Trend Micro piraté en cascade 🌀, SharePoint vulnérable à distance 💥, Megalodon infecte GitHub 🐋

Bonjour et bienvenue dans cette nouvelle édition du 27 mai 2026 de ta Cybere veille !

Retrouve les trois articles à la une du jour :

• Exploitation active d'une faille de traversée de répertoire dans Trend Micro Apex One via CVE-2026-34926
• Microsoft corrige une vulnérabilité critique d'exécution de code à distance dans SharePoint via CVE-2026-45659
• Campagne Megalodon infecte des milliers de dépôts GitHub pour voler secrets et identifiants de développement

Une faille activement exploitée dans Trend Micro Apex One signalée par la CISA (CVE-2026-34926)

Cette vulnérabilité permet à un attaquant de transformer la plateforme de sécurité en canal de distribution de logiciels malveillants vers les postes clients.

La faille CVE-2026-34926, de type traversée de répertoire, affecte la version sur site d’Apex One. Un attaquant déjà administrateur du serveur peut modifier une table clé pour injecter du code malveillant, qui sera ensuite déployé sur les agents installés. Trend Micro a confirmé au moins une exploitation en conditions réelles, sans préciser le contexte de l’attaque.

Points d'attention

• Seules les versions sur site d’Apex One sont concernées, nécessitant un accès administrateur préalable.
• Les correctifs doivent être appliqués avant le 4 juin 2026 pour les agences fédérales américaines.
• Vérifier les droits d’accès et les privilèges administrateur sur la console du serveur.

Microsoft corrige une faille d'exécution de code à distance dans SharePoint (CVE-2026-45659)

Cette vulnérabilité permettait à un attaquant non authentifié d'exécuter du code arbitraire sur des serveurs SharePoint exposés, compromettant potentiellement des données sensibles ou la disponibilité des services.

La faille, classée critique, affectait plusieurs versions de SharePoint Server (2016, 2019 et Subscription Edition). Microsoft a publié des correctifs le 25 mai 2026 dans le cadre de son cycle mensuel de mises à jour. Aucune exploitation active n'a été signalée à ce jour, mais la nature de la vulnérabilité en fait une cible prioritaire pour les attaquants.

Points d'attention

• Les serveurs SharePoint exposés sur internet sont particulièrement vulnérables sans le correctif.
• La faille ne nécessite aucune interaction utilisateur pour être exploitée.
• Les administrateurs doivent appliquer les mises à jour sans délai, même en l'absence d'exploitation connue.

Une campagne "Megalodon" infecte des milliers de dépôts GitHub

En six heures, plus de 5 500 dépôts GitHub ont été compromis par un malware volant des identifiants et secrets de développement.

La campagne "Megalodon", détectée le 18 mai, a injecté des workflows malveillants via des commits automatisés. Le malware utilise un fichier YAML nommé "SysDiag" pour exfiltrer des secrets CI/CD, des clés SSH et des jetons OpenID vers un serveur C2. Une seconde charge utile remplace les workflows existants par un déclencheur dormant, activable via l'API GitHub.

Points d'attention

• La campagne a duré seulement six heures, possiblement en exploitant des identifiants volés lors d'attaques antérieures.
• Environ 83 % des dépôts infectés (2 900 sur 3 500) restent compromis une semaine après l'attaque.
• Aucun lien confirmé avec le groupe TeamPCP, malgré des similitudes superficielles dans les techniques.

Autres actus importantes

• Charter confirme une violation de données après une menace d'extorsion de ShinyHunters
• Les gangs de phishing chinois deviennent une force avec laquelle il faut compter
• Apple publie en open source son code de chiffrement résistant aux algorithmes quantiques
• La Maison-Blanche trace une nouvelle voie pour les agences fédérales et la journalisation en cybersécurité

Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

Merci d'avoir pris le temps de me lire.

À très vite pour la prochaine veille 🔐 – Kilian de Cybere