Élevée2026-04-07CVSS N/Asupply-chainnpmratredispostgresqljavascriptpersistance
36 packages npm malveillants déploient des RATs persistants via Redis et PostgreSQL
36 packages npm malveillants ont été découverts sur le registre public, utilisant des scripts postinstall pour déployer des chevaux de Troie d'accès à distance (RATs) multi-plateformes qui établissent une persistance via Redis et PostgreSQL.Lire le bulletin→Élevée2026-04-01CVSS 7.1CVE-2026-35412 (2026-04-01)directuscmsheadlessauthentificationuploadweb
CVE-2026-35412 — Directus : contournement d'authentification sur l'upload TUS
Une vérification d'autorisation défaillante dans le gestionnaire d'upload TUS de Directus (versions antérieures à 11.16.1) permet à un utilisateur authentifié de faibles privilèges d'écraser des fichiers arbitraires sur le serveur, y compris des fichiers système ou de configuration.Lire le bulletin→Critique2026-03-31CVSS N/Asupply-chainnpmaxiosjavascriptc2
Compromission du package npm Axios — Des versions malveillantes contactent un serveur C2
Des versions malveillantes du client HTTP axios (1.14.1 et 0.30.4) ont été publiées sur npm, injectant du code qui contacte un serveur Command & Control et exfiltre des données sensibles depuis les environnements de build.Lire le bulletin→Critique2026-03-28CVSS 9.4CVE-2026-33634 (2026-03-21)supply-chainci-cdgithub-actionscheckmarxsast
TeamPCP frappe Checkmarx — La campagne supply chain s'étend aux scanners SAST
Le groupe TeamPCP, déjà responsable de la compromission de Trivy, étend sa campagne aux GitHub Actions de Checkmarx (KICS, AST) et à ses extensions VS Code, dérobant secrets CI/CD et tokens cloud à grande échelle.Lire le bulletin→Critique2026-03-26CVSS 9.4CVE-2026-33634 (2026-03-21)supply-chainci-cdteampcpgithub-actionskubernetesdocker