Bienvenue sur Cyberveille

🔍 Contexte Source : StepSecurity (blog officiel), publié le 18 mai 2026. L’article constitue une analyse technique détaillée d’un incident de supply chain ayant ciblé l’extension nrwl.angular-console (Nx Console) pour Visual Studio Code, comptant plus de 2,2 millions d’installations. 🎯 Vecteur d’accès initial L’attaquant a obtenu un token GitHub personnel (PAT) d’un contributeur Nx lors d’un incident de supply chain antérieur non identifié publiquement. Ce token disposait d’un accès en écriture au dépôt nrwl/nx et, directement ou indirectement, aux credentials de publication VS Code Marketplace (VSCE_PAT). ...

🗓️ Contexte Article publié le 20 mai 2026 par Picus Security (picussecurity.com), rédigé par Umut Bayram. Il s’agit d’une analyse technique approfondie de la classe de vulnérabilités Dirty Frag, découverte et rapportée par Hyunwoo Kim (@v4bel), divulguée le 7 mai 2026. 🔍 Description de Dirty Frag Dirty Frag est une classe de vulnérabilités du noyau Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux. Elle repose sur l’enchaînement de deux vulnérabilités distinctes qui exploitent le mécanisme de zero-copy via splice() pour injecter une référence à une page du page cache en lecture seule dans un fragment (frag) d’un sk_buff, que le noyau modifie ensuite lors du traitement cryptographique en place. ...

🔍 Contexte Source : BleepingComputer — Article publié le 20 mai 2026. GitHub a officiellement confirmé une compromission de ses systèmes internes après qu’un employé a installé une extension VSCode malveillante depuis le VS Code Marketplace. 💥 Incident L’attaque a conduit à l’exfiltration d’environ 3 800 dépôts internes de GitHub. GitHub a déclaré avoir détecté et contenu la compromission, isolé l’endpoint affecté, supprimé l’extension malveillante du marketplace et lancé une réponse à incident immédiate. La société précise qu’aucune donnée client stockée en dehors des dépôts affectés n’a été compromise à ce stade. ...

🌐 Contexte Publié le 14 mai 2026 sur le blog Krypt3ia, ce rapport de threat intelligence analyse l’évolution du paysage offensif autour de la prolifération des systèmes d’IA en entreprise entre 2025 et 2026. Il s’appuie sur des frameworks reconnus (MITRE ATT&CK, MITRE ATLAS, OWASP LLM Top 10) et des rapports publics de Google, Microsoft, OpenAI et Anthropic. 🎯 Évolution de la surface d’attaque Les systèmes d’IA (LLM, RAG, agents autonomes, copilotes développeurs) sont désormais intégrés dans les opérations critiques des entreprises. Ils constituent ce que le rapport nomme une “soft privileged infrastructure” : accès à des données sensibles, autorité déléguée, positionnement de confiance dans les workflows, sans les contrôles de sécurité équivalents à un opérateur humain privilégié. ...

🗓️ Contexte Source : BleepingComputer, publié le 19 mai 2026. 7-Eleven, chaîne de distribution mondiale opérant plus de 86 000 magasins, confirme officiellement une violation de données survenue le 8 avril 2026, revendiquée par le groupe d’extorsion ShinyHunters. 🔓 Déroulement de l’incident Date de compromission : 8 avril 2026 Vecteur d’attaque : accès non autorisé à l’environnement Salesforce de 7-Eleven Données ciblées : documents franchisés et informations personnelles identifiables (PII) Volume revendiqué : plus de 600 000 enregistrements Revendication publique : 17 avril 2026 sur le site de fuite dark web de ShinyHunters Fuite des données : publication d’une archive de 9,4 Go moins d’une semaine après la revendication, suite au refus de 7-Eleven de payer la rançon 📢 Réponse de 7-Eleven Des notifications de violation de données ont été envoyées aux individus concernés le 1er mai 2026 et déposées dans plusieurs États américains. Le nombre exact de personnes affectées n’a pas été divulgué. La société a indiqué avoir immédiatement lancé une investigation. ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe LAT61 Threat Intelligence de Point Wild (Kedar Shashikant Pandit, Prathamesh Shingare, Amol Swami), cet article présente une analyse technique approfondie d’un échantillon Python packagé via PyInstaller, identifié comme un loader multi-étapes déployant le RAT XWorm V7.4. 🧩 Chaîne d’infection L’exécutable initial est détecté comme PyInstaller [modified], suggérant une altération délibérée pour entraver l’analyse statique. Après extraction, le fichier .pyc malveillant principal est identifié : BA4Q6ACPMNrd980FwZn9iEbEqkjvRmw7FhW.pyc. ...

