La semaine dernière, une intrusion inquiétante a été détectée dans un élément critique de l'écosystème DevOps : les images officielles du dépôt Docker Chèquemarx / kics ont été manipulés par des acteurs inconnus. Bien que la recherche soit toujours en cours, l'information disponible indique que les étiquettes existantes ont été écrasées et qu'une étiquette a été ajoutée qui ne correspond à aucune version légitime distribuée par le projet. Par conséquent, les équipes qui ont fait confiance à ces images pour analyser l'infrastructure en tant que code pourraient avoir exposé des secrets et des configurations sensibles.
Le problème n'était pas seulement un changement cosmétique dans l'image.: le binaire inclus avec l'outil KICS a été modifié pour intégrer les capacités de collecte de données et d'exfiltration. Selon l'analyse technique qui a été rendue publique, l'utilitaire compromis a pu créer un rapport de numérisation qui comprenait des données non censurées, le chiffrement et l'envoi à un serveur distant contrôlé par les attaquants. Cela rend réel le risque de tout fichier de manifestes Terraform, CloudFormation ou Kubernetes contenant des identifiants ou des variables sensibles qui ont été passés par cette version manipulée.
En outre, l'enquête a montré que l'impact pourrait être étendu à d'autres canaux de distribution officiels du même fabricant. Des versions concrètes d'une extension de Microsoft Visual Studio Code qui a incorporé un comportement malveillant ont été notées : ils ont téléchargé et exécuté le code à distance via le Bun runtime en utilisant une URL définie sur le code, sans demander à l'utilisateur de confirmer ou de vérifier l'intégrité du contenu téléchargé. Cela renforce l'hypothèse qu'il ne s'agit pas d'une seule image engagée, mais d'une campagne plus large contre la chaîne d'approvisionnement.
Que doivent supposer les organisations concernées? Dans la pratique, tout secret qui a été passé par ces scans devrait être considéré comme éventuellement compromis. L'exfiltration de rapports d'analyse avec des données non filtrées signifie que les identifiants temporaires, les clés de service ou les variables d'environnement utilisées dans les modèles IAC pourraient être entre les mains des attaquants. Par conséquent, l'action immédiate et prioritaire est d'assumer la pire possibilité possible et d'agir en conséquence.
Parmi les mesures urgentes à prendre, on peut citer l'arrêt de l'utilisation d'images suspectes et l'examen des pipelines et des dossiers à la recherche d'activités anormales, la rotation des lettres de créance et des secrets qui ont pu être exposés, et l'évaluation médico-légale des systèmes qui ont exécuté ces images ou les extensions concernées. Il est également recommandé de rétablir les images et les binaires à partir de sources vérifiées et, si possible, de valider les signatures ou les comptes de vérification avant le déploiement.
Si vous recherchez des ressources et de bonnes pratiques pour gérer ce type d'incident et renforcer la défense contre la manipulation dans la chaîne d'approvisionnement, il existe des documents et des guides de référence publics. Des organismes comme la US Infrastructure and Cybersecurity Agency. Les États-Unis (CISA) recueillent des avis et des recommandations sur les engagements de la chaîne logistique ( https: / / www.cisa.gov) et des projets tels que SLSA fournissent un cadre pour renforcer l'intégrité des artefacts et des processus de construction ( https: / / slsa.dev). GitHub maintient également des ressources sur la manière de protéger les flux d'approvisionnement des logiciels ( Guide de sécurité de la chaîne d'approvisionnement GitHub).
Au niveau pratique du quotidien, il convient de vérifier quelles versions exactes ont été utilisées dans les environnements CI / CD, de vérifier les journaux réseau pour les transferts sortants des travaux de numérisation, et de vérifier les extensions IDE installées dans les postes de travail et les agents de construction. Si les extensions sont identifiées avec un comportement suspect, il est sage de supprimer ces extensions et restaurer les environnements des états connus et vérifiés. Pour réduire les risques futurs, l'adoption d'images signées, de politiques de blocage des unités externes non contrôlées et de contrôles d'accès plus restrictifs dans les pipelines contribuent à atténuer la possibilité qu'une seule image engagée devienne un écart plus grand.
L'incident soulève également une réflexion plus large sur la confiance que nous accordons aux artefacts de tiers. Les outils qui fonctionnent avec la permission d'inspecter l'infrastructure et les configurations méritent un traitement spécial car, par leur propre fonction, ils peuvent traiter des secrets. Mettre en œuvre des pratiques telles que la numérisation locale avec des binaires vérifiés, l'utilisation d'environnements isolés (boîte à sable) pour l'analyse automatisée et la segmentation des références dans les environnements de test peuvent réduire l'impact si un outil est compromis.
Enfin, il est important de suivre les communications officielles du fournisseur et les registres d'images. Dans de tels cas, la maintenance et les dépôts fichier souvent ou supprimer les appareils commis et de publier des instructions de récupération. Il convient également d'être tenu informé par des moyens spécialisés et des avis de sécurité pour connaître les versions concernées, les corrections publiées et les indicateurs d'engagement (COI) qui permettent la recherche de traces dans les systèmes. Vous pouvez consulter le site du dépôt touché dans Docker Hub pour connaître l'état du dépôt https: / / hub.docker.com / r / checkmarx / kics et consulter le site officiel du fournisseur pour les communications ou patchs https: / / checkmarci.com.
Ce type d'incident rappelle que la sécurité moderne dépend non seulement d'un outil spécifique, mais aussi de la façon dont toute la chaîne qui transporte un artefact du développeur à la production est administrée. Rotation des secrets, vérification de la source des images et des binaires et mise à jour du plan d'intervention en cas d'incident elles ne sont plus de bonnes pratiques pour devenir des obligations opérationnelles si nous voulons minimiser les dommages lorsque quelque chose échoue dans la chaîne d'approvisionnement.
Si vous le souhaitez, je peux vous aider à écrire une liste de contrôles spécifiques à appliquer à votre pipeline CI / CD, ou à préparer un message technique pour votre équipe en expliquant les étapes immédiates à suivre et comment chercher des signes d'engagement dans le journal et le dépôt.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...