Zapocalypse : chaîne d'attaque en 5 étapes vers une prise de contrôle totale de Zapier

🔍 Contexte Publié le 28 mai 2026 par Yair Balilti (Token Security Research Team), cet article détaille une chaîne d’attaque en 5 étapes baptisée Zapocalypse, découverte sur la plateforme d’automatisation Zapier. La recherche a débuté le 10 février 2026 et a été divulguée le 12 février 2026 via HackerOne. Zapier a confirmé la remédiation complète le 5 mars 2026. 🧱 Chaîne d’exploitation Étape 1 — Évasion du sandbox Python : La fonctionnalité “Code by Zapier” exécute du Python arbitraire dans une Lambda AWS (python3.11, us-east-1). L’appel os.system('env') révèle l’environnement Lambda. Le code utilisateur est injecté via exec() dans le même processus que celui ayant détenu les credentials AWS.