SUPPLY CHAIN
Supply Chain Attacks ArticlesArticles Attaques Supply Chain
Typosquatting, package hijacking, compromised maintainers: every major supply chain incident and how to defend.
Typosquatting, détournement de packages, mainteneurs compromis : chaque incident majeur et comment se défendre.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
npm Provenance Attestations & SLSA Build Level 3 in 2026: What Mini Shai-Hulud Forged and What Would Have Stopped It
Attestations de Provenance npm & SLSA Build Level 3 en 2026 : Ce que Mini Shai-Hulud a Forgé et Ce Qui L’Aurait Arrêté
npm --provenance achieves SLSA Build Level 2, not L3. Mini Shai-Hulud (TanStack, May 11, 2026) produced cryptographically valid Sigstore attestations by hijacking the pipeline itself — OIDC token extracted from runner memory, cache poisoned, 84 malicious packages published in <6 minutes (CVE-2026-45321 CVSS 9.6). OpenSSF’s June 10 post-mortem explains the L2/L3 boundary. Complete developer guide: how to verify provenance with cosign & slsa-verifier, publish with SLSA L2, and harden your CI/CD against the exact vectors used.
npm --provenance atteint le SLSA Build Level 2, pas L3. Mini Shai-Hulud (TanStack, 11 mai 2026) a produit des attestations Sigstore cryptographiquement valides en s’emparant du pipeline lui-même — token OIDC extrait depuis la mémoire du runner, cache empoisonné, 84 packages malveillants publiés en <6 min (CVE-2026-45321 CVSS 9.6). Le post-mortem OpenSSF du 10 juin explique la frontière L2/L3. Guide développeur complet : vérifier la provenance avec cosign & slsa-verifier, publier en SLSA L2, durcir votre CI/CD contre les vecteurs exacts utilisés.
npm npmnpm Supply Chain Canary Tokens in 2026: Honey Packages, CI/CD Tripwires & Full Detection Guide
Canary Tokens Supply Chain npm en 2026 : Honey Packages, Tripwires CI/CD & Guide Complet de Détection
454K+ malicious npm packages in 2025 (Sonatype). Miasma, Phantom Gyp & TanStack attacks steal npm tokens in <6 minutes. Canary credentials in CI/CD runners alert you the moment stolen credentials are used — 267 days faster than the industry average. Full 2026 guide: Tracebit GitHub Action, hasInstallScript lockfile tripwire, Yarn Berry enableHardenedMode, OpenSSF Package Analysis & layered detection pipeline.
454K+ packages npm malveillants en 2025 (Sonatype). Les attaques Miasma, Phantom Gyp & TanStack volènt les tokens npm en <6 minutes. Les canary credentials dans les runners CI/CD vous alertent dès que les credentials volés sont utilisés — 267 jours plus vite que la moyenne industrie. Guide complet 2026 : GitHub Action Tracebit, tripwire lockfile hasInstallScript, Yarn Berry enableHardenedMode, OpenSSF Package Analysis & pipeline de détection en couches.
Guides GuidesAnsible Security Vulnerabilities in 2026: CVE-2026-11332 (Galaxy RCE), CVE-2026-6266 (Account Hijacking) & Playbook Hardening Guide
Vulnérabilités Sécurité Ansible en 2026 : CVE-2026-11332 (RCE Galaxy), CVE-2026-6266 (Détournement de Compte) & Guide Durcissement Playbook
CVE-2026-11332 (CVSS 7.8, June 5 2026): a malicious Ansible Galaxy role executes arbitrary code on your machine via argument injection in requirements.yml — before any playbook runs. CVE-2026-6266 (CVSS 8.3): Ansible Automation Platform auto-links IDP identities by email without verification, enabling full admin account hijacking. Vault best practices, no_log patterns & Galaxy supply chain hardening guide.
CVE-2026-11332 (CVSS 7.8, 5 juin 2026) : un rôle Ansible Galaxy malveillant exécute du code arbitraire sur votre machine via injection d’arguments dans requirements.yml — avant toute exécution de playbook. CVE-2026-6266 (CVSS 8.3) : Ansible Automation Platform lie automatiquement les identités IDP par email sans vérification, permettant le détournement total du compte admin. Bonnes pratiques Vault, patterns no_log & guide durcissement supply chain Galaxy.
npm npmMiasma Wave 3 in 2026: Self-Replicating Worm Hits 73 Microsoft Azure GitHub Repos — AI Coding Agents as the Attack Surface
Miasma Vague 3 en 2026 : Le Ver Auto-Réplicant Frappe 73 Dépôts GitHub Microsoft Azure — Les Agents IA comme Surface d’Attaque
June 5, 2026: Miasma’s self-replicating worm reached Microsoft — 73 Azure GitHub repositories disabled in 105 seconds. A 4.3 MB Bun payload fires automatically when developers open infected repos in Claude Code, Gemini CLI, Cursor, or VS Code. durabletask PyPI SDK versions 1.4.1–1.4.3 are malicious. Full attack chain, credential harvesting targets & remediation checklist.