🗓️ Contexte Article publié le 19 mai 2026 par Pieter Arntz sur le blog Malwarebytes. Il documente une campagne d’arnaque active sur Facebook ciblant des consommateurs en Australie, aux États-Unis et dans d’autres pays, en usurpant l’identité de la marque de supermarché Aldi. 🎣 Mécanisme de l’arnaque Des publications Facebook provenant de comptes compromis ou fictifs proposent des boîtes de viande Aldi à moins de 10 $, en utilisant une histoire personnelle fictive pour paraître crédibles. Le lien malveillant est posté en commentaire (et non dans le post principal) pour contourner la détection automatique de la plateforme, via le service de raccourcissement d’URL cutt[.]ly. ...

🎯 Contexte Article publié le 19 mai 2026 par Snyk (blog.snyk.io), rédigé par Liran Tal. Il documente une attaque de supply chain active sur le registre npm, ciblant l’écosystème de visualisation de données @antv (suite originaire d’Alibaba). 🔥 Incident Le 19 mai 2026 entre 01:39 et 02:06 UTC, le groupe TeamPCP (alias : DeadCatx3, PCPcat) a publié 637 versions malveillantes sur 323 packages npm en deux vagues automatisées de 22 minutes. Le vecteur initial est la compromission du compte npm atool, qui maintient 547 packages représentant environ 16 millions de téléchargements hebdomadaires. ...

🗓️ Contexte Article publié le 16 mai 2026 sur BleepingComputer. Il relate le cas du chercheur en sécurité Justin O’Leary, qui a découvert en mars 2026 une vulnérabilité critique dans Azure Backup for AKS (Azure Kubernetes Service) et dont le rapport a été rejeté par Microsoft, sans émission de CVE ni d’advisory public. 🔍 Détail de la vulnérabilité La faille, classifiée comme Confused Deputy (CWE-441), exploite l’interaction entre Azure RBAC et Kubernetes RBAC : ...

🌐 Contexte Darktrace a publié le 14 mai 2026 une analyse technique détaillée d’une campagne d’intrusion attribuée avec confiance modérée à Twill Typhoon, un acteur de menace à nexus chinois. La campagne cible principalement des environnements clients dans la région Asie-Pacifique & Japon (APJ), avec une activité observée depuis fin septembre 2025 jusqu’en avril 2026. 🎯 Vecteurs et méthodes d’attaque La chaîne d’infection repose sur plusieurs techniques combinées : Usurpation de CDN : les hôtes compromis émettent des requêtes HTTP GET vers des domaines imitant Yahoo et Apple (ex: yahoo-cdn.it.com) DLL sideloading : un binaire légitime (ex: biz_render.exe de Sogou Pinyin IME) charge une DLL malveillante (browser_host.dll) portant le même nom que la DLL légitime attendue AppDomain hijacking via ClickOnce : dfsvc.exe (moteur ClickOnce Windows) est utilisé avec un fichier .config malveillant pour forcer le chargement de dnscfg.dll Exécution en mémoire : le loader utilise le CLR Windows pour exécuter des assemblies .NET directement en mémoire 🔧 Payload principal : FDMTP v3.2.5 Le payload central est dnscfg.dll (alias Client.TcpDmtp.dll), identifié comme une version mise à jour (3.2.5) du backdoor FDMTP. Il s’agit d’un RAT .NET modulaire fortement obfusqué qui : ...