Les incidents réels sont la meilleure preuve qu'une exigence de sécurité sert à quelque chose. Cette page rassemble des compromissions documentées de la chaîne logicielle, curées en français et rattachées aux exigences SOCLE qui les auraient prévenus, détectés ou contenus. Toutes les attaques ne s'« évitent » pas : un contrôle réduit la probabilité, en limite l'impact, ou accélère la détection. Chaque cas indique l'étape de la chaîne touchée, les vecteurs mis en jeu et où aller pour la contre-mesure.
169incidents réels documentés
Critique · 92Élevé · 69Moyen · 4Faible · 4
Cliquez une étape pour filtrer le catalogue. La hauteur de chaque pilier reflète le nombre d'incidents observés à ce maillon.
Les grands schémas d'attaque
Au-delà des cas individuels, cinq motifs reviennent sans cesse. Les reconnaître, c'est anticiper la classe d'attaque plutôt que courir derrière chaque incident.
Compromission de dépendancesInjection de code dans une lib légitime largement consommée.
Dependency confusionUn paquet public usurpe le nom d'un paquet interne privé.
TyposquattingUn nom de paquet proche piège le développeur distrait.
Account takeover mainteneurPrise de contrôle d'un compte de publication légitime.
Compromission du buildLe pipeline CI injecte la charge entre source saine et artefact.
Catalogue des incidents
Élevé Registres IntégrationReleaseDéploiement 2026
AUR - campagne Atomic Arch
Plus de 400 paquets de l'Arch User Repository (AUR) détournés : des mainteneurs compromis publient des versions malveillantes en masse.
Élevé Registres Release 2026
Microsoft durabletask (PyPI)
Paquet PyPI durabletask de Microsoft compromis dans une attaque de supply chain.
Critique Registres OrchestrationPoste de travailSourceIntégrationReleaseSecrets 2026
gpt-pilot / Pythagora-io (Shai-Hulud)
Le dépôt GitHub gpt-pilot (Pythagora-io) compromis par le voleur de credentials Shai-Hulud ; charge bloquee par un linter Python.
Critique Registres OrchestrationReleaseSecrets 2026
Miasma (Microsoft, agents IA)
Le ver Miasma frappe à nouveau Microsoft : une Azure Functions Action et 72 autres dépôts désactivés après une attaque de supply chain visant les agents de codage IA.
Critique Build & CI OrchestrationSourceIntégrationReleaseFournisseursSecrets 2026
Miasma (ver via GitHub Actions)
Ver auto-propageant via GitHub Actions ciblant les agents de codage IA ; des dizaines de dépôts désactivés après compromission.
Critique Registres Poste de travailIntégrationReleaseFournisseurs 2026
Nx Console (extension VS Code)
Extension VS Code populaire compromise, distribuant du code malveillant aux développeurs via la marketplace.
Élevé Registres Release 2026
Multiple redhat-cloud-services npm Packages compromised
Plusieurs paquets npm redhat-cloud-services compromis.
Élevé Release Poste de travailSourceIntégrationReleaseSecrets 2026
Laravel-Lang (tags Composer réécrits)
Laravel-Lang : tous les tags de plusieurs paquets Composer réécrits pour voler les secrets CI.
Élevé Build & CI Poste de travailSourceIntégrationSecrets 2026
Megalodon (5 500+ dépôts)
Megalodon : exfiltration massive de secrets GitHub Actions sur plus de 5 500 dépôts publics.
Critique Registres OrchestrationPoste de travailSourceIntégrationReleaseSecrets 2026
Shai-Hulud (écosystème AntV)
Nouvelle vague du ver Shai-Hulud frappant l'écosystème npm AntV : vol de credentials puis republication automatique en chaîne.
Élevé Build & CI Poste de travailSourceIntégrationPackagingReleaseDéploiementSecrets 2026
actions-cool/issues-helper (GitHub Action)
Action GitHub compromise : tous les tags repointés vers un commit imposteur qui exfiltre les credentials CI/CD, sans publier de paquet.
Élevé Registres Release 2026
node-ipc (npm)
Versions malveillantes de node-ipc publiées sur npm.
Critique Registres OrchestrationReleaseSecrets 2026
Mini Shai-Hulud de TeamPCP (TanStack)
Le Mini Shai-Hulud de TeamPCP revient : un ver auto-propageant compromet des paquets npm TanStack.
