Le motif de ce matin est simple : les attaquants se servent des tuyaux de confiance. Logiciel de workflow, noyaux Linux, dépendances développeur et e-mail cloud légitime deviennent des voies rapides dès que les équipes supposent que le canal lui-même est sûr.
À retenir : Patchez vite Weaver E-cology et les noyaux Linux, retirez lightning 2.6.3 partout où il a été importé, faites tourner les secrets exposés et considérez l’abus d’Amazon SES comme un problème d’identité cloud, pas seulement de filtrage e-mail.
BleepingComputer indique que la CVE-2026-22679 dans Weaver E-cology est exploitée depuis la mi-mars. Vega décrit une RCE non authentifiée via une API de debug exposée qui laissait des paramètres contrôlés par l’attaquant atteindre des fonctions RPC backend et des commandes système. L’activité observée montre de la reconnaissance, des charges PowerShell et des récupérations répétées de scripts sans fichier.
La CISA a ajouté CVE-2026-31431, alias Copy Fail, à son catalogue KEV un jour après la divulgation publique. La faille touche l’interface algif_aead et permet à un utilisateur local non privilégié d’obtenir root en écrivant des octets contrôlés dans le page cache de n’importe quel fichier lisible. Theori dit que le même exploit a fonctionné de façon fiable sur Ubuntu, Amazon Linux, RHEL et SUSE.
Une version malveillante de lightning 2.6.3 sur PyPI téléchargeait automatiquement Bun puis exécutait une charge JavaScript obfusquée à l’import. Selon le rapport, la charge visait les données navigateur, fichiers .env, clés API, identifiants cloud et permettait l’exécution arbitraire de commandes. Avec plus de 11 millions de téléchargements mensuels, il ne faut pas une infection massive pour produire un vrai désastre de confiance.
Kaspersky observe une hausse du phishing envoyé via Amazon SES, souvent rendue possible par des clés AWS IAM exposées dans des dépôts publics, fichiers .env, sauvegardes, images ou buckets S3 ouverts. Comme les messages partent de l’infrastructure légitime de SES, ils passent plus facilement SPF, DKIM et DMARC, ce qui affaiblit fortement les blocages classiques.
En bref : La panne logique commune aujourd’hui est la confiance excessive dans des canaux qui ont l’air légitimes. La réponse est brutale mais simple : patcher vite, faire tourner les secrets sans discuter et vérifier chaque plateforme de confiance comme si elle faisait déjà partie du chemin d’attaque.
KENSAI aide les équipes à cartographier services exposés, chemins d’identité fragiles, dépendances risquées et surfaces cloud avant que l’infrastructure de confiance ne devienne du carburant d’incident.
Lancer un scan gratuit →Restez affûtés.
🗡️ KENSAI Security Team