Nous ouvrons cet épisode avec le rapport trimestriel de Sonatype révélant une escalade sans précédent du malware open source. Sonatype a identifié 394 877 nouveaux packages malveillants au Q4 2025, soit une augmentation de 476% par rapport aux trois trimestres précédents combinés. 99,8% de ce malware provient de npm. L’automatisation à grande échelle domine avec des outils scriptés et assistés par IA. L’abus de référentiels a bondi de 53 000%, alimenté par des campagnes auto-réplicantes. Les attaquants ont priorisé la propagation rapide plutôt que la furtivité, modifiant packages existants, chaînes de dépendances et processus de publication. Sonatype a observé une augmentation de 833% des événements de corruption de données et 564% de packages contenant des backdoors pour la persistance. PhantomRaven a démontré comment publier et recycler rapidement des packages malveillants. La campagne IndonesianFoods a doublé le volume total de malware sur npm en quelques jours, générant plus de 100 000 packages en créant un nouveau package toutes les sept secondes via l’abus du protocole TEA. Le retour de Sha1-Hulud The Second Coming avec plus de 2 100 packages malveillants montre que les attaquants itèrent sur des méthodes éprouvées. Sonatype Repository Firewall a bloqué 120 612 attaques durant le trimestre.
Le CERT-FR a publié l’avis CERTFR-2026-AVI-0062 concernant une vulnérabilité dans Mattermost Desktop App. La faille affecte toutes les versions antérieures à 5.13.3.0. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur. Le risque n’est pas caractérisé dans le bulletin. Le bulletin de sécurité Mattermost MMSA-2026-00577 du 16 janvier 2026 fournit les correctifs. La solution consiste en une mise à jour vers la version 5.13.3.0 ou ultérieure.
Enfin, le tribunal correctionnel de Bayonne a condamné le 15 janvier un ancien agent municipal à cinq ans de prison dont deux ferme pour détournement de 3 millions d’euros à la ville d’Anglet. Pendant dix ans, de 2019 à 2025, l’employé de 53 ans affecté aux services financiers a exploité ses attributions pour détourner des fonds publics. Le mode opératoire révèle une exploitation astucieuse des failles de sécurité physique. L’agent profitait des pauses déjeuner lorsque les ordinateurs restaient ouverts et déverrouillés pendant une dizaine de minutes pour utiliser les adresses mail et le parapheur électronique. Il a mis en place un stratagème complexe faisant intervenir l’association Anglet Omnisport, la mairie et le Trésor public avec de fausses factures. L’accusé a indiqué avoir dépensé l’argent dans des services de voyance et des plateformes d’investissement. La peine de deux ans ferme et trois ans sursis est assortie d’obligations de soins, de travail et de remboursement intégral des sommes détournées.
Sources :
- Sonatype – Open Source Malware Index Q4 2025 : https://www.sonatype.com/blog/open-source-malware-index-q4-2025-automation-overwhelms-ecosystems
- CERT-FR – Mattermost Desktop App : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0062/
- France 3 Nouvelle-Aquitaine – Détournement 3 millions Anglet : https://france3-regions.franceinfo.fr/nouvelle-aquitaine/pyrenees-atlantiques/bayonne/il-profitait-que-l-ordinateur-reste-ouvert-l-employe-municipal-qui-a-detourne-3-millions-d-euros-condamne-a-deux-ans-de-prison-ferme-3282797.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com