Le thème de ce matin est simple : quand la plomberie de confiance est empoisonnée, les attaquants n’ont pas besoin de techniques exotiques.
À retenir : Trois sujets méritent une attention immédiate ce matin : des paquets npm officiels de SAP ont été piégés pour voler des secrets développeur et CI, cPanel et WHM ont publié un correctif d’urgence pour un contournement d’authentification critique, et les mainteneurs Linux se dépêchent de corriger la nouvelle faille d’élévation de privilèges Copy Fail.
Quatre paquets npm officiels de SAP liés au Cloud Application Programming Model et à Cloud MTA ont été modifiés avec une chaîne preinstall malveillante. D’après BleepingComputer, Aikido et Socket, la charge utile récupère Bun, lance un voleur obfusqué et cherche des jetons GitHub, des jetons npm, des clés SSH, des identifiants cloud, des secrets Kubernetes et des variables d’environnement CI/CD. Pire encore, elle lirait directement la mémoire des runners et tenterait de se propager avec les jetons volés.
cPanel et WHM ont publié un correctif d’urgence pour CVE-2026-41940, un contournement d’authentification noté 9,8 qui touche presque toutes les versions supportées sauf les plus récentes. Namecheap a temporairement bloqué les ports d’administration exposés avant même la disponibilité des correctifs, ce qui montre à quel point les hébergeurs ont pris le sujet au sérieux. Si un attaquant entre dans cPanel, il obtient sites web, mails, bases et configurations ; s’il entre dans WHM, il peut posséder tout le serveur d’hébergement et tous ses clients.
The Register rapporte que la nouvelle faille Copy Fail, CVE-2026-31431, permet à un utilisateur local non privilégié d’écrire quatre octets contrôlés dans le page cache de n’importe quel fichier lisible et de transformer cela en accès root. Le PoC est minuscule, contourne les tripwires classiques sur les événements de fichiers et l’impact dépasse largement les postes de travail : conteneurs à noyau partagé, runners CI et hôtes Linux mutualisés sont exactement les environnements où une élévation locale devient un vrai risque externe après un premier accès.
Commencez par la supply chain logicielle, refermez ensuite les plans de contrôle d’hébergement exposés, puis corrigez les frontières de privilèges Linux là où des attaquants peuvent déjà exécuter du code. Le point commun ici, c’est une confiance aveugle dans une infrastructure que tout le monde supposait sûre.