Threat Advisories

Trellix a annoncé que le code source interne de certaines parties de son portefeuille de produits a été consulté sans autorisation. Le matériel affecté concerne uniquement le code de développement des produits et n'inclut pas les environnements ou les données des clients. Il n'y a aucune indication de modification malveillante des artefacts logiciels publiés.

CVE 2026 31431, communément appelée "Copy Fail", est une vulnérabilité locale d'élévation de privilèges de haute sévérité affectant le noyau Linux. Le problème affecte les noyaux livrés par toutes les distributions Linux majeures depuis 2017 et permet à un utilisateur local non privilégié d'obtenir une exécution au niveau racine sur le système hôte.

Fin mars 2026, un acteur de la menace opérant sous le pseudonyme "The_Auditors" a prétendu avoir pénétré dans BlackLine Systems, un fournisseur américain de logiciels d'automatisation financière et de comptabilité. L'attaquant affirme avoir exfiltré environ 354 Go de documents financiers et opérationnels sensibles, soit un total de plus de 1,5 million d'enregistrements appartenant non seulement à BlackLine, mais aussi à ses entreprises clientes. À l'heure où nous écrivons ces lignes, BlackLine n'a pas confirmé publiquement l'existence d'une brèche, et les allégations ne sont pas vérifiées. Toutefois, de nombreuses sociétés de renseignement en matière de cybersécurité ont estimé que les allégations étaient crédibles sur la base de plusieurs indicateurs.

Une nouvelle attaque active de la chaîne d'approvisionnement npm a été observée. Elle utilise les informations d'identification compromises des responsables pour propager un code malveillant dans les paquets de l'écosystème Node.js. Le logiciel malveillant vole des éléments d'authentification (jetons npm, identifiants cloud, secrets CI/CD, clés SSH et données de portefeuille) et utilise les jetons de publication découverts pour s'injecter dans d'autres paquets appartenant au même responsable, créant ainsi une propagation latérale de type ver.

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a confirmé l'exploitation active d'une vulnérabilité d'exécution de code à distance (RCE) de grande gravité dans Apache ActiveMQ Classic, répertoriée sous la référence CVE-2026-34197. La faille a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA, signalant une activité malveillante vérifiée dans la nature et élevant la priorité de remédiation pour toutes les organisations utilisant les versions affectées d'ActiveMQ

Microsoft Exchange Server reste unecible degrande valeurpour les acteurs de la menace en raison de son intégration profonde avec les systèmes d'identité de l'entreprise, l'infrastructure de messagerie et les comptes de service privilégiés. Les vulnérabilités d'exécution de code à distance (RCE) dans Exchange ont historiquement été exploitées pour descampagnes d'espionnageàgrandeéchelle, le déploiement de ransomware et des opérations d'accès persistant.

Une attaque critique de la chaîne d'approvisionnement a affecté la bibliothèque JavaScript Axios, largement utilisée, suite à la compromission du compte npm de son principal mainteneur. Les acteurs de la menace ont utilisé le compte détourné pour publier deux versions malveillantes, axios@1.14.1 et axios@0.30.4, qui ont introduit une dépendance malveillante (plain-crypto-js@4.2.1). Cette dépendance ne faisait pas partie de la base de code légitime d'Axios et n'existait que pour exécuter un script de post-installation qui déployait un cheval de Troie d'accès à distance (RAT) multiplateforme.

LiteLLM est une bibliothèque Python open-source très populaire et un serveur proxy qui fournit une interface unifiée pour appeler plus de 100+ Large Language Model (LLM) APIs, tels que OpenAI, Anthropic, Bedrock, et VertexAI, en utilisant le format d'entrée/sortie standard OpenAI. Il simplifie l'intégration de plusieurs LLM, en offrant des fonctionnalités telles que le repli automatique, les tentatives et le suivi des coûts. Parce qu'il fonctionne comme une passerelle API, il agit comme un agrégateur d'informations d'identification par conception, en conservant de manière sécurisée les clés API pour divers fournisseurs LLM.

CVE202620963 a été initialement publié en janvier 2026, mais il a récemment fait l'objet d'un regain d'attention en raison d'une exploitation active confirmée.

En début de semaine, nous avons rédigé un billet sur les cyberaffaires dans le contexte de la guerre israélo-américaine contre l'Iran, intitulé "Operation Epic Fury" (Opération fureur épique). Nous y observions que les acteurs de la menace parrainés par des États réagiraient fortement contre les organisations occidentales présentes au Moyen-Orient, en représailles à ces attaques.