← Retour au blog
Briefing sécurité4 min read2026-04-30

Briefing sécurité, 30 avril 2026 : porte dérobée supply chain npm de SAP, contournement d’auth cPanel et bug root Linux Copy Fail

Le thème de ce matin est simple : quand la plomberie de confiance est empoisonnée, les attaquants n’ont pas besoin de techniques exotiques.


À retenir : Trois sujets méritent une attention immédiate ce matin : des paquets npm officiels de SAP ont été piégés pour voler des secrets développeur et CI, cPanel et WHM ont publié un correctif d’urgence pour un contournement d’authentification critique, et les mainteneurs Linux se dépêchent de corriger la nouvelle faille d’élévation de privilèges Copy Fail.


1. Le compromis npm de SAP vise directement les secrets développeur et CI

Quatre paquets npm officiels de SAP liés au Cloud Application Programming Model et à Cloud MTA ont été modifiés avec une chaîne preinstall malveillante. D’après BleepingComputer, Aikido et Socket, la charge utile récupère Bun, lance un voleur obfusqué et cherche des jetons GitHub, des jetons npm, des clés SSH, des identifiants cloud, des secrets Kubernetes et des variables d’environnement CI/CD. Pire encore, elle lirait directement la mémoire des runners et tenterait de se propager avec les jetons volés.


2. Le correctif d’urgence cPanel pour le bypass d’auth n’est pas de la maintenance facultative

cPanel et WHM ont publié un correctif d’urgence pour CVE-2026-41940, un contournement d’authentification noté 9,8 qui touche presque toutes les versions supportées sauf les plus récentes. Namecheap a temporairement bloqué les ports d’administration exposés avant même la disponibilité des correctifs, ce qui montre à quel point les hébergeurs ont pris le sujet au sérieux. Si un attaquant entre dans cPanel, il obtient sites web, mails, bases et configurations ; s’il entre dans WHM, il peut posséder tout le serveur d’hébergement et tous ses clients.


3. Copy Fail offre aux attaquants Linux un chemin post-compromission vers root d’une simplicité brutale

The Register rapporte que la nouvelle faille Copy Fail, CVE-2026-31431, permet à un utilisateur local non privilégié d’écrire quatre octets contrôlés dans le page cache de n’importe quel fichier lisible et de transformer cela en accès root. Le PoC est minuscule, contourne les tripwires classiques sur les événements de fichiers et l’impact dépasse largement les postes de travail : conteneurs à noyau partagé, runners CI et hôtes Linux mutualisés sont exactement les environnements où une élévation locale devient un vrai risque externe après un premier accès.

Ce qu’il faut faire aujourd’hui

Commencez par la supply chain logicielle, refermez ensuite les plans de contrôle d’hébergement exposés, puis corrigez les frontières de privilèges Linux là où des attaquants peuvent déjà exécuter du code. Le point commun ici, c’est une confiance aveugle dans une infrastructure que tout le monde supposait sûre.

Sources

  • BleepingComputer sur les paquets npm officiels SAP compromis, avec les recherches complémentaires d’Aikido et Socket.
  • BleepingComputer sur cPanel/WHM CVE-2026-41940 et la procédure de mise à jour d’urgence.
  • The Register sur CVE-2026-31431 « Copy Fail » avec références de correctifs Debian, Ubuntu, SUSE et Red Hat.