Critique Build & CI OrchestrationPoste de travailSourceIntégrationReleaseDéploiementFournisseursIA 2026
elementary-data (PyPI + GHCR)
Release forgée poussée via une injection de script dans un workflow GitHub Actions ; artefacts piégés publiés sur PyPI et GHCR.
Élevé Registres Poste de travailSourceIntégrationReleaseSecrets 2026
Bitwarden CLI (npm)
Paquet npm de la CLI Bitwarden détourné : voleur de credentials ciblant les développeurs, les GitHub Actions et les outils IA.
Critique Registres OrchestrationPoste de travailSourceIntégrationReleaseSecrets 2026
Shai-Hulud - intercom-client (multi-cloud)
Le ver Shai-Hulud pivote vers le multi-cloud : intercom-client@7.0.4 détourné (361 000 téléchargements/semaine), vol de credentials AWS, GCP et Azure.
Élevé Release Poste de travailSourceIntégrationSecrets 2026
lightning (wheel PyPI)
lightning : voleur de credentials JavaScript obfusqué, embarque dans un wheel PyPI.
Critique Registres OrchestrationReleaseSecrets 2026
Mini Shai-Hulud (npm SAP)
Mini Shai-Hulud : charges Bun obfusquées frappant des paquets npm liés à SAP.
Élevé Release Poste de travailSourceIntégrationSecrets 2026
TeamPCP - xinference (PyPI)
TeamPCP injecté un voleur de credentials en deux étapes dans le paquet PyPI xinference.
Élevé Release Poste de travailSourceIntégrationReleaseSecrets 2026
CanisterSprawl - pgserve (npm)
CanisterSprawl : pgserve compromis sur npm, des versions malveillantes récoltent et exfiltrent des credentials.
Élevé Registres Release 2026
@velora-dex/sdk (npm, backdoor macOS)
@velora-dex/sdk compromis sur npm : une version malveillante déposé une porte dérobée macOS via persistance launchctl.
Élevé Registres Release 2026
axios (npm, RAT)
axios compromis sur npm : des versions malveillantes déposent un cheval de Troie d'accès distant (RAT).
Élevé Build & CI Intégration 2026
hackerbot-claw (GitHub Actions, IA)
hackerbot-claw : un bot pilote par IA exploité activement des GitHub Actions ; projets Microsoft, DataDog et CNCF touches.
Élevé Registres Release 2026
Cline (cline@2.3.0)
Attaque de supply chain sur Cline : cline@2.3.0 installe silencieusement OpenClaw.
Élevé Registres Poste de travailRelease 2026
Extensions VS Code IoliteLabs
Extensions VS Code IoliteLabs malveillantes visant les développeurs Solidity (Windows, macOS, Linux) avec une porte dérobée.
Élevé Release Poste de travailSourceIntégrationSecrets 2026
TeamPCP - telnyx (stéganographie WAV)
TeamPCP cache un voleur de credentials par stéganographie WAV dans le paquet PyPI telnyx.
Élevé Release Poste de travailSourceIntégrationSecrets 2026
litellm: Credential Stealer Hidden in PyPI Wheel
litellm : voleur de credentials cache dans un wheel PyPI.
Élevé Build & CI IntégrationRelease 2026
Checkmarx KICS (GitHub Action)
Action GitHub Checkmarx KICS compromise : malware injecté dans tous les tags Git.
Critique Registres OrchestrationReleaseSecrets 2026
CanisterWorm (ver npm)
CanisterWorm : ver npm auto-propageant diffusant des portes dérobées dans l'écosystème.
Élevé Build & CI IntégrationRelease 2026
Trivy (2e compromission)
Trivy compromis une seconde fois : release v0.69.4 malveillante et actions GitHub aquasecurity/setup-trivy et trivy-action piégées.
Élevé Release Poste de travailSourceIntégrationReleaseSecrets 2026
bittensor-wallet 4.0.2 (PyPI)
bittensor-wallet 4.0.2 compromis sur PyPI : la porte dérobée exfiltre des clés privées.
Élevé Registres Release 2026
Paquets React Native compromis (npm)
Releases npm malveillantes dans des paquets React Native populaires (plus de 130 000 téléchargements/mois compromis).
Élevé Registres Poste de travailRelease 2026
Bot Polymarket (dev-protocol détourné)
Un bot Polymarket malveillant se cache dans l'organisation GitHub dev-protocol détournée et vole des clés de portefeuille.
Élevé Registres Release 2026
ForceMemo (dépôts Python GitHub)
ForceMemo : des centaines de dépôts Python GitHub compromis par prise de contrôle de compte et force-push.
Élevé Build & CI IntégrationRelease 2026
xygeni-action (empoisonnement de tag)
Action xygeni compromise : porte dérobée reverse shell C2 injectée par empoisonnement de tag.
Élevé Registres Release 2026
kubernetes-el (pwn request Emacs)
kubernetes-el compromis : une pwn request exploité un paquet Emacs populaire.
Élevé Registres Release 2026
20+ paquets npm compromis (Chalk, Debug…)
Plus de 20 paquets npm populaires compromis (Chalk, Debug, Strip-ANSI, Color-Convert, Wrap-ANSI...).
Élevé Registres Release 2026
Another npm Supply Chain Attack: The 'is' Package Compromise
Nouvelle attaque npm : compromission du paquet 'is'.
Critique Registres OrchestrationReleaseSecrets 2025
Sha1-Hulud (2e vague)
Sha1-Hulud, deuxième vague : Zapier, ENS Domains et d'autres paquets npm en vue compromis.
Critique Registres OrchestrationPoste de travailSourceIntégrationReleaseSecrets 2025
Shai-Hulud (ver npm auto-propageant)
Ver npm auto-replicant ayant compromis plus de 500 paquets : il vole les credentials des machines infectées puis republié automatiquement des paquets piégés, se propageant de proche en proche.
Élevé Registres Release 2025
s1ngularity (Nx)
s1ngularity : le paquet du système de build Nx compromis par un malware voleur de données.
Élevé Build & CI Poste de travailSourceIntégrationSecrets 2025
GhostAction (3 000+ secrets volés)
Campagne GhostAction : plus de 3 000 secrets volés via des workflows GitHub malveillants.
Élevé Build & CI Intégration 2025
AWS GitHub Action (mouvement de tag suspect)
Mouvement de tag suspect sur une GitHub Action d'AWS.
Critique Build & CI OrchestrationPoste de travailSourceIntégrationReleaseSecrets 2025
tj-actions/changed-files (GitHub Action)
Action GitHub très utilisée compromise : un commit pousse sur tous les tags exfiltre les secrets CI/CD dans les journaux de build des dépôts qui l'utilisent.
Élevé Registres Poste de travailSourceIntégrationReleaseDéploiementSecrets 2024
@solana/web3.js
Compte avec accès de publication compromis ; versions malveillantes publiées avec une porte dérobée exfiltrant clés privées et adresses de portefeuille.
Élevé Registres SourceIntégrationPackagingReleaseFournisseursVulnérabilités 2024
polyfill.io
Le domaine polyfill.io racheté sert du code malveillant via le CDN à des centaines de milliers de sites qui l'incluaient.
Critique Source GouvernanceSourceIntégrationPackagingFournisseursVulnérabilités 2024
XZ Utils / liblzma backdoor
Porte dérobée introduite dans xz par un mainteneur infiltré de longue date ; cible l'authentification SSH ; persistante dans les images de base héritées.
Élevé Dépendances Poste de travailSourceIntégrationFournisseursSecrets 2024
warbeast2000 / kodiak2k (npm)
Paquets npm exfiltrant des données en utilisant des GitHub gists comme canal de commande et de contrôle.
Moyen Source OrchestrationPoste de travailSourceIntégrationIA 2023
Faux Dependabot
Faux commits attribués à Dependabot injectant du code malveillant en se faisant passer pour le bot de GitHub.
Faible Release Poste de travailCloud 2023
Retool - contournement MFA par SMS
Phishing par SMS et ingénierie sociale conduisant à contourner une MFA basée SMS et à accéder à des comptes clients.
Critique Registres OrchestrationIntégrationReleaseFournisseursSecrets 2023
mathjs-min (npm)
Bibliothèque mathjs modifiée et publiée sur npm sous le nom mathjs-min, embarquant un voleur de jetons Discord.
Critique Release Sécurité applicative 2023
MOVEit Transfer (injection SQL)
Une injection SQL dans MOVEit Transfer est exploitée en masse par le groupe Cl0p pour exfiltrer les données de centaines d'organisations.
Élevé Registres Release 2023
Packagist - prise de contrôle de comptes
Prise de contrôle de comptes de mainteneurs sur Packagist.org (registre Composer/PHP).
Critique Release Sécurité applicative 2023
GoAnywhere MFT (désérialisation)
Une désérialisation non sécurisée dans GoAnywhere MFT permet l'exécution de code à distance, exploitée par le groupe Cl0p pour des vols de données massifs.
Élevé Source OrchestrationSource 2022
Okta - dépôts GitHub privés
Dépôts GitHub privés d'Okta compromis et code source copié par l'attaquant.
Élevé Source OrchestrationPoste de travailSourceReleaseDéploiementSecretsCloud 2022
Dropbox - phishing CircleCI
Des employés Dropbox ciblés par un phishing imitant CircleCI ; les identifiants volés donnent accès à une organisation GitHub.
Élevé Source OrchestrationSource 2022
Auth0 - fuite de code source
Archives du dépôt source d'Auth0 (Okta) de 2020-2021 exfiltrées par un tiers.
Moyen Dépendances Poste de travailIntégrationFournisseurs 2022
PyPI - vague de paquets malveillants
Vague de paquets PyPI malveillants (exfiltration, portes dérobées) publiés sur le registre public.
Critique Packaging OrchestrationIntégrationPackagingReleaseFournisseurs 2022
Docker Hub - images malveillantes
Vague d'images de conteneurs malveillantes publiées sur Docker Hub (cryptomineurs, portes dérobées).
Critique Release Sécurité applicative 2022
Atlassian Confluence (injection OGNL)
Une injection OGNL dans Atlassian Confluence permet l'exécution de code à distance sans authentification, exploitée dès sa divulgation.
Élevé Registres Poste de travailIntégrationReleaseFournisseurs 2022
ctx (PyPI) & phpass (Packagist)
Comptes de mainteneurs expirés puis repris par un tiers, qui publié des versions malveillantes exfiltrant des variables d'environnement.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2022
Saicoo CAC Reader Driver Website
VirusTotal signale que les pilotes Saicoo sont détectés comme malveillants par 43 outils.
Élevé Registres Release 2022
PEAR (PHP) - compromission
Compromission de PEAR via une logique de réinitialisation de mot de passe défaillante et une CVE non corrigée.
Critique Release Sécurité applicativeIntégration 2022
Spring4Shell
Une vulnérabilité d'exécution de code à distance dans Spring Framework, via la liaison de données vers des propriétés sensibles, touche les applications Java exposées.
Critique Source GouvernanceSourceIntégrationPackagingFournisseursVulnérabilités 2022
node-ipc (peacenotwar)
Le mainteneur introduit du code (protestware) qui, selon la géolocalisation IP, écrase des fichiers : un wiper conditionnel dans une dépendance populaire.
Moyen Source GouvernanceSourceIntégrationPackagingFournisseursVulnérabilités 2022
colors / faker (npm) - sabotage
Le mainteneur sabote volontairement ses propres bibliothèques (boucle infinie / sortie corrompue), cassant de nombreux projets en aval.
Critique Build & CI Orchestration 2022
npm
Le mainteneur du paquet npm colors introduit volontairement un commit malveillant (boucle infinie).
Critique Release Sécurité applicativeIntégration 2021
Log4Shell (Log4j)
Une résolution JNDI dans la bibliothèque de journalisation Log4j permet l'exécution de code à distance à partir d'une simple chaîne journalisée. Dépendance ubiquitaire, impact planétaire.
Critique Build & CI Orchestration 2021
npm
De nombreux paquets npm contenant des scripts jQuery conçus pour voler des données de formulaire.
Élevé Registres IntégrationReleaseDéploiement 2021
coa & rc (npm)
Comptes de développeurs de paquets npm populaires (coa, rc) compromis ; versions malveillantes publiées.
Élevé Source OrchestrationSourceRelease 2021
npm
La bibliothèque npm populaire 'coa' détournée pour distribuer du code malveillant.
Élevé Registres IntégrationReleaseDéploiement 2021
ua-parser-js (npm)
Compte npm du mainteneur détourné ; versions malveillantes publiées, installant un cryptomineur et un voleur d'identifiants.
Élevé Source OrchestrationSourceRelease 2021
npm
Trois versions malveillantes de la bibliothèque UA-Parser-JS publiées.
Élevé Release OrchestrationPoste de travailSourceIntégrationReleaseSecrets 2021
Travis CI - fuite de secrets
Fuite de secrets via Travis CI : des variables sensibles de dépôts publics exposées dans les journaux de build.
Critique Build & CI Orchestration 2021
Travis CI
Une vulnérabilité de Travis CI exposait des variables sécurisées (clés de signature, identifiants, jetons API).
Élevé Source OrchestrationSource 2021
WordPress
Vaste attaque de supply chain : 93 thèmes et plugins WordPress compromis avec une porte dérobée.
Critique Build & CI Orchestration 2021
Kaseya VSA
Attaque de supply chain par rançongiciel exploitant une vulnérabilité du VSA de Kaseya.
Faible Dépendances Intégration 2021
Repojacking (confusion de dépôt)
Attaques de confusion de dépôt : reprise de namespaces de dépôts abandonnés ou renommés pour servir du code malveillant.
Critique Registres OrchestrationPoste de travailSourceIntégrationReleaseFournisseursSecrets 2021
Codecov Bash Uploader
Script Bash uploader de Codecov altéré après accès non autorisé : il exfiltrait les variables d'environnement (secrets) des pipelines CI qui l'exécutaient.
Élevé Source OrchestrationSource 2021
PHP
Deux commits malveillants poussés sur php-src introduisent une porte dérobée dans PHP.
Critique Release Sécurité applicative 2021
Microsoft Exchange ProxyLogon
Une chaîne de vulnérabilités dans Microsoft Exchange, amorcée par une SSRF pré-authentification (ProxyLogon), permet l'exécution de code et la prise de contrôle de serveurs de messagerie, exploitée massivement.
Critique Build & CI Orchestration 2021
npm, PyPi, pip
Plus de 5 100 paquets de confusion de dépendances publiés sur npm et PyPI par le compte RemindSupply.
Critique Build & CI Orchestration 2021
Qentinel Pace
Trois bibliothèques de Qentinel Pace créées par un compte inconnu dans le gestionnaire de paquets (confusion).
Faible Dépendances Intégration 2021
Dependency confusion (A. Birsan)
Des noms de paquets internes résolus vers le registre public permettent de substituer une dépendance attaquante ; démontré chez des dizaines de grandes entreprises.
Critique Build & CI Orchestration 2021
npm
Sonatype identifié plus de 700 paquets de confusion de dépendances sur npm, certains exfiltrant des données.
Critique Registres IntégrationReleaseFournisseurs 2020
The Great Suspender (extension Chrome)
Extension Chrome populaire (plus de 2 millions d'utilisateurs) passée sous contrôle malveillant après rachat, poussant du code non sollicité.
Critique Build & CI OrchestrationIntégrationPackagingReleaseDéploiementFournisseurs 2020
SolarWinds / SUNBURST
Système de build de SolarWinds Orion compromis : une porte dérobée est injectée dans le build et distribuée, signée, à des milliers de clients.
Élevé Registres Release 2020
npm
Le composant npm discord.dll mené des activités malveillantes difficiles a repérer.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2020
Android Handsets
Malwarebytes trouve un autre modèle avec malware préinstallé (programme Lifeline).
Élevé Build & CI OrchestrationPoste de travailSourceIntégration 2020
Octopus Scanner
Malware se propageant via des projets NetBeans sur GitHub : il s'injecté au build pour contaminer les artefacts produits.
Critique Registres IntégrationReleaseFournisseurs 2020
Golden Tax
Le malware GoldenSpy installe via le logiciel fiscal chinois obligatoire Golden Tax (Aisino).
Critique Build & CI Orchestration 2020
Github
GitHub hebergeait le malware Octopus Scanner, conçu pour backdoorer les projets NetBeans.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2019
CDATA OLT
Plusieurs modèles OLT de CDATA présentent des vulnérabilités firmware permettant un accès distant.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2019
Android Handsets
Un opérateur mobile finance par l'État (programme Lifeline) vend un appareil avec malware préinstallé.
Critique Registres IntégrationReleaseFournisseurs 2019
CCleaner
Avast signale que des attaquants ont accède à son réseau interne via un compte VPN temporaire.
Critique Build & CI OrchestrationIntégrationPackagingReleaseFournisseurs 2019
Webmin backdoor
Serveur de build de Webmin exploité : une porte dérobée est ajoutée à un script, présente uniquement dans les paquets distribués.
Élevé Registres Release 2019
RubyGems.org
Le compte RubyGems du créateur de rest-client compromis, charge malveillant ajoute à une nouvelle version.
Faible Release Sécurité applicative 2019
Capital One (SSRF)
Une attaquante exploite une mauvaise configuration applicative (SSRF vers le service de métadonnées cloud) pour exfiltrer les données de plus de 100 millions de clients depuis un stockage objet.
Moyen Dépendances Poste de travailIntégrationFournisseurs 2019
PyPI typosquatting (libpeshnx)
Paquets PyPI par typosquatting (libpeshnx et apparentés) contenant du code malveillant exécuté à l'installation.
Critique Build & CI OrchestrationSourceRelease 2019
Canonical
Un compte GitHub de Canonical aux identifiants compromis utilise pour créer dépôts et issues.
Élevé Registres Release 2019
JavaScript
Un ancien mainteneur de l'installeur PureScript inséré du code malveillant dans ses dépendances npm.
Élevé Registres Release 2019
RubyGems.org
Le compte RubyGems du créateur de strong_password compromis, charge malveillant ajoute à une nouvelle version.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2019
Android Handsets
Des criminels parviennent a préinstaller une porte dérobée avancée sur des appareils Android en usine.
Élevé Registres SourceIntégrationPackagingReleaseFournisseursVulnérabilités 2019
electron-native-notify (npm)
Dépendance npm malveillante introduite pour voler des portefeuilles de cryptomonnaie via une application ciblée ; détectée par l'équipe sécurité npm.
Critique Build & CI Orchestration 2019
ROS build farm
Machine hébergeant la build farm ROS compromise via une vulnérabilité, exposant la chaîne de build à la falsification.
Critique Registres IntégrationReleaseFournisseurs 2019
Pale Moon
Un acteur malveillant accède au serveur d'archives Pale Moon et infecté tous les exécutables archives.
Critique Registres IntégrationReleaseFournisseurs 2019
JavaScript
Un sceau de sécurité vendu en ligne contenait deux enregistreurs de frappe distincts.
Critique Registres IntégrationReleaseFournisseurs 2019
PrismWeb JavaScript
Des boutiques en ligne PrismWeb infectées par un malware de vol de cartes.
Élevé Registres Release 2019
RubyGems.org
Une version malveillante du paquet bootstrap-sass publiée sur RubyGems.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2019
ASUS ShadowHammer
Serveurs de mise à jour d'ASUS compromis : un installeur légitime signé est trojanisé et distribué à un large parc.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2019
Android Handsets
Secure-D bloque des millions de requêtes d'abonnement suspectes venant d'appareils bas de gamme Transsion.
Critique Registres IntégrationReleaseFournisseurs 2019
jxplorer
Une version malveillante de l'installeur Linux jxplorer publiée sur un dépôt GitHub d'apparence légitime.
Élevé Source OrchestrationSource 2019
Linux
Des chercheurs soumettent du code volontairement défectueux au noyau Linux dans le cadre d'une étude.
Critique Registres IntégrationReleaseFournisseurs 2019
Adverline JavaScript
Malware MageCart injecté chez la régie publicitaire française Adverline.
Élevé Dépendances GouvernancePoste de travailSourceIntégrationPackagingFournisseursVulnérabilités 2018
event-stream (npm)
Paquet npm très populaire cédé par son mainteneur à un tiers, qui y ajoute une dépendance malveillante volant des portefeuilles Bitcoin (Copay).
Critique Build & CI Orchestration 2018
Visual Studio
Malware intégré au code d'applications légitimes récemment compilées, via un outil de build trojanisé.
Élevé Registres Release 2018
npm
Un développeur malveillant modifié event-stream pour dependre du paquet malveillant flatmap-stream.
Élevé Registres Release 2018
Web hosting site
Le malware d'écrémage de cartes MagentoCore ajoute a 7 339 boutiques Magento.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2018
USB Stick
Moniteur de batterie Schneider Electric livre avec une clé USB infectée.
Élevé Registres Release 2018
Mozilla Add-Ons
Mozilla retiré 23 extensions malveillantes espionnant les utilisateurs (dont Web Security).
Critique Release IntégrationReleaseFournisseurs 2018
South Korean remote support solutions provider
Le serveur de mise à jour d'un fournisseur de support à distance compromis pour livrer un outil d'accès distant.
Élevé Registres OrchestrationSourceReleaseDéploiementSecretsCloud 2018
eslint-scope (npm)
Compte npm d'un mainteneur compromis ; version malveillante publiée, exfiltrant les jetons npm des machines qui l'installaient.
Élevé Registres Release 2018
npm
Compte npm d'un mainteneur ESLint compromis, versions malveillantes d'eslint-scope publiées (vol de jetons npm).
Élevé Source OrchestrationSourceRelease 2018
Gentoo
Une entité prend le contrôle d'un compte admin de l'organisation GitHub Gentoo et en retiré les accès.
Critique Registres IntégrationReleaseFournisseurs 2018
IBM Storwize
L'outil d'initialisation IBM Storwize livre avec du code malveillant.
Élevé Registres Release 2018
Arch Linux
Malware découvert dans au moins trois paquets Arch Linux orphelins disponibles sur l'AUR.
Critique Build & CI Orchestration 2018
VestaCP
Un attaquant injecté du code de journalisation et d'exfiltration de credentials dans les scripts d'installation VestaCP.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2018
Android Handsets
Un groupe criminel infecté le firmware Android avec Cosiloon (141 modèles bas de gamme).
Élevé Registres Release 2018
PyPI
Les versions 0.28 a 0.31 du paquet PyPI ssh-decorate capturaient et exfiltraient des identifiants SSH.
Critique Release Sécurité applicative 2018
Drupalgeddon2
Une vulnérabilité d'exécution de code à distance dans le cœur de Drupal, due à une validation d'entrée insuffisante, permet la prise de contrôle massive des sites non corrigés.
Critique Registres IntégrationReleaseFournisseurs 2018
MediaGet
Campagne d'empoisonnement de mise à jour installant une version trojanisée de Mediaget.
Élevé Source OrchestrationSource 2017
Bitcoin Gold
Une version backdooree d'un portefeuille Bitcoin plantée via un accès au dépôt GitHub.
Critique Registres IntégrationReleaseFournisseurs 2017
Folx and Elmedia Player
Les installeurs Folx et Elmedia Player distribués avec un malware depuis le serveur officiel.
Critique Release Sécurité applicativeIntégration 2017
Equifax (Apache Struts)
La compromission d'Equifax (147 millions de personnes) exploite une exécution de code à distance dans Apache Struts (OGNL), connue et corrigée en amont mais laissée non patchée faute de gestion des composants vulnérables.
Critique Build & CI OrchestrationIntégrationReleaseFournisseurs 2017
CCleaner
Postes de développeurs compromis pour intégrer ShadowPad au build de CCleaner, distribue largement.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2017
Android Handsets
Un programme malveillant intégré au firmware de plusieurs mobiles Android (Dr.Web).
Critique Registres IntégrationReleaseFournisseurs 2017
NetSarang
Les installeurs de plusieurs produits NetSarang distribués avec la porte dérobée ShadowPad depuis le serveur officiel.
Critique Registres IntégrationReleaseFournisseurs 2017
Handbrake
HandBrake-1.0.7.dmg remplace par un fichier malveillant ne correspondant pas aux empreintes officielles.
Critique Build & CI OrchestrationSourceIntégrationReleaseFournisseurs 2017
M.E.Doc
Le logiciel comptable M.E.Doc (Ukraine) compromis, vecteur initial de NotPetya.
Critique Registres IntégrationReleaseFournisseurs 2017
Unknown
La mise à jour d'un outil d'édition compromise (peu de details disponibles).
Critique Registres IntégrationReleaseFournisseurs 2017
Ask.com Toolbar
Le logiciel Ask de nouveau détourné pour exécuter du code malveillant sur les postes.
Critique Registres OrchestrationIntégrationPackagingReleaseFournisseurs 2016
Android Handsets
Des chevaux de Troie intégrés aux firmwares de plusieurs dizaines de mobiles Android.
Critique Registres IntégrationReleaseFournisseurs 2016
Ask.com Toolbar
Le logiciel Ask détourné par un acteur malveillant pour exécuter du code sur les postes.
Critique Registres IntégrationReleaseFournisseurs 2016
Transmission
Deux installeurs Transmission v2.92 du site officiel infectés par Keydnap (certificat valide).
Critique Registres IntégrationReleaseFournisseurs 2016
Fosshub
FOSSHub compromis : l'installeur légitime de plusieurs applications remplace.
Critique Registres IntégrationReleaseFournisseurs 2016
Transmission
Deux installeurs Transmission v2.90 du site officiel infectés par le rançongiciel KeRanger (certificat valide).
Critique Registres IntégrationReleaseFournisseurs 2016
Linux Mint
Une ISO Linux Mint modifiée avec une porte dérobée, le site Mint détourné pour la distribuer.
Élevé Source OrchestrationSource 2015
ScreenOS
Code malveillant inséré dans l'OS des routeurs VPN Juniper NetScreen (accès distant).
Critique Build & CI OrchestrationSourceIntégrationReleaseFournisseurs 2015
Ceph and Inktank
Sites Ceph et Inktank piratés : des applications malveillantes Ceph/Inktank signées et distribuées.
Critique Registres IntégrationReleaseFournisseurs 2015
EvLog
Le serveur de téléchargement d'une application d'analyse de logs Windows compromis, binaire remplace.
Critique Build & CI Orchestration 2015
Xcode
XcodeGhost : premier malware de compilateur sous OS X, code malveillant injecté dans Xcode repackage.
Critique Registres IntégrationReleaseFournisseurs 2015
League of Legends and Path of Exile
Les releases officielles de deux jeux en ligne compromises, téléchargeant un malware.
Critique Release Sécurité applicative 2014
Shellshock (Bash)
Une faille d'injection de commandes dans l'interpréteur Bash permet l'exécution de code arbitraire via des variables d'environnement, exploitable notamment au travers d'interfaces CGI exposées.
Critique Registres IntégrationReleaseFournisseurs 2014
ICS-related software
Le groupe Dragonfly compromet des paquets logiciels légitimes d'équipementiers ICS.
Élevé Source OrchestrationSource 2014
Code Spaces
Code Spaces ferme après qu'un attaquant a supprime la plupart de ses machines et données clients.
Critique Release Sécurité applicativeIntégration 2014
Heartbleed (OpenSSL)
Une erreur de lecture mémoire dans la bibliothèque OpenSSL (extension Heartbeat) permet de lire à distance jusqu'à 64 Ko de mémoire serveur, exposant clés privées, identifiants et données. Une dépendance omniprésente, vulnérable et longtemps non corrigée.
Critique Registres IntégrationReleaseFournisseurs 2014
GOM Player
Le serveur de distribution de GOM Player détourné pour livrer une version malveillante du logiciel.
Critique Registres IntégrationReleaseFournisseurs 2013
SimDisk and Songsari
Les mécanismes de mise à jour des installeurs SimDisk.exe et Songsari_setup.exe compromis.
Critique Build & CI OrchestrationRelease 2013
Digital Certificate
Un tiers obtient un accès temporaire à un certificat de signature de code de Bit9.
Critique Build & CI OrchestrationRelease 2012
Digital Certificate
Adobe reçoit deux utilitaires malveillants signes avec un certificat de signature de code Adobe valide.
Critique Source OrchestrationSourceRelease 2011
Digital Certificate
Le groupe Winnti utilise des certificats volés pour signer ses malwares et dérobé du code source de sociétés de jeux.
Critique Build & CI OrchestrationIntégrationReleaseFournisseurs 2011
Linux kernel
Le serveur principal kernel.org compromis ; l'intrus obtient un accès root.
Critique Registres IntégrationReleaseFournisseurs 2011
ALZip
Des attaquants chargent un malware sur un serveur de mise à jour de l'application de compression ALZip (ESTsoft).
Critique Build & CI OrchestrationRelease 2011
DigiNotar
Brèche chez DigiNotar : émission frauduleuse de plus de 500 certificats numériques.
Élevé Registres Release 2011
Fedora
Un compte contributeur Fedora avec accès push au SCM et aux builds compromis.
Critique Registres IntégrationReleaseFournisseurs 2010
ProFTPD
Le projet open-source ProFTPD piraté : une porte dérobée plantée dans le code source.
Élevé Source OrchestrationSource 2010
Perforce
Un utilisateur cible par phishing installe un malware, donnant aux attaquants un accès complet.
Critique Registres IntégrationReleaseFournisseurs 2008
Fedora
Serveurs Fedora illégalement consultés, dont un système servant a signer les paquets Fedora.
Critique Registres IntégrationReleaseFournisseurs 2003
Gentoo
Un des serveurs de la rotation rsync.gentoo.org compromis via un exploit distant.
Aucun incidentAucun résultat pour ces filtres. Essayez d'élargir la recherche.
À retenir
Section intitulée « À retenir »Les registres et le système de build concentrent l'essentiel des compromissions. Trois contrôles couvrent la majorité de ces scénarios : l'authentification forte des mainteneurs (MFA résistante au phishing, identités courtes OIDC), la provenance vérifiable des artefacts (SLSA, Sigstore), et la quarantaine avant adoption couplée au verrouillage des versions.