## La chaîne d'approvisionnement assiégée : la CISA répond aux menaces émergentes La **CISA** exprime ses préoccupations concernant plusieurs campagnes d'intrusion émergentes dans la chaîne d'approvisionnement logicielle ciblant spécifiquement les écosystèmes de développeurs et les pipelines d'intégration et de développement continus (CI/CD). Ces attaques exploitent les vulnérabilités des outils et processus qui prennent en charge les environnements d'entreprise, cloud et DevOps. ### GitHub compromis via une extension VS Code malveillante Des acteurs de la menace ont exploité un compromis antérieur des systèmes de développeurs **Nx** pour compromettre l'appareil d'un employé de **GitHub** via une extension VS Code tierce empoisonnée. Cela a entraîné un accès non autorisé et l'exfiltration de dépôts internes de **GitHub**. L'extension malveillante, version 18.95.0 de **Nx Console**, a été distribuée via le mécanisme de mise à jour automatique de VS Code. Les systèmes sur lesquels **Nx Console** était précédemment installé ont pu recevoir la version malveillante sans aucune action manuelle de la part des développeurs. **GitHub** a publié un [avis de sécurité](https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w) concernant cet incident, et **CVE-2026-48027** a été attribué à la version malveillante de **Nx Console** et ajouté au [Catalogue des vulnérabilités connues exploitées (KEV)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) de la **CISA**. ### Campagne 'Megalodon' : injection de workflows malveillants Dans une campagne baptisée 'Megalodon', des acteurs de la menace ont injecté des workflows **GitHub** Action malveillants pour récolter des secrets CI/CD, des identifiants cloud et des jetons. Cela a affecté les pipelines de développement et de déploiement dans les dépôts publics de **GitHub**. ### Recommandations de la CISA pour la détection et la remédiation La **CISA** exhorte les organisations à mettre en œuvre les recommandations suivantes pour détecter et remédier aux compromissions potentielles : * Surveiller et auditer les fichiers de workflow et l'activité des contributeurs pour les pull requests et les commits directs suspects, en particulier ceux rédigés par des comptes automatisés. * Annuler les modifications non autorisées, en particulier celles provenant de comptes automatisés (par exemple, `build-bot`, `auto-ci`, `ci-bot`, `pipeline-bot`), surtout celles effectuées après le 18 mai 2026. ### Étapes de réponse aux incidents Si votre organisation découvre un compromis résultant d'un logiciel **GitHub** ou **Nx Console** précédemment compromis, la **CISA** recommande les étapes suivantes : * Effectuer un examen forensique des journaux CI/CD, des pistes d'audit cloud et des machines des développeurs affectées. * Faire pivoter/révoquer tous les secrets, y compris les identifiants, les jetons et les secrets accessibles aux pipelines CI/CD, tels que les clés API, les identifiants des fournisseurs cloud (**Amazon Web Services**, **Google Cloud Platform**, **Microsoft Azure**), les clés SSH, les jetons **Docker**/**npm**/**PyPI**/**Vault**/**Terraform**/**Kubernetes**, les jetons **GitHub**/**GitLab**/**Bitbucket**, et les secrets des développeurs ou des pipelines. * Notifier les parties prenantes concernées si nécessaire. ### Bonnes pratiques pour les dépôts de paquets La **CISA** recommande ces bonnes pratiques pour l'utilisation des dépôts de paquets : * Attendre au moins trois heures avant de télécharger un nouveau paquet pour laisser à la communauté logicielle le temps d'identifier les paquets suspects ou malveillants. * Épingler les logiciels à des versions spécifiques et fiables pour éviter de télécharger un paquet malveillant ou non vérifié pendant le processus de compilation. * Ne télécharger des paquets qu'à partir de sources connues et fiables pour réduire la probabilité de télécharger un paquet malveillamment forké. ### Ressources Consultez ces ressources pour plus d'informations sur ces compromissions : * GitHub : [Investigating unauthorized access to GitHub-owned repositories](https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/) * Nx : [Postmortem: Nx Console v18.95.0 supply-chain compromise](https://nx.dev/blog/nx-console-v18-95-0-postmortem) * Ox Security : [Megalodon: CI/CD Malware Spreading Across GitHub Repositories](https://www.ox.security/blog/megalodon-cicd-malware-github/) * StepSecurity : [Nx Console VS Code Extension Compromised](https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised#indicators-of-compromise) * SafeDep : [Megalodon: Mass GitHub Repo Backdooring via CI Workflows](https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/) ## Clause de non-responsabilité Les informations contenues dans ce rapport sont fournies « telles quelles » à titre informatif uniquement. La **CISA** n'approuve aucune entité commerciale, produit, société ou service, y compris toute entité, produit ou service lié dans ce document.