Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Visual Studio Code, avec plus de 2,2 millions d'installations, a publié une version compromise (rwl.angular-console v18.95.0) qui, lors de l'ouverture de tout espace de travail, a téléchargé et exécuté une charge utile obusquée hébergée dans un commit orphelin dans le code du projet officiel. Le vecteur combine l'ingénierie dans le dépôt et la persistance locale pour transformer un outil de productivité en un extracteur secret.
Selon l'analyse publique, la charge utile est un système multi-lignes de vol d'identité et d'empoisonnement de la chaîne d'approvisionnement: elle installe le Bun runtime pour exécuter un JavaScript d'uscado, évite les environnements dans les fuseaux horaires russes / CEI, fonctionne en arrière-plan et extrait des secrets de gestionnaires locaux tels que 1Mot de passe, configurations Anthropic Claude Code, jetons npm, clés GitHub et jetons et AWS. De plus, une porte arrière dans macOS a été rapportée à l'aide de l'API de recherche GitHub en tant que canal « dead drop » pour recevoir des commandes, ainsi que des mécanismes d'exfiltration incluant HTTPS, GitHub API et DNS.
Ce qui augmente le risque pour un nouveau niveau est l'intégration avec Sigstore et la capacité de générer des certificats SLSA Provenance et Fulcio, combinés avec des jetons Npm volés OIDC: un attaquant qui domine ces éléments peut publier des paquets avec des signatures valides et des atstations qui semblent être des bâtiments vérifiés, érodant l'un des rares mécanismes cryptographiques conçus pour restaurer la confiance dans les artefacts binaires. Cette technique transforme les titres volés en levier pour empoisonner les écosystèmes dépendants.
Les responsables ont attribué la racine du problème aux identifiants engagés de l'un de leurs développeurs, ce qui a permis à un commit orphelin d'être téléchargé dans le dépôt affecté. L'intervalle d'exposition dans lequel la version malveillante a été installée était court mais suffisant: entre le 18 mai 2026 à 14: 36 et 14: 47 CEST, selon l'avis. Open VSX, l'alternative de distribution ouverte, n'a pas été affectée, ce qui montre comment un seul canal peut être suffisant pour toucher des millions d'utilisateurs.
Les indicateurs d'engagement publiés comprennent des artefacts de disque tels que ~ / .local / share / kitty / cat.py, ~ / Library / LaunchAgens / com.user.kitty-monitor, / var / tmp / .gh _ update _ state et / tmp / kitty- *, ainsi que des processus d'exécution associés à un python exécutant cat.py ou des processus marqués avec _ _ DAEMONIZED = 1 dans votre environnement. Si vous reconnaissez l'une de ces traces, vous devez agir immédiatement.: arrêter les processus suspects, supprimer les fichiers indiqués et faire pivoter toutes les lettres d'identité possibles de la machine compromise.
Outre les actions urgentes au niveau des postes de travail, il existe des mesures essentielles pour la défense de la chaîne d'approvisionnement : mettre à jour l'extension de la version corrigée (18.100.0 ou ultérieure), révoquer et réémettre des jetons et des clés (non seulement sur l'équipe locale, mais sur les systèmes CI / CD, les dépôts et les services cloud), vérifier les pipelines par des dispositifs publiés dans la fenêtre de fiançailles et vérifier l'intégrité de tout paquet npm publié avec des certificats ou des tests récents. Il est également approprié de vérifier les journaux de réseau pour tunneler les modèles DNS et les appels inhabituels vers des API externes.
Cet incident rappelle la campagne de s1ngularité d'août 2025 et une vague récente de paquets de npm malveillants qui comprenaient des binaires d'ELF cachés aux voleurs de RAT et de cookies de navigateur : la menace persistante est les attaques qui pointent directement sur les développeurs et les pipelines plutôt que les utilisateurs finaux, parce qu'engager ceux qui signent, construisent ou publient des logiciels multiplie la portée de l'attaquant. Pour ceux qui gèrent des projets et des organisations, cela signifie renforcer les contrôles sur les comptes de maintenance, limiter la portée des jetons OIDC, appliquer la rotation périodique, permettre une forte authentification multifactorielle (préférable avec des clés physiques) et vérifier les atstations SLSA dans les paquets avant de les accepter en production.
Les dépôts pertinents où vous pouvez vérifier le code officiel et les corrections sont le dépôt Nx Console dans GitHub ( https: / / github.com / nrwl / nx-console) et le Nx monorep ( https: / / github.com / nrwl / nx). Pour mieux comprendre la zone de risque qui introduit la signature et la provenance des artefacts, la documentation de Sigstore est une lecture utile ( https: / / sigstore.dev) et si vous avez besoin d'inspecter l'exécution de la charge utile, la page officielle de Bun explique comment elle fonctionne ( https: / / bun.sh).
Bref, cet incident confirme que la sécurité de la chaîne d'approvisionnement dépend à la fois des contrôles techniques dans les dépôts et CI / CD et de l'hygiène des paramètres des développeurs. L'action immédiate pour les utilisateurs touchés est de mettre à jour l'extension, d'enlever les artefacts et les processus et de faire pivoter toutes les références; l'action stratégique pour l'équipement est de resserrer les politiques d'accès, de réduire le transfert de permis et de surveiller l'utilisation des signatures et des attestations à la recherche d'anomalies.. La prévention et la détection précoce restent les meilleures défenses contre les attaques qui transforment les outils de développement en vecteurs d'engagement de masse.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...