Analyse Technique

🎯 Contexte Publié le 20 mars 2026 par Aikido Security (Charlie Eriksen), cet article documente la détection le 20 mars 2026 à 20h45 UTC d’une campagne de compromission massive de packages NPM, baptisée CanisterWorm, attribuée au groupe TeamPCP. Cette attaque fait suite à une compromission de l’outil Trivy moins de 24 heures auparavant, documentée par Wiz. 📦 Packages compromis 28 packages dans le scope @EmilGroup 16 packages dans le scope @opengov @teale.io/eslint-config @airtm/uuid-base32 @pypestream/floating-ui-dom 🏗️ Architecture en trois étapes Stage 1 – Loader Node.js (postinstall) : Un hook postinstall dans index.js décode un payload base64 (script Python), crée un service systemd utilisateur pgmon.service avec Restart=always, et le démarre immédiatement. Aucun accès root requis. Stage 2 – Backdoor Python persistante : Le script service.py attend 5 minutes (évasion sandbox), puis interroge toutes les ~50 minutes un canister ICP (tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io) pour obtenir une URL de payload. Il télécharge le binaire vers /tmp/pglog, l’exécute en processus détaché, et sauvegarde l’URL dans /tmp/.pg_state. Un kill switch est intégré : si l’URL contient youtube.com, le payload est ignoré. Stage 3 – Ver de propagation (deploy.js) : Outil initialement manuel utilisant des tokens NPM volés pour énumérer tous les packages publiables d’un compte, incrémenter la version patch, préserver le README original, et republier avec --tag latest. 🐛 Évolution vers l’auto-propagation Environ une heure après la vague initiale, une mise à jour de @teale.io/eslint-config (versions 1.8.11 et 1.8.12) a introduit la fonction findNpmTokens() qui : ...

🔍 Contexte Article publié le 24 mars 2026 sur le blog personnel de l’analyste 7amthereaper. Il s’agit d’une analyse technique complète et d’un reverse engineering du malware Brbbot, présenté comme un trojan/bot pouvant également fonctionner comme backdoor. 🧬 Identification du sample Le sample analysé est identifié par le hash SHA256 : f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa. ⚙️ Comportements observés L’analyse statique et dynamique révèle les comportements suivants : Persistance : modification de la clé de registre \Microsoft\Windows\CurrentVersion\Run avec la valeur brbbot Fichier de configuration chiffré : dépôt d’un fichier brbbotconfig.tmp sur le disque, chiffré avec la clé YnJiYm90 Chiffrement : utilisation de l’API Windows CryptDecrypt pour déchiffrer la configuration Énumération des processus : via ZwQuerySystemInformation résolu dynamiquement (Dynamic API Resolution) depuis ntdll.dll Communication C2 : requêtes HTTP vers brb.3dtuts.by ciblant le fichier ads.php, avec exfiltration de données chiffrées par XOR avec la clé 0x5b 📋 Commandes bot identifiées La configuration déchiffrée révèle les commandes suivantes : ...

🔍 Contexte Analyse publiée le 20 mars 2026 par Xavier Mertens (ISC SANS Handler) suite à la découverte d’un script Bash malveillant installant un backdoor basé sur GSocket/gs-netcat. Le vecteur de livraison initial est inconnu. Le sample a été identifié sur VirusTotal avec seulement 17 détections antivirus. 🛠️ Fonctionnement du malware GSocket est un outil réseau légitime permettant des communications pair-à-pair via un réseau de relais global, en utilisant un secret partagé plutôt que des adresses IP. L’outil gs-netcat est détourné ici pour fournir un shell distant et un canal C2. ...

🔍 Contexte Publié le 24 mars 2026 par les chercheurs Mark Tsipershtein et Evgeny Ananin (LevelBlue/SpiderLabs), cet article présente une analyse technique approfondie de MioLab (alias Nova), une plateforme Malware-as-a-Service (MaaS) ciblant exclusivement macOS, activement promue sur des forums russophones. 🎯 Présentation de la menace MioLab est un infostealer macOS commercialisé avec un panel web, une API complète et un builder visuel. Il supporte les architectures Intel x86-64 et Apple Silicon ARM64, de macOS Sierra à Tahoe. Le payload est écrit en C, pèse environ 100 KB et emploie une obfuscation XOR dynamique à l’exécution. ...

🔍 Contexte Publié le 24 mars 2026 par Acronis Threat Research Unit (TRU), cet article présente une analyse technique approfondie de campagnes de distribution du malware Vidar Stealer 2.0 via de faux outils de triche pour jeux vidéo, hébergés principalement sur GitHub et promus sur Reddit. 🎯 Vecteur d’infection et ciblage Les attaquants exploitent les communautés de joueurs cherchant des cheats gratuits (aimbots, wallhacks, etc.) sur Discord, Reddit et GitHub. Les victimes sont incitées à : ...

🔍 Contexte Publié le 24 mars 2026 par Gen Threat Labs (GenDigital), cet article présente une analyse technique approfondie de VoidStealer, un infostealer de type MaaS (Malware-as-a-Service) commercialisé depuis mi-décembre 2025 sur des forums darkweb, notamment HackForums. 🦠 Présentation de VoidStealer VoidStealer est un infostealer MaaS dont le développement actif a produit 12 versions entre le 12 décembre 2025 et le 18 mars 2026. La version v2.0 (13 mars 2026) a introduit la technique novatrice de bypass ABE analysée dans cet article. Il cible Chrome et Edge (navigateurs basés sur Chromium). ...

📅 Source : Blog de Maor Sabag (maorsabag.github.io), publié le 14 mars 2026. Article de recherche offensive détaillant l’amélioration de l’agent Adaptix C2 par encapsulation dans un Reflective DLL Loader (RDLL) Crystal Palace. 🔧 Contexte technique : L’agent Adaptix par défaut est chargé en mémoire avec des permissions RWX sur toutes les sections, sans hooking IAT ni obfuscation du sommeil, ce qui le rend facilement détectable par les solutions EDR/SOC. ...

🔍 Contexte Publié le 20 mars 2026 par Jamf Threat Labs (Thijs Xhaflaire), cet article détaille l’extension de la campagne GhostClaw/GhostLoader, initialement documentée par JFrog Security Research début mars 2026. Jamf a identifié au moins huit nouveaux échantillons et des vecteurs d’infection inédits via des dépôts GitHub malveillants. 🎯 Vecteurs d’infection Deux méthodes de distribution parallèles ont été observées : Dépôts GitHub malveillants : impersonnent des outils légitimes (trading bots, SDKs, utilitaires développeurs). Certains dépôts affichent plusieurs centaines d’étoiles (ex. TradingView-Claw : 386 étoiles). Les dépôts sont d’abord peuplés de code bénin avant introduction de composants malveillants. Workflows IA (OpenClaw) : des fichiers SKILL.md ciblent les agents de développement IA qui installent automatiquement des “skills” depuis GitHub. Le comportement malveillant est déclenché lors de la phase d’installation (install.sh). ⚙️ Chaîne d’exécution multi-étapes Bootstrap (install.sh) : récupère et exécute le script initial, installe Node.js dans un répertoire utilisateur (sans privilèges élevés), utilise curl -k (TLS désactivé). Vol de credentials (setup.js) : script JavaScript fortement obfusqué. Affiche de faux indicateurs de progression, présente une fausse invite de mot de passe en terminal, valide les credentials via dscl . -authonly. Utilise AppleScript pour des dialogues natifs imitant des prompts macOS. Demande l’accès Full Disk Access (FDA). Récupération du payload secondaire : contacte le C2 trackpipe[.]dev avec un UUID unique par dépôt, reçoit un payload chiffré, le déchiffre et l’écrit dans /tmp/sys-opt-{random}.js, puis l’exécute en processus détaché. Persistance : le payload secondaire (GhostLoader) se relocalise dans ~/.cache/.npm_telemetry/monitor.js. Anti-forensics (postinstall.js) : efface le terminal, installe le package npm antigravity (package légitime ancien, utilisé comme leurre), affiche des messages de succès factices. 🌐 Infrastructure C2 Domaine unique partagé : trackpipe.dev Identifiants UUID distincts par dépôt pour segmenter l’activité Variable d’environnement NODE_CHANNEL transmise au payload secondaire 🔗 Campagnes connexes L’article mentionne des campagnes similaires récentes : Glassworm et PolinRider, utilisant des techniques analogues de supply chain logicielle. ...

🔍 Contexte Publié le 22 mars 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente une analyse technique détaillée d’un nouveau malware nommé Infostealer.Speagle, attribué à un acteur inconnu désigné Runningcrab. 🎯 Nature de la menace Speagle est un infostealer 32 bits écrit en .NET qui cible exclusivement les machines sur lesquelles le logiciel légitime Cobra DocGuard (développé par la société chinoise EsafeNet) est installé. Il détourne l’infrastructure de ce logiciel pour masquer ses communications malveillantes en les faisant passer pour des échanges légitimes client-serveur. ...

🔍 Contexte Publié sur GitHub par l’utilisateur daem0nc0re dans le dépôt PrivFu (907 étoiles, 129 forks), ce fichier source C# constitue un proof-of-concept (PoC) démontrant l’utilisation du privilège Windows SeLockMemoryPrivilege. ⚙️ Fonctionnement technique Le PoC illustre comment un processus disposant du privilège SeLockMemoryPrivilege peut : Appeler GetLargePageMinimum() (kernel32.dll) pour obtenir la taille minimale d’une Large Page Allouer une Large Page en mémoire physique via VirtualAlloc() avec les flags MEM_COMMIT | MEM_RESERVE | MEM_LARGE_PAGES Libérer la mémoire allouée via VirtualFree() Gérer proprement l’interruption Ctrl+C avec un handler de nettoyage 🛠️ APIs Windows utilisées kernel32.dll → GetLargePageMinimum, VirtualAlloc, VirtualFree Flags d’allocation : MEM_LARGE_PAGES, MEM_COMMIT, MEM_RESERVE Protection mémoire : PAGE_READWRITE 🎯 Objectif du PoC Le code démontre qu