Supply Chain

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

🌐 Contexte Publié le 31 mars 2026 par le Google Threat Intelligence Group (GTIG) / Mandiant, cet article documente une attaque de supply chain active ciblant le package NPM axios, l’une des bibliothèques JavaScript les plus populaires au monde (plus de 100 millions de téléchargements hebdomadaires pour la version 1.x). 🎯 Déroulement de l’attaque Entre le 31 mars 2026 00:21 et 03:20 UTC, un attaquant a compromis le compte mainteneur du package axios (en changeant l’adresse email associée vers ifstap@proton.me) et introduit une dépendance malveillante nommée plain-crypto-js (version 4.2.1) dans les versions axios 1.14.1 et 0.30.4. ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaîne d’approvisionnement ciblant le paquet npm axios, l’un des plus téléchargés au monde avec plus de 40 millions de téléchargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procédé en deux temps : Création préalable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise (nrwise@proton.me), conçu pour imiter le légitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifié en ifstap@proton.me), permettant la publication de axios@1.14.1 et axios@0.30.4 avec plain-crypto-js comme dépendance malveillante La preuve forensique clé est l’absence de provenance OIDC sur les versions malveillantes, publiées via npm CLI avec des credentials volés, contrairement aux versions légitimes publiées via GitHub Actions. ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en ifstap@proton.me après la compromission pour verrouiller le propriétaire légitime. ...

🔍 Contexte Publié le 31 mars 2026 par Wiz Research et le Wiz Customer Incident Response Team (CIRT), cet article détaille les activités post-compromission du groupe TeamPCP, identifié comme responsable d’une série d’attaques supply chain ciblant des outils open source populaires entre le 19 et le 27 mars 2026. 🎯 Campagne supply chain initiale TeamPCP a injecté des malwares de vol de credentials dans quatre projets open source : 19 mars : Trivy (Aqua Security) — binaires, GitHub Actions et images container 23 mars : KICS (Checkmarx) — GitHub Action et extensions OpenVSX 24 mars : LiteLLM — packages PyPI malveillants 27 mars : Telnyx — packages Python malveillants sur PyPI Le malware déployé collecte des credentials cloud, clés SSH, fichiers de configuration Kubernetes et secrets CI/CD, puis les chiffre et les exfiltre vers des domaines contrôlés par l’attaquant. ...

🔍 Contexte Analyse publiée le 30 mars 2026 par StepSecurity, portant sur une attaque de supply chain découverte sur le VS Code Marketplace. Trois extensions publiées par le compte IoliteLabs — solidity-macos, solidity-windows et solidity-linux — ont été simultanément mises à jour en version 0.1.8 le 25 mars 2026, après être restées dormantes depuis 2018. Ces extensions totalisaient environ 27 500 installations combinées. 🎯 Vecteur d’attaque L’attaquant a compromis le compte éditeur IoliteLabs sur le VS Code Marketplace (hijack de compte dormant), sans modifier le dépôt GitHub source. La version 0.1.8 a été publiée directement sur la marketplace sans commit correspondant. Le code malveillant n’est pas dans le point d’entrée de l’extension (extension.js) mais injecté dans une copie altérée de la dépendance npm légitime pako (node_modules/pako/index.js), dont le SHA-256 diffère de la version officielle. ...

📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante : ...

🔍 Contexte Publié le 30 mars 2026 par OpenSourceMalware.com, cet article constitue une rétrospective complète de la campagne supply chain orchestrée par TeamPCP en mars 2026. L’attaque a débuté par un incident de moindre ampleur en février 2026 et s’est transformée en la compromission en cascade de cinq écosystèmes majeurs en l’espace de cinq jours. 🎭 Acteur de la menace TeamPCP (alias DeadCatx3, PCPcat, ShellForce) est un groupe à motivation financière, spécialisé dans les environnements cloud-native. Il est lié à l’opération de ransomware CipherForce et entretient des liens de coordination confirmés avec LAPSUS$, selon le CTO de Mandiant Charles Carmakal lors de la RSA Conference. Le groupe est suivi par Aikido Security, Socket, Wiz, Flare et d’autres. ...

📌 Contexte Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de son SDK Python sur PyPI, survenue le 27 mars 2026. Cet incident s’inscrit dans une campagne supply chain multi-semaines ayant également ciblé Trivy (19 mars 2026), LiteLLM (24 mars 2026) et Checkmarx. 🎯 Déroulement de l’incident Deux versions non autorisées du package telnyx ont été publiées sur PyPI : telnyx==4.87.1 : publiée à 03:51:28 UTC le 27 mars 2026 telnyx==4.87.2 : publiée peu après Les deux versions contenaient du code malveillant. Elles ont été mises en quarantaine à 10:13 UTC le même jour, soit environ 6h22 après la première publication. Les deux packages ont depuis été retirés de PyPI. ...

🗓️ Contexte Publié le 28 mars 2026 par BleepingComputer, cet article rapporte une attaque de la chaîne d’approvisionnement ciblant le package PyPI officiel Telnyx SDK, détecté par les firmes Aikido, Socket et Endor Labs, et attribué au groupe TeamPCP. 🎯 Déroulement de l’attaque Les attaquants ont compromis le compte de publication PyPI de Telnyx via des credentials volés Version 4.87.1 publiée à 03:51 UTC avec un payload malveillant non fonctionnel Version 4.87.2 publiée à 04:07 UTC avec le payload corrigé et opérationnel Le code malveillant est injecté dans telnyx/_client.py, s’exécutant automatiquement à l’import du module 🦠 Comportement du malware Sur Linux/macOS : ...