Supply-Chain

🗓️ Contexte Publié le 3 mai 2026 sur BleepingComputer par Lawrence Abrams, cet article couvre deux événements liés : un faux positif massif de Microsoft Defender sur des certificats DigiCert légitimes, et la compromission réelle de l’autorité de certification DigiCert ayant conduit à l’émission frauduleuse de certificats EV de signature de code. 🚨 Faux positifs Microsoft Defender Depuis le 30 avril 2026, une mise à jour de signatures Defender (antérieure à la version 1.449.430.0) a commencé à détecter des certificats racine DigiCert légitimes présents dans le Windows trust store comme Trojan:Win32/Cerdigent.A!dha. ...

📰 Source : Security Affairs (Pierluigi Paganini) — Date : 2 mai 2026 🔓 Nature de l’incident : Trellix, éditeur de solutions de cybersécurité, a révélé avoir subi une violation de sécurité affectant une partie de son dépôt de code source. L’accès non autorisé a été détecté par la société, qui a immédiatement déclenché une investigation. 🔍 Réponse à l’incident : Trellix a engagé des experts forensiques externes et a notifié les forces de l’ordre. La société a publié une déclaration officielle confirmant l’incident. ...

🔍 Contexte Publié le 4 mai 2026 par les chercheurs Aliakbar Zahravi et Ahmed Mohamed Ibrahim de Trend Micro, cet article présente l’analyse technique complète de Quasar Linux (QLNX), un implant Linux précédemment non documenté découvert via une approche de threat hunting assistée par IA. Le malware présente un taux de détection très faible et cible spécifiquement les environnements de développement logiciel. 🎯 Cibles et objectifs QLNX est conçu pour compromettre les développeurs et équipes DevOps afin d’infiltrer la chaîne d’approvisionnement logicielle. Son module de credential harvesting cible explicitement : ...

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L’article relate une série d’incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d’attaquants distincts. 🔗 Chronologie des incidents 19 mars 2026 : Compromission du compte GitHub de Trivy, scanner de vulnérabilités open source. Le groupe TeamPCP pousse du malware vers les utilisateurs de Trivy, dont Checkmarx. Le malware cible des tokens de dépôts, clés SSH et autres credentials. 23 mars 2026 : Le compte GitHub de Checkmarx est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche. 30 mars 2026 : Date de la donnée exfiltrée et ultérieurement publiée par Lapsu$, indiquant que l’accès persistait malgré les tentatives de remédiation. 22 avril 2026 : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel Checkmarx/kics publie également des packages malveillants. Bitwarden est aussi touché : un package malveillant est distribué via npm (@bitwarden/cli@2026.4.0) entre 17h57 et 19h30 (ET). Fin avril 2026 : Lapsu$ publie des données privées de Checkmarx sur le dark web. 🎯 Victimes et vecteurs Trivy : point d’entrée initial (compte GitHub compromis) Checkmarx : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$ Bitwarden : victime de la même campagne, via le package npm @bitwarden/cli@2026.4.0 👥 Acteurs de la menace TeamPCP : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d’accès privilégiés. Lapsu$ : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP. 🔧 Infrastructure commune Selon la société Socket, le payload utilisé contre Bitwarden partage le même endpoint C2 et la même infrastructure core que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy. ...

🗓️ Contexte Le 23 avril 2026, Bitwarden a publié une déclaration officielle sur son forum communautaire concernant la compromission temporaire de son paquet npm @bitwarden/cli version 2026.4.0, survenue la veille entre 17h22 et 19h30 ET (22 avril 2026), soit une fenêtre d’exposition d’environ 93 minutes. 🔍 Déroulement de l’incident L’incident s’inscrit dans un incident de supply chain plus large impliquant Checkmarx. Selon des informations publiées sur Reddit par un membre de l’équipe Bitwarden, le vecteur initial était une extension VSCode malveillante de Checkmarx installée sur le poste d’un ingénieur Bitwarden, permettant à l’attaquant d’accéder aux credentials de publication npm. ...

🗓️ Contexte Source : SecurityWeek, article d’Eduard Kovacs publié le 28 avril 2026. Vimeo, plateforme d’hébergement vidéo, a officiellement confirmé une violation de données impliquant un prestataire tiers. 🎯 Nature de l’incident Les attaquants ont accédé à des bases de données contenant données techniques, titres de vidéos, métadonnées et adresses email de certains clients. Le vecteur d’entrée identifié est la plateforme d’analytique Anodot, utilisée en intégration avec les systèmes Vimeo. ...

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🔍 Contexte Article de recherche publié le 28 avril 2026 par Ax Sharma (Manifold Security). L’analyse porte sur 30 skills publiés sur la plateforme ClawHub par un auteur unique nommé imaflytok, totalisant environ 9 800 téléchargements. ⚙️ Mécanisme technique Les skills utilisent un protocole maison appelé Open Agent Discovery Protocol (OADP) dont tous les endpoints pointent vers onlyflies.buzz/clawswarm. Le vecteur d’infection repose sur : Un commentaire HTML caché dans un fichier AGENTS.md créé dans le workspace de l’agent au premier lancement L’agent lit ce fichier à chaque démarrage de session et envoie une requête d’enregistrement vers https://onlyflies.buzz/clawswarm/api/v1/agents/register Le serveur retourne un ID et un secret stockés dans ~/.config/clawswarm/credentials.json Un fichier HEARTBEAT.md déclenche un check-in toutes les 4 heures pour récupérer des tâches Le skill clawswarm-wallet génère une clé privée Hedera (HBAR) et l’envoie au serveur Le skill oadp-beacon propage les marqueurs OADP dans d’autres fichiers du workspace Le hostname de la machine est exfiltré lors du ping d’enregistrement 🎯 Objectif de la campagne Les skills fournissent une utilité réelle (gestion de cron, variables d’environnement, initialisation de workspace) pour passer les inspections superficielles. En réalité, ils constituent un funnel d’acquisition pour un réseau d’agents économiques centré sur le token $FLY (créé le 30 décembre 2024), avec un groupe Telegram de 32 membres publiant des rapports de suivi de baleines Hedera. ...

🗓️ Contexte Article de recherche publié par Cyera le 21 avril 2026, analysant une chaîne de compromissions supply chain impliquant les plateformes Context.ai et Vercel, attribuée au groupe cybercriminel ShinyHunters. 🔗 Chaîne d’événements Context.ai (outil d’analytics IA) subit une intrusion dans son environnement AWS Malgré une réponse sur incident activée, un token OAuth Google Workspace est compromis Ce token permet aux attaquants d’accéder latéralement à l’environnement interne de Vercel L’incident Vercel est divulgué le week-end du 19 avril 2026 💥 Impact Accès non autorisé aux systèmes internes de Vercel Exposition de données employés : noms, emails, journaux d’activité Fuite potentielle de variables d’environnement pouvant contenir des secrets opérationnels Un sous-ensemble limité de clients Vercel affecté, avec demande de rotation des credentials Impact élargi : des centaines d’organisations utilisant la même intégration OAuth potentiellement touchées 🔁 Second incident supply chain : Trivy / TeamPCP En parallèle, une compromission liée à TeamPCP exploite Aqua Security Trivy (intégré dans les pipelines CI/CD) Les outils LiteLLM (3 millions de téléchargements quotidiens) et Checkmarx sont également compromis Même pattern : compromission d’un composant central de confiance pour atteindre des victimes en aval 👤 Acteur de la menace : ShinyHunters Groupe actif depuis ~2019, spécialisé dans le vol massif de données et l’extorsion Opère via BreachForums et Telegram (annonces, preuves, menaces pay-or-leak) Annonce de la compromission Vercel publiée le 20 avril 2026 sur Telegram Vente de captures d’écran pour 25 000 Stars sur Telegram 🧩 Pattern d’attaque identifié Ciblage de couches de confiance élevée (outils IA, scanners de sécurité, fournisseurs d’identité) Exploitation des intégrations OAuth/API sur-permissionnées Mouvement latéral via des accès légitimes hérités Maintien ou rétablissement d’accès sur des périodes prolongées avant détection 📄 Nature de l’article Publication de recherche à visée CTI et commerciale (Cyera), combinant analyse d’incident, identification de pattern d’attaque et mise en avant des capacités de la plateforme Cyera pour répondre à ce type de menace. ...

🔍 Contexte Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums. 🧩 Présentation de VECT VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec : ...