennes versions. 🎯 Applications impactées Les applications macOS suivantes étaient signées avec le certificat potentiellement exposé : ...

🔍 Contexte Source : Securelist (Kaspersky), publié le 10 avril 2026. Le site cpuid.com, hébergeant les installateurs des outils d’administration système CPU-Z, HWMonitor, HWMonitor Pro et PerfMonitor 2, a été compromis dans le cadre d’une attaque de type watering hole. 🕐 Chronologie La compromission a eu lieu entre le 9 avril 2026 à 15h00 UTC et le 10 avril 2026 à 10h00 UTC, soit une fenêtre d’attaque de moins de 24 heures. Les URLs de téléchargement légitimes ont été remplacées par des URLs pointant vers quatre sites malveillants. ...

📰 Source : BleepingComputer | Date : 8 avril 2026 | Auteur de référence : Austin Larsen, analyste principal chez Google Threat Intelligence Group (GTIG) 🎯 Contexte général Le groupe de menace UNC6783 mène des campagnes ciblant des prestataires de services externalisés (BPO) afin d’atteindre indirectement des entreprises de grande valeur dans plusieurs secteurs. Selon GTIG, des dizaines d’entités ont été compromises dans le but d’exfiltrer des données sensibles à des fins d’extorsion. ...

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement causée par la compromission de la chaîne d’approvisionnement du scanner de vulnérabilités Trivy. 🔓 Vecteur d’attaque initial Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission du pipeline GitHub de Trivy. Ce plugin a permis le vol de credentials CI/CD depuis les environnements de build des organisations utilisant l’outil, dont Cisco. ...

🏛️ Contexte Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accès initial L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle. ...

🏛️ Contexte Le 23 mars 2026, le Bureau de la Sécurité Publique et de la Sécurité Intérieure de la Federal Communications Commission (FCC) a publié l’avis DA 26-278 annonçant l’ajout de tous les routeurs produits dans un pays étranger à la Covered List — la liste des équipements et services jugés comme présentant un risque inacceptable pour la sécurité nationale américaine, en vertu du Secure and Trusted Communications Networks Act of 2019. ...

🔍 Contexte Publié le 3 avril 2026 par Ctrl-Alt-Intel, cet article constitue la partie 2 d’une analyse d’incident portant sur l’attaque supply chain ciblant BuddyBoss, éditeur de plugins et thèmes WordPress. L’ensemble des preuves provient du serveur C2 de l’attaquant laissé en open directory, contenant logs d’exfiltration, payloads décodés, transcripts Claude Code, templates de backdoors PHP et données de 246+ sites victimes. ⏱️ Kill-chain (17 mars 2026, UTC) L’attaque complète s’est déroulée en 2h54 entre la première exfiltration CI/CD et le premier callback victime : ...