5 juin 2026 : Le ver auto-réplicant Miasma a frappé Microsoft — 73 dépôts GitHub Azure désactivés en 105 secondes. Une payload Bun de 4,3 Mo se déclenche automatiquement quand les développeurs ouvrent des dépôts infectés dans Claude Code, Gemini CLI, Cursor ou VS Code. SDK PyPI durabletask versions 1.4.1–1.4.3 malveillantes. Chaîne d’attaque complète & checklist de remédiation.
npm npmAI Developer Tools Supply Chain Attack in 2026: codexui-android, TrapDoor & Protecting Your AI Coding Stack
Attaque Supply Chain sur les Outils IA Développeurs en 2026 : codexui-android, TrapDoor & Comment Protéger Votre Stack IA
codexui-android (29K weekly downloads) silently stole OpenAI Codex OAuth refresh tokens for 30+ days — non-expiring access to victim accounts. TrapDoor planted hidden zero-width Unicode instructions in CLAUDE.md & .cursorrules across 34 packages (npm + PyPI + Crates.io) to trick AI assistants into credential exfiltration. Three campaigns, one pattern: AI developer tool files are now prime supply chain targets.
codexui-android (29K téléchargements/sem) a volé silencieusement des tokens OAuth OpenAI Codex pendant 30+ jours — accès sans expiration aux comptes victimes. TrapDoor a planté des instructions Unicode invisibles dans CLAUDE.md & .cursorrules sur 34 packages (npm + PyPI + Crates.io) pour tromper les assistants IA en exfiltration de credentials. Trois campagnes, un pattern : les fichiers d’outils IA développeurs sont désormais des cibles supply chain prioritaires.
npm npmPhantom Gyp Wave 2 in 2026: Miasma npm Worm Hits @vapi-ai/server-sdk, ai-sdk-ollama & 57 Packages
Phantom Gyp Vague 2 en 2026 : Ver npm Miasma sur @vapi-ai/server-sdk, ai-sdk-ollama & 57 Packages
June 3, 2026 : 57 npm packages compromised in <60 minutes via binding.gyp — @vapi-ai/server-sdk (408K downloads/month) hit first, then ai-sdk-ollama (120K) & 55 more. The worm propagated through developer workstations (not CI/CD), backdoored AI coding assistants (.claude, .cursor, .gemini configs), and installs a dead-man’s switch that wipes your home directory if you revoke the stolen token. Detection & remediation guide.
3 juin 2026 : 57 packages npm compromis en <60 min via binding.gyp — @vapi-ai/server-sdk (408K téléchargements/mois) touche en premier, puis ai-sdk-ollama (120K) & 55 autres. Le ver s’est propagé via les postes développeurs (pas le CI/CD), a backdooré les assistants IA (.claude, .cursor, .gemini) et installe un interrupteur homme-mort qui efface votre home si vous révoquez le token volé. Guide de détection & remédiation.
npm npmMiasma npm Supply Chain Attack in 2026: Red Hat @redhat-cloud-services, Phantom Gyp & SLSA Provenance Bypass
Attaque Supply Chain npm Miasma en 2026 : Red Hat @redhat-cloud-services, Phantom Gyp & Bypass Provenance SLSA
June 1, 2026: 32 @redhat-cloud-services npm packages backdoored via a compromised Red Hat employee GitHub account & GitHub Actions OIDC tokens. Phantom Gyp — a 157-byte binding.gyp — bypasses --ignore-scripts entirely. Credential-stealing worm with forged SLSA provenance harvests SSH keys, AWS/GCP/Azure credentials, Vault tokens & K8s secrets. Full remediation checklist.
1er juin 2026 : 32 packages npm @redhat-cloud-services backdoorés via un compte GitHub d’employé Red Hat compromis & des tokens OIDC GitHub Actions. Phantom Gyp — un binding.gyp de 157 octets — contourne complètement --ignore-scripts. Ver vol de credentials avec provenance SLSA forgée, ciblant clés SSH, credentials AWS/GCP/Azure, tokens Vault & secrets K8s. Checklist de remédiation complète.
