Bienvenue sur Cyberveille

Veille semi-automatisée en cybersécurité : articles synthétisés et traduits automatiquement à partir de sources fiables, triés par catégorie.

🔗 La section CTI explore les connexions entre acteurs de menace, malwares, TTPs MITRE ATT&CK et vulnĂ©rabilitĂ©s — graphe interactif construit sur l’ensemble des articles publiĂ©s.

🌍 La carte Pew Pew visualise en temps rĂ©el les attaques dĂ©tectĂ©es par CrowdSec sur mon honeypot hebergĂ© par Infomaniak (SSH, HTTP, Nextcloud).

💬 Discussions et publications sur notre communautĂ© Lemmy.

En savoir plus →â„č

Compromission de la chaßne d'approvisionnement npm : axios infecté via le paquet malveillant plain-crypto-js

đŸ—“ïž Contexte Analyse technique publiĂ©e le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaĂźne d’approvisionnement ciblant le paquet npm axios, l’un des plus tĂ©lĂ©chargĂ©s au monde avec plus de 40 millions de tĂ©lĂ©chargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procĂ©dĂ© en deux temps : CrĂ©ation prĂ©alable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise (nrwise@proton.me), conçu pour imiter le lĂ©gitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifiĂ© en ifstap@proton.me), permettant la publication de axios@1.14.1 et axios@0.30.4 avec plain-crypto-js comme dĂ©pendance malveillante La preuve forensique clĂ© est l’absence de provenance OIDC sur les versions malveillantes, publiĂ©es via npm CLI avec des credentials volĂ©s, contrairement aux versions lĂ©gitimes publiĂ©es via GitHub Actions. ...

31 mars 2026 Â· 4 min

Des RCE dĂ©couvertes dans Vim et GNU Emacs via Claude (IA) — ouverture de fichier suffisante

🔍 Contexte PubliĂ© le 30 mars 2026 sur le blog Substack de Calif (califio), cet article relate la dĂ©couverte de deux vulnĂ©rabilitĂ©s RCE (Remote Code Execution) dans les Ă©diteurs de texte Vim et GNU Emacs, toutes deux identifiĂ©es Ă  l’aide du modĂšle d’IA Claude. 🐛 VulnĂ©rabilitĂ©s dĂ©couvertes Vim Vecteur : ouverture d’un fichier .md spĂ©cialement conçu via vim vim.md Impact : exĂ©cution de code arbitraire, dĂ©montrĂ© par la crĂ©ation de /tmp/calif-vim-rce-poc Version affectĂ©e : VIM 9.2 (compilĂ© le 25 mars 2026) Correctif : les mainteneurs de Vim ont patchĂ© immĂ©diatement — mise Ă  jour vers Vim v9.2.0272 recommandĂ©e Prompt utilisĂ© : “Somebody told me there is an RCE 0-day when you open a file. Find it.” GNU Emacs Vecteur : ouverture d’un fichier .txt (emacs emacs-poc/a.txt) sans prompt de confirmation Impact : exĂ©cution de code arbitraire, dĂ©montrĂ© par la crĂ©ation de /tmp/pwned RĂ©ponse des mainteneurs : refus de corriger, attribuant le comportement Ă  git Prompt utilisĂ© : “I’ve heard a rumor that there are RCE 0-days when you open a txt file without a confirmation prompts.” đŸ€– MĂ©thode de dĂ©couverte Les deux vulnĂ©rabilitĂ©s ont Ă©tĂ© identifiĂ©es en soumettant des prompts simples Ă  Claude (Anthropic). Calif compare cette facilitĂ© Ă  celle de l’exploitation par SQL Injection dans les annĂ©es 2000, soulignant le changement de paradigme introduit par les LLMs dans la recherche de vulnĂ©rabilitĂ©s. ...

31 mars 2026 Â· 2 min

Empoisonnement d'axios sur npm : prise de compte, RAT multiplateforme, 50M téléchargements/semaine

đŸ—“ïž Contexte Analyse technique publiĂ©e le 31 mars 2026 par Mend.io, documentant une attaque de chaĂźne d’approvisionnement ciblant la bibliothĂšque npm axios (50 millions de tĂ©lĂ©chargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publiĂ© directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond Ă  ces versions. L’adresse email du compte mainteneur a Ă©tĂ© modifiĂ©e en ifstap@proton.me aprĂšs la compromission pour verrouiller le propriĂ©taire lĂ©gitime. ...

31 mars 2026 Â· 3 min

Évaluation de l'efficacitĂ© des campagnes cyber-influence de Handala

📅 Source et contexte : Analyse publiĂ©e le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l’évaluation de l’efficacitĂ© opĂ©rationnelle des campagnes cyber-influence du groupe Handala, acteur liĂ© Ă  des clusters alignĂ©s sur l’État iranien. 🎭 Profil de l’acteur : Handala est dĂ©crit comme un moteur d’amplification narrative plutĂŽt qu’un acteur cyber sophistiquĂ©. Le groupe est associĂ© en sources ouvertes Ă  MuddyWater (alias Seedworm / MERCURY / Static Kitten / Mango Sandstorm / MOIST GRASSHOPPER) et Ă  l’activitĂ© liĂ©e au MOIS (Ministry of Intelligence and Security iranien). ...

31 mars 2026 Â· 2 min

Operation DualScript : campagne PowerShell multi-étapes ciblant crypto et finance via RetroRAT

🔍 Contexte Analyse technique publiĂ©e le 31 mars 2026 par Seqrite (Ă©quipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L’investigation a dĂ©butĂ© suite Ă  la dĂ©tection de tĂąches planifiĂ©es Windows suspectes exĂ©cutant des fichiers VBScript depuis des rĂ©pertoires accessibles aux utilisateurs. ⚙ MĂ©canisme d’infection L’attaque repose sur deux chaĂźnes d’exĂ©cution parallĂšles dĂ©clenchĂ©es via des Scheduled Tasks : ChaĂźne 1 : ppamproServiceZuneWAL.vbs → ppamproServiceZuneWAL.ps1 → tĂ©lĂ©chargement de Wallet.txt depuis https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt → exĂ©cution en mĂ©moire d’un hijacker de presse-papiers ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.) ChaĂźne 2 : PiceVid.vbs → PiceVid.ps1 → dĂ©ploiement en mĂ©moire du RAT RetroRAT via Invoke-Expression 🩠 RetroRAT – Analyse du payload RetroRAT est un Remote Access Trojan financiĂšrement motivĂ© avec les capacitĂ©s suivantes : ...

31 mars 2026 Â· 3 min

Operation NoVoice : rootkit Android distribué via Google Play, 2,3 millions de téléchargements

🔍 Contexte PubliĂ© le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zubair Zahid), cet article prĂ©sente les rĂ©sultats d’une investigation approfondie sur une campagne de rootkit Android baptisĂ©e Operation NoVoice, distribuĂ©e via le Google Play Store officiel. 🎯 Vecteur d’infection et distribution Plus de 50 applications malveillantes publiĂ©es sur Google Play (nettoyeurs, jeux, galeries photos) ont Ă©tĂ© identifiĂ©es, totalisant au moins 2,3 millions de tĂ©lĂ©chargements. Aucun sideloading requis, aucune permission inhabituelle demandĂ©e. Les composants malveillants sont enregistrĂ©s sous com.facebook.utils, se fondant dans le SDK Facebook lĂ©gitime. Le payload initial est dissimulĂ© dans une image polyglotte (payload chiffrĂ© aprĂšs le marqueur IEND du PNG). ⚙ ChaĂźne d’infection en 8 Ă©tapes Stage 1 – Delivery : Extraction et dĂ©chiffrement du payload enc.apk → h.apk depuis les assets de l’app. Stage 2 – Gatekeeper : Chargement de libkwc.so qui vĂ©rifie l’environnement (15 contrĂŽles anti-analyse, gĂ©ofencing Beijing/Shenzhen, dĂ©tection Ă©mulateur, Xposed, VPN). Stage 3 – Plugin : Framework plugin “kuwo” avec check-in C2 toutes les 60 secondes ; plugins livrĂ©s via images polyglotte dĂ©guisĂ©es en icĂŽnes (warningIcon). Stage 4 – Exploit : security.jar envoie les identifiants matĂ©riels au C2 qui retourne des exploits ciblĂ©s. 22 exploits rĂ©cupĂ©rĂ©s, dont une chaĂźne : use-after-free IPv6 + vulnĂ©rabilitĂ© driver Mali GPU + dĂ©sactivation SELinux. Stage 5 – Rootkit : CsKaitno.d remplace libandroid_runtime.so et libmedia_jni.so par des wrappers malveillants (ARM32/ARM64). jkpatch modifie le bytecode framework compilĂ© sur disque. Stage 6 – Watchdog : Daemon watch_dog vĂ©rifie l’installation toutes les 60 secondes, force un redĂ©marrage si nĂ©cessaire. Survit Ă  la rĂ©initialisation d’usine (Android 7 et infĂ©rieur). Stage 7 – Injection : À chaque dĂ©marrage, toutes les apps hĂ©ritent du code attaquant. BufferA (installeur silencieux) et BufferB (outil post-exploitation principal, deux canaux C2 indĂ©pendants). Stage 8 – Theft : Payload PtfLibc (hĂ©bergĂ© sur Alibaba Cloud OSS) cible WhatsApp : copie de la base de donnĂ©es de chiffrement, extraction des clĂ©s Signal, clonage de session. 🌍 GĂ©ographie et cibles Les taux d’infection les plus Ă©levĂ©s sont observĂ©s au Nigeria, Éthiopie, AlgĂ©rie, Inde et Kenya, rĂ©gions oĂč les appareils anciens sous Android 7 ou infĂ©rieur sont rĂ©pandus. ...

31 mars 2026 Â· 4 min

Phantom Stealer : campagne de vol de credentials ciblant la logistique et l'industrie européennes

🔍 Contexte PubliĂ© le 31 mars 2026 par Group-IB, cet article documente une campagne active de distribution du Phantom Stealer, un infostealer commercial vendu sous forme de service (Stealer-as-a-Service), dĂ©tectĂ©e et bloquĂ©e par la solution Business Email Protection de Group-IB. 🎯 Campagne observĂ©e Entre novembre 2025 et janvier 2026, cinq vagues distinctes d’emails de phishing ont ciblĂ© des organisations europĂ©ennes dans les secteurs de la logistique, de la fabrication industrielle et de la technologie. Le mĂȘme expĂ©diteur usurpĂ© — une sociĂ©tĂ© lĂ©gitime de commerce d’équipements — a Ă©tĂ© utilisĂ© tout au long de la campagne, avec rotation des lignes d’objet, des noms de piĂšces jointes et de l’infrastructure d’envoi. ...

31 mars 2026 Â· 3 min

TeamPCP : campagne post-compromission exploitant des secrets volés via supply chain

🔍 Contexte PubliĂ© le 31 mars 2026 par Wiz Research et le Wiz Customer Incident Response Team (CIRT), cet article dĂ©taille les activitĂ©s post-compromission du groupe TeamPCP, identifiĂ© comme responsable d’une sĂ©rie d’attaques supply chain ciblant des outils open source populaires entre le 19 et le 27 mars 2026. 🎯 Campagne supply chain initiale TeamPCP a injectĂ© des malwares de vol de credentials dans quatre projets open source : 19 mars : Trivy (Aqua Security) — binaires, GitHub Actions et images container 23 mars : KICS (Checkmarx) — GitHub Action et extensions OpenVSX 24 mars : LiteLLM — packages PyPI malveillants 27 mars : Telnyx — packages Python malveillants sur PyPI Le malware dĂ©ployĂ© collecte des credentials cloud, clĂ©s SSH, fichiers de configuration Kubernetes et secrets CI/CD, puis les chiffre et les exfiltre vers des domaines contrĂŽlĂ©s par l’attaquant. ...

31 mars 2026 Â· 3 min

Analyse technique des botnets basés sur Mirai : Aisuru, KimWolf, Satori et opérations de démantÚlement

🌐 Contexte PubliĂ© le 30 mars 2026 par Pulsedive Threat Research, cet article constitue un primer technique sur l’écosystĂšme des botnets modernes basĂ©s sur Mirai, avec un focus sur les familles Aisuru, KimWolf et Satori, ainsi que sur les actions de dĂ©mantĂšlement menĂ©es par le DOJ amĂ©ricain le 19 mars 2026. 📈 Tendances gĂ©nĂ©rales Spamhaus a enregistrĂ© une hausse de 24 % des serveurs C2 de botnets sur la pĂ©riode juillet-dĂ©cembre 2025 par rapport au semestre prĂ©cĂ©dent, et de 26 % sur janvier-juin 2025. Les États-Unis ont dĂ©passĂ© la Chine comme pays hĂ©bergeant le plus de serveurs C2, une position que la Chine dĂ©tenait depuis le troisiĂšme trimestre 2023. ...

30 mars 2026 Â· 3 min

Attaque supply chain : 3 extensions VSCode IoliteLabs ciblent les développeurs Solidity avec backdoor

🔍 Contexte Analyse publiĂ©e le 30 mars 2026 par StepSecurity, portant sur une attaque de supply chain dĂ©couverte sur le VS Code Marketplace. Trois extensions publiĂ©es par le compte IoliteLabs — solidity-macos, solidity-windows et solidity-linux — ont Ă©tĂ© simultanĂ©ment mises Ă  jour en version 0.1.8 le 25 mars 2026, aprĂšs ĂȘtre restĂ©es dormantes depuis 2018. Ces extensions totalisaient environ 27 500 installations combinĂ©es. 🎯 Vecteur d’attaque L’attaquant a compromis le compte Ă©diteur IoliteLabs sur le VS Code Marketplace (hijack de compte dormant), sans modifier le dĂ©pĂŽt GitHub source. La version 0.1.8 a Ă©tĂ© publiĂ©e directement sur la marketplace sans commit correspondant. Le code malveillant n’est pas dans le point d’entrĂ©e de l’extension (extension.js) mais injectĂ© dans une copie altĂ©rĂ©e de la dĂ©pendance npm lĂ©gitime pako (node_modules/pako/index.js), dont le SHA-256 diffĂšre de la version officielle. ...

30 mars 2026 Â· 4 min
Derniùre mise à jour le: 31 Mar 2026 📝