Un engagement de la chaîne d'approvisionnement a touché un outil conçu pour améliorer la sécurité : Les images Docker et le code VS / Extensions VSX ouvertes depuis le scanner ouvert Checkmarx KICS ont été coupés pour voler des secrets des environnements de développement. KICS, utilisé localement pour analyser l'infrastructure comme le code, les fichiers de processus et les variables qui contiennent souvent des jetons, des clés et des configurations sensibles; transformer ce vecteur en cible principale laisse l'équipement et les organisations exposés à des fuites automatiques d'identités et d'architecture interne.
Selon l'enquête publique sur l'incident et l'annonce du Checkmark lui-même, les attaquants ont introduit un composant caché - appelé « addon MCP » - qui a été téléchargé à partir d'une URL codée et a apporté un module multi-étapes pour localiser, chiffrer et exfilter des données telles que des jetons GitHub, des identifiants AWS / Azure / GCP, des jetons npm, des clés SSH, des configurations d'assistant de type Claude et des variables d'environnement. Une partie de l'exfiltration a été faite à un domaine qui imitait l'infrastructure légitime de Checkmarx et par la création automatique de dépôts publics à GitHub pour stocker les données volées.
La gamme technique comprend deux vecteurs: Docker Les balises Hub qui ont été temporairement réacheminées à un digest malveillant pendant un intervalle précis et les extensions IDE qui ont chargé l'addon malveillant. Cela signifie que l'impact dépend du moment où les images ou extensions ont été téléchargées; Checkmark a restauré les étiquettes touchées et a retiré la fausse étiquette, mais les utilisateurs qui les ont obtenues pendant cette période doivent supposer que leurs secrets ont été compromis.
Les conséquences pratiques sont graves. L'exposition des jetons et des clés des machines de développement peut permettre d'accéder aux dépôts, aux déploiements en nuage, aux dossiers de paquets et aux environnements d'intégration continue, ce qui permet une échelle, des fuites de code sensibles et des déploiements de porte arrière. De plus, les attaquants qui exploitent un outil de sécurité profitent de la confiance du développeur dans cet outil : le résultat est une attaque à impact élevé et une faible probabilité de détection immédiate.
Si vous pensez avoir téléchargé l'une des versions touchées, déjà. Vérifiez la note de sécurité officielle de Checkmark pour obtenir des détails et des versions sécurisés et suivez vos instructions: Checkmarx - Mise à jour de sécurité. En tant que mesures immédiates, il envisage de révoquer et de faire tourner toutes les références potentiellement exposées (jetons GitHub, clés cloud, jetons npm, clés SSH), de reconstruire les environnements des points de confiance et de bloquer les connexions aux domaines et adresses IP associés à l'exfiltre. Pour obtenir des instructions sur la façon d'annuler les jetons personnels et de protéger les comptes à GitHub, consultez le guide officiel : GitHub - Revocar jetons d'accès personnels.
Au-delà des mesures d'assainissement urgentes, cet incident renforce les pratiques qui doivent être intégrées à tout pipeline : pining des digests et des versions dans les images et les extensions, la vérification de l'intégrité et la signature des artefacts, l'utilisation de références éphémères et moins ambitieuses et la surveillance de la création de dépôts ou d'activités inhabituelles dans les comptes liés. Les outils de signature de l'appareil tels que Sigstore aident à accroître la confiance quant aux binaires et aux contenants consommés : Sigstore.
L'attribution n'est pas toujours ferme : des allégations publiques ont tenté de lier l'attaque à des groupes responsables d'incidents antérieurs, mais les enquêtes ouvertes n'ont pas confirmé une attribution finale. Ce manque de certitude met en évidence une autre leçon : ne pas compter sur une seule couche de confiance et supposer que toute dépendance critique peut être attaquée. Pour l'équipement de sécurité, cela nécessite l'incorporation de contrôles compensatoires tels que la détection des fuites de dépôt, le balayage secret continu et l'audit d'accès au cloud.
Bref, prenez la menace au sérieux : révoquer et briser les secrets, revoir et reconstruire les environnements, définir les images / extensions par SHA et activer les signatures ou la vérification de l'intégrité. Il profite de cette crise pour resserrer les politiques de gestion des secrets et d'hygiène du développement : les titres de créance à court terme, les privilèges minimums et la télémétrie pour détecter les anomalies précoces sont des investissements qui réduisent la fenêtre d'exposition lorsqu'un outil de confiance est compromis.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...