Guides GuidesTerraform & IaC Security in 2026: CVE-2025-13357 (Vault Auth Bypass), tfstate Secrets & Checkov/Trivy Hardening Guide
Sécurité Terraform & IaC en 2026 : CVE-2025-13357 (Bypass Auth Vault), Secrets tfstate & Guide Durcissement Checkov/Trivy
CVE-2025-13357 (CVSS 7.4) in the Vault Terraform Provider sets deny_null_bind=false by default — attackers can authenticate to Vault without credentials. tfstate stores every secret in plaintext: sensitive=true only masks CLI output. Checkov vs Trivy vs tfsec comparison, OIDC CI/CD guide & OpenTofu native state encryption.
CVE-2025-13357 (CVSS 7.4) dans le Vault Terraform Provider définit deny_null_bind=false par défaut — les attaquants peuvent s’authentifier dans Vault sans credentials. tfstate stocke chaque secret en clair : sensitive=true ne masque que la sortie CLI. Comparaison Checkov vs Trivy vs tfsec, guide OIDC CI/CD & chiffrement natif OpenTofu.
Guides GuidesOWASP Top 10 for LLM Applications in 2026: Prompt Injection, Excessive Agency & Agentic AI Developer Guide
OWASP Top 10 pour Applications LLM en 2026 : Prompt Injection, Agence Excessive & Guide Développeur IA Agentique
73% of production AI deployments are vulnerable to prompt injection. CVE-2025-68664 (CVSS 9.3) chains LangChain serialization into secret extraction. OWASP released a dedicated Agentic Top 10 in December 2025. LLM01–LLM10 explained with real CVEs, attack patterns & hardening checklist for developers building LLM-powered apps.
73% des déploiements IA en production sont vulnérables à l’injection de prompt. CVE-2025-68664 (CVSS 9.3) chaîne la sérialisation LangChain en extraction de secrets. OWASP a publié un Top 10 Agentique dédié en décembre 2025. LLM01–LLM10 expliqués avec CVE réelles, patterns d’attaque & checklist de durcissement pour développeurs.
Guides GuidesGitHub Copilot Workspace & Agentic Code Security in 2026: CVE-2026-41109, IDEsaster & MCP Supply Chain Crisis
Sécurité GitHub Copilot Workspace & Code Agentique en 2026 : CVE-2026-41109, IDEsaster & Crise Supply Chain MCP
CVE-2026-41109 (CVSS 8.8) lets unauthenticated attackers inject malicious Copilot suggestions. IDEsaster found 30+ CVEs — 100% of AI IDEs vulnerable to data theft & RCE. MCP design flaw exposes 150M+ downloads to arbitrary command execution. AGENTS.md poisoning, RoguePilot repo takeover & full hardening guide.
CVE-2026-41109 (CVSS 8.8) permet à des attaquants non authentifiés d’injecter des suggestions Copilot malveillantes. IDEsaster : 30+ CVE — 100% des IDE IA vulnérables au vol de données & RCE. Le défaut MCP expose 150M+ téléchargements à l’exécution de commandes. Empoisonnement AGENTS.md, RoguePilot & guide de durcissement complet.
Guides GuidesGitHub Actions Security Hardening in 2026: Least-Privilege Permissions, SLSA Build Levels & the 2026 Roadmap
Durcissement Sécurité GitHub Actions en 2026 : Permissions Moindre Privilège, SLSA Build Levels & Roadmap 2026
76 of 77 trivy-action tags poisoned in March 2026, 23K+ repos compromised via tj-actions. Complete hardening guide: least-privilege GITHUB_TOKEN permissions, environment secrets, SHA pinning, SLSA Build Levels, reusable workflow risks & the scoped secrets + native egress firewall roadmap.
76 des 77 tags trivy-action empoisonnés en mars 2026, 23K+ dépôts compromis via tj-actions. Guide complet de durcissement : permissions GITHUB_TOKEN moindre privilège, secrets d’environnement, pinning SHA, SLSA Build Levels, risques workflows réutilisables & roadmap secrets portés + pare-feu de sortie natif.
Laravel LaravelLaravel-Lang Supply Chain Attack in 2026: 700 Versions Backdoored & Git Tag Rewrite Bypass
Attaque Supply Chain Laravel-Lang en 2026 : 700 Versions Backdoorées & Git Tag Rewrite Bypass
May 22, 2026: attackers rewrote 700+ git tags across 4 Composer packages in under 90 minutes, deploying a 5,900-line PHP credential stealer to 10.3M+ installs. AWS keys, GitHub tokens, crypto wallets, .env files — all targeted. Detection checklist & incident response guide.
22 mai 2026 : des attaquants ont réécrit 700+ tags git dans 4 packages Composer en moins de 90 minutes, déployant un credential stealer PHP de 5 900 lignes sur 10,3M+ installations. Clés AWS, tokens GitHub, wallets crypto, fichiers .env — tout ciblé. Guide de détection & réponse à l’incident.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours