Supply Chain

Selon ENISA (Agence de l’Union européenne pour la cybersécurité), ce document v1.1 publié en mars 2026 fournit un avis technique pour sécuriser la consommation de paquets dans les écosystèmes logiciels (npm, pip, Maven, etc.), en couvrant les risques, les menaces supply chain et des recommandations opérationnelles pour les développeurs. • Panorama des risques et du contexte Le guide distingue deux grandes familles de risques: vulnérabilités inhérentes aux paquets (mauvaises pratiques de codage, projets abandonnés) et attaques de la supply chain (insertion de paquets malveillants, compromission de paquets légitimes, typosquatting, namespace/dependency confusion). Il illustre l’ampleur potentielle via des exemples concrets (ex.: incident npm touchant des paquets à très fort volume de téléchargements; vulnérabilité critique React CVE-2025-55182) et rappelle l’effet de cascade sur des millions de projets. • Menaces supply chain mises en avant ⚠️ ...

Source: blog d’adnanthekhan (3 mars 2026). Contexte: découverte en décembre 2025 d’une mauvaise configuration GitHub Actions dans le dépôt angular/dev-infra, exploitée pour montrer une escalade via empoisonnement du cache jusqu’à un scénario plausible de compromis de supply chain d’Angular. Google a corrigé la vulnérabilité et indique qu’il n’existe plus de risque pour les utilisateurs d’Angular. – Le point de départ est un workflow “Worklow Testing” déclenché par pull_request_target utilisant la variable ${{ github.head_ref }} dans une commande shell, permettant une injection via le nom de branche. Bien que le GITHUB_TOKEN fût en lecture seule et sans secrets, l’auteur a recherché un pivot via GitHub Actions Cache Poisoning. ...

Source: Wiki du projet LineageOS for microG (GitHub), mise à jour par l’équipe de maintenance; annonce initiale autour du 8 décembre 2025, clôture indiquée le 15 février 2026. — L’incident porte sur une exposition de clés privées du projet dans un dépôt git public depuis janvier 2025. Deux types de clés ont été compromis: une clé rsync utilisée pour uploader les artefacts de build vers le serveur de téléchargement/OTA, et des clés de signature de builds (LineageOS for microG « L4M » et builds non officiels LOS; ainsi que des builds non officiels IodéOS pour Sony et autres appareils; les builds non officiels pour Google Pixel sur une autre machine n’étaient pas signés avec ces clés). ...

Selon GBHackers Security, de graves vulnérabilités touchent quatre extensions populaires de Visual Studio Code (VS Code), avec un impact sur plus de 128 millions de téléchargements. L’article précise que ces failles incluent trois vulnérabilités référencées: CVE-2025-65715, CVE-2025-65716 et CVE-2025-65717. ⚠️ Elles mettent en lumière les IDE comme maillon faible de la sécurité de la chaîne d’approvisionnement logicielle. Vulnérabilités identifiées CVE Extension Score CVSS Type de vulnérabilité Versions affectées CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux Toutes versions CVE-2025-65715 Code Runner 7.8 Exécution de code à distance (RCE) Toutes versions CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution JavaScript menant à exfiltration de données Toutes versions N/A Microsoft Live Preview N/A XSS permettant accès aux fichiers IDE < 0.4.16 Le texte souligne que les développeurs stockent fréquemment des données sensibles directement dans l’IDE, telles que des clés API, de la logique métier, des configurations de base de données et parfois des informations clients, ce qui accroît les risques en cas d’exploitation. ...

Source et contexte : Dark Reading (article de Robert Lemos, 20 fév. 2026) rapporte les leçons de deux années de recherches menées par Hillai Ben Sasson et Dan Segev (Wiz) sur les failles de l’infrastructure IA, avec une présentation prévue à RSAC en mars. Leur message clé : se concentrer sur les vulnérabilités d’infrastructure plutôt que sur le seul prompt injection, alors que de nouveaux services (ex. MCP) arrivent avec de nombreuses failles sous-jacentes. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 10 février 2026. Contexte : analyse approfondie des menaces actuelles visant la base industrielle de défense (DIB) avec un focus sur l’Ukraine, les technologies UAS/drone, l’exploitation des processus RH, l’espionnage chinois via appareils périmétriques, et l’impact du cybercrime/hacktivisme sur la supply chain. • Panorama des menaces 🛡️ Le GTIG observe quatre axes majeurs : Ciblage russe d’entités déployant des technologies sur le champ de bataille (notamment UAS/drones), incluant militaires, sous-traitants et individus. Exploitation des employés/RH à l’échelle mondiale (faux portails de recrutement, offres d’emploi, piratage de mails personnels, IT workers nord‑coréens). Prépondérance par volume d’intrusions Chine‑nexus, avec exploitation de 0‑days sur équipements de bordure (VPN, firewalls, routeurs) et usage de réseaux ORB pour la reconnaissance. Risque supply chain accru : ransomware, hack‑and‑leak, DDoS et fuites ciblant la fabrication industrielle, incluant composants à double usage. • Russie et front ukrainien ⚔️🛰️ Des clusters russes ciblent applications chiffrées (Signal/Telegram/WhatsApp), systèmes de gestion de champ de bataille (Delta, Kropyva) et unités drones : ...

Source: Stormshield (Customer Security Lab). Dans une note publiée le 9 février 2026, l’équipe CTI prolonge l’analyse de Trend Micro (22 janvier 2026) sur l’attaque de la chaîne d’approvisionnement d’EmEditor couplée à un rare watering hole ciblant ses utilisateurs, et met en évidence la poursuite des activités malveillantes. Constats d’infrastructure: plusieurs domaines typosquattés démarrant par « emed » et en .com (ex. emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com) sont enregistrés le 22/12/2025 via NameSilo LLC, avec des NS chez ns1/2/3.dnsowl[.]com. Des changements de résolution DNS sont observés au 06/02/2026, notamment vers 5[.]101.82.118, 5[.]101.82.159 et 46[.]28.70.245 (selon les domaines). ...

Source : Socket (blog de recherche sécurité), 6 février 2026. Le Threat Research Team de Socket décrit une compromission de mainteneur ayant permis la publication de versions malveillantes des clients dYdX v4 sur npm et PyPI, détectées le 27 janvier 2026 et signalées à dYdX le 28 janvier (reconnaissance publique le même jour). • Écosystèmes touchés et vecteurs: des versions spécifiques des paquets dYdX ont été modifiées pour intégrer du code malveillant au cœur des fichiers (registry.ts/js, account.py). Le code exfiltre des seed phrases et des empreintes d’appareil vers un domaine typosquatté (dydx[.]priceoracle[.]site), imitant le service légitime dydx[.]xyz. Le mode opératoire et la connaissance interne du projet suggèrent une compromission de compte développeur. ...

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystème des « skills » ClawdBot/Moltbot, avec des paquets publiés sur ClawHub et GitHub entre fin janvier et début février 2026. – Des dizaines puis des centaines de « skills » thématisés crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingénierie sociale sophistiquée (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur à télécharger et exécuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliqués, avec une première salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 février. ...

Selon Trend Micro (US), une attaque de type watering hole a compromis la page de téléchargement d’EmEditor fin 2025 afin de distribuer un installeur MSI modifié qui déploie un malware multi‑étapes. • Contexte et cible. EmEditor, éditeur de texte populaire (notamment au sein des communautés de développeurs japonaises), a publié un avis de sécurité fin décembre 2025 signalant la compromission de sa page de téléchargement. L’objectif des attaquants: diffuser un installeur altéré déclenchant discrètement une chaîne d’infection post‑installation, augmentant la dwell time et les risques de perturbation opérationnelle. ...