Bienvenue sur Cyberveille

🗓️ Contexte Article publié le 1er juin 2026 par Ilyas Makari sur le blog d’Aikido Security. Il documente la compromission de 96 versions de 32 packages npm appartenant au scope officiel @redhat-cloud-services, détectée le jour même. 🎯 Nature de l’attaque Le vecteur d’intrusion est la compromission d’un compte GitHub d’un employé Red Hat, utilisé pour pousser des commits orphelins malveillants directement dans plusieurs dépôts, contournant toute revue de code. Ces commits contenaient un fichier de workflow (ci.yaml) et un script (_index.js). ...

🎯 Contexte Le 1er juin 2026, l’équipe de recherche de Socket a publié une analyse technique détaillée d’une campagne de compromission de la chaîne d’approvisionnement logicielle ciblant le namespace npm officiel @redhat-cloud-services. L’article est classé comme une publication de recherche avec analyse technique approfondie. 🦠 Nature de l’attaque La campagne, qualifiée de « mini Shai-Hulud », reprend les tactiques fondamentales du framework d’attaque Shai-Hulud rendu open source par le groupe TeamPCP (promu via un concours BreachForums). L’attribution reste incertaine en raison de la disponibilité publique des outils. Au total, 95 versions de packages ont été publiées le 1er juin 2026 entre 10h54 et 14h25 UTC, détectées par Socket entre 11h00 et 15h21 UTC. ...

🗓️ Contexte Source : BleepingComputer, publié le 1er juin 2026. Le Centre pour la Cybersécurité Belgique (CCB), autorité nationale belge en cybersécurité, a émis une alerte le vendredi 30 mai 2026 signalant l’exploitation active dans la nature de la vulnérabilité CVE-2026-41089. 🔍 Détails de la vulnérabilité CVE : CVE-2026-41089 Composant affecté : Windows Netlogon (service RPC d’authentification des domaines Windows) Type : Stack-based buffer overflow permettant une exécution de code à distance (RCE) Prérequis : Aucun privilège requis, aucune authentification préalable nécessaire Vecteur : Envoi d’une requête réseau spécialement forgée vers un contrôleur de domaine Score CVSS 3.1 : 9.8 (Critique) Systèmes impactés : Toutes les versions de Windows Server actuellement supportées, y compris Windows Server 2025 Patch : Publié lors du Patch Tuesday de mai 2026 (12 mai 2026) Découvreur : Windows Attack Research & Protection (WARP), équipe interne Microsoft ⚠️ Exploitation active Le CCB a confirmé via un tweet que CVE-2026-41089 est activement exploité dans la nature. Aucun détail sur les attaquants, les victimes ou les méthodes d’exploitation n’a été fourni. Microsoft n’avait pas encore mis à jour son advisory au moment de la publication de l’article. ...

📰 Source : KrebsOnSecurity | Date : 1er juin 2026 Des hackers se revendiquant pro-iraniens ont découvert et exploité une faille dans le bot d’assistance IA de Meta (Instagram), permettant de réinitialiser le mot de passe de n’importe quel compte sans authentification préalable du propriétaire légitime. 🎯 Comptes ciblés et impact Les comptes Instagram de la Obama White House et du Chief Master Sergeant of the U.S. Space Force ont été brièvement défigurés avec des images et messages pro-iraniens. Des comptes à noms courts (valeur de revente estimée à plus d’un demi-million de dollars) ont également été compromis. ...

📰 Source : blog.calif.io — Publication du 1er juin 2026, analyse technique rédigée par Calif Global Inc. en hommage au chercheur Nightmare Eclipse, auteur de l’exploit RedSun. 🔍 Contexte général RedSun est un exploit d’élévation de privilèges locale (LPE) affectant Windows Defender sur tout système Windows avec la protection en temps réel activée. Il est référencé sous CVE-2026-41091 et a été découvert par le chercheur Nightmare Eclipse. ⚙️ Cause racine de la vulnérabilité Lorsque Windows Defender (MsMpEng.exe, s’exécutant en NT AUTHORITY\SYSTEM) détecte un fichier portant un tag de reparse Cloud Files (IO_REPARSE_TAG_CLOUD_*), il ne le met pas en quarantaine ni ne le supprime via le chemin normal. À la place, il réécrit le fichier à son emplacement d’origine. Ce comportement, combiné à la possibilité pour un utilisateur standard de manipuler les chemins via des jonctions NTFS, permet de rediriger cette écriture privilégiée vers C:\Windows\System32. ...

🗓️ Contexte Source : Check Point Blog — publié le 1er juin 2026. Le 22 mai 2026, des enquêteurs néerlandais spécialisés dans la criminalité financière ont saisi environ 800 serveurs dans des datacenters à Dronten et Schiphol-Rijk (Pays-Bas), ciblant le fournisseur d’hébergement WorkTitans B.V. 🏢 WorkTitans : successeur de Stark Industries En mai 2025, l’UE avait sanctionné Stark Industries, un fournisseur d’accès internet lié aux opérations de guerre informationnelle russes. Plutôt que de cesser ses activités, ses opérateurs auraient simplement rebrandé sous le nom WorkTitans, continuant à exploiter la même infrastructure sous une nouvelle identité juridique. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-24 → 2026-05-31. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-0257 CVSS: N/A EPSS: 41.50% VLAI: Medium (confidence: 0.9436) CISA: KEV ProduitPalo Alto Networks — Cloud NGFW Publié2026-05-13T18:15:10.172Z Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OS® software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection. Panorama and Cloud NGFW are not impacted by these issues. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-01 → 2026-06-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 2.23% VLAI: High (confidence: 0.9602) CISA: KEV ProduitLinux — Linux Publié2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

📰 Source : secjuice.com — publié le 31 mai 2026. Article de fond destiné aux analystes malware, junior comme senior, abordant la méthodologie et la philosophie de l’analyse de malware. 🎯 Contexte général L’article pose la question centrale : l’analyse de malware se résume-t-elle à la maîtrise d’outils ? La réponse développée est non : le mindset de l’analyste est l’élément différenciateur, les outils n’étant que des facilitateurs. 🛠️ Outils mentionnés L’article cite une liste d’outils courants utilisés en analyse statique et dynamique : ...

📰 Source : BleepingComputer | Date de publication : 29 mai 2026 | Contexte : Suite à la violation de données de 2023 ayant exposé les informations de près de 7 millions de clients de 23andMe (désormais Chrome Holding Co.), le procureur général de Californie Rob Bonta a déposé une plainte formelle contre l’entreprise. 🔍 Incident d’origine (2023) L’attaque a été révélée en octobre 2023, lorsque des acteurs malveillants ont proposé à la vente des enregistrements volés à 23andMe, accompagnés de fuites d’échantillons de données pour en prouver l’authenticité. L’entreprise a confirmé l’authenticité des données et attribué l’intrusion à une attaque par credential stuffing ciblant des comptes avec des identifiants faibles. ...