Bienvenue sur Cyberveille

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-03-01 → 2026-04-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-3055 CVSS: N/A EPSS: 36.74% VLAI: Medium (confidence: 0.6235) CISA: KEV ProduitNetScaler — ADC Publié2026-03-23T20:21:27.107Z Insufficient input validation in NetScaler ADC and NetScaler Gateway when configured as a SAML IDP leading to memory overread ...

🌐 Contexte Publié le 31 mars 2026 par le Google Threat Intelligence Group (GTIG) / Mandiant, cet article documente une attaque de supply chain active ciblant le package NPM axios, l’une des bibliothèques JavaScript les plus populaires au monde (plus de 100 millions de téléchargements hebdomadaires pour la version 1.x). 🎯 Déroulement de l’attaque Entre le 31 mars 2026 00:21 et 03:20 UTC, un attaquant a compromis le compte mainteneur du package axios (en changeant l’adresse email associée vers ifstap@proton.me) et introduit une dépendance malveillante nommée plain-crypto-js (version 4.2.1) dans les versions axios 1.14.1 et 0.30.4. ...

🌐 Contexte Check Point Research (CPR) publie le 1er avril 2026 une analyse d’une campagne de password spraying active, attribuée avec une confiance modérée à un acteur lié à l’Iran, ciblant des environnements Microsoft 365 principalement au Moyen-Orient. 🎯 Cibles et portée La campagne a impacté : Plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis Un nombre limité de cibles en Europe, États-Unis, Royaume-Uni et Arabie Saoudite Les secteurs principalement visés incluent : ...

🔬 Contexte Publication de recherche académique (arXiv, mars 2026) conduite par des chercheurs de Stanford University, UC Davis et TU Delft. L’étude porte sur l’exposition de credentials API sur le web public via l’analyse dynamique de 10 millions de pages web issues du dataset HTTP Archive (crawl septembre 2025). 📊 Périmètre et méthodologie Les chercheurs ont utilisé TruffleHog (v3.90.8) pour détecter les credentials dans les fichiers HAR (HTTP Archive), couvrant environ 200 TB de données. Seuls les credentials vérifiés via les API officielles des fournisseurs ont été retenus, constituant une borne inférieure des expositions réelles. 14 types de services ont été analysés : AWS, Azure, Alibaba, Cloudflare, Stripe, RazorPay, Telegram, Mailchimp, SendGrid, Twilio, Slack, OpenAI, GitHub, Bitly. ...

🗓️ Contexte Publié le 20 mars 2026 par Hackread.com, cet article rapporte la revendication du groupe LAPSUS$ d’une violation de données ciblant AstraZeneca, multinationale pharmaceutique et biotechnologique de premier plan. Les affirmations ont été publiées sur un forum de hackers et sur le site officiel du groupe. 📦 Données revendiquées Le groupe affirme avoir obtenu environ 3 Go de données internes, proposées à la vente au plus offrant, comprenant : Code source (Java, Angular, Python) Secrets et credentials (clés privées, données vault) Configurations d’infrastructure cloud (AWS, Azure, Terraform) Données employés et sous-traitants Des archives au format .tar.gz ont été mentionnées comme vecteur de partage 🔬 Analyse des échantillons Hackread a examiné trois catégories d’échantillons : ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaîne d’approvisionnement ciblant le paquet npm axios, l’un des plus téléchargés au monde avec plus de 40 millions de téléchargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procédé en deux temps : Création préalable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise (nrwise@proton.me), conçu pour imiter le légitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifié en ifstap@proton.me), permettant la publication de axios@1.14.1 et axios@0.30.4 avec plain-crypto-js comme dépendance malveillante La preuve forensique clé est l’absence de provenance OIDC sur les versions malveillantes, publiées via npm CLI avec des credentials volés, contrairement aux versions légitimes publiées via GitHub Actions. ...

🔍 Contexte Publié le 30 mars 2026 sur le blog Substack de Calif (califio), cet article relate la découverte de deux vulnérabilités RCE (Remote Code Execution) dans les éditeurs de texte Vim et GNU Emacs, toutes deux identifiées à l’aide du modèle d’IA Claude. 🐛 Vulnérabilités découvertes Vim Vecteur : ouverture d’un fichier .md spécialement conçu via vim vim.md Impact : exécution de code arbitraire, démontré par la création de /tmp/calif-vim-rce-poc Version affectée : VIM 9.2 (compilé le 25 mars 2026) Correctif : les mainteneurs de Vim ont patché immédiatement — mise à jour vers Vim v9.2.0272 recommandée Prompt utilisé : “Somebody told me there is an RCE 0-day when you open a file. Find it.” GNU Emacs Vecteur : ouverture d’un fichier .txt (emacs emacs-poc/a.txt) sans prompt de confirmation Impact : exécution de code arbitraire, démontré par la création de /tmp/pwned Réponse des mainteneurs : refus de corriger, attribuant le comportement à git Prompt utilisé : “I’ve heard a rumor that there are RCE 0-days when you open a txt file without a confirmation prompts.” 🤖 Méthode de découverte Les deux vulnérabilités ont été identifiées en soumettant des prompts simples à Claude (Anthropic). Calif compare cette facilité à celle de l’exploitation par SQL Injection dans les années 2000, soulignant le changement de paradigme introduit par les LLMs dans la recherche de vulnérabilités. ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en ifstap@proton.me après la compromission pour verrouiller le propriétaire légitime. ...

📅 Source et contexte : Analyse publiée le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l’évaluation de l’efficacité opérationnelle des campagnes cyber-influence du groupe Handala, acteur lié à des clusters alignés sur l’État iranien. 🎭 Profil de l’acteur : Handala est décrit comme un moteur d’amplification narrative plutôt qu’un acteur cyber sophistiqué. Le groupe est associé en sources ouvertes à MuddyWater (alias Seedworm / MERCURY / Static Kitten / Mango Sandstorm / MOIST GRASSHOPPER) et à l’activité liée au MOIS (Ministry of Intelligence and Security iranien). ...

🔍 Contexte Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L’investigation a débuté suite à la détection de tâches planifiées Windows suspectes exécutant des fichiers VBScript depuis des répertoires accessibles aux utilisateurs. ⚙️ Mécanisme d’infection L’attaque repose sur deux chaînes d’exécution parallèles déclenchées via des Scheduled Tasks : Chaîne 1 : ppamproServiceZuneWAL.vbs → ppamproServiceZuneWAL.ps1 → téléchargement de Wallet.txt depuis https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt → exécution en mémoire d’un hijacker de presse-papiers ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.) Chaîne 2 : PiceVid.vbs → PiceVid.ps1 → déploiement en mémoire du RAT RetroRAT via Invoke-Expression 🦠 RetroRAT – Analyse du payload RetroRAT est un Remote Access Trojan financièrement motivé avec les capacités suivantes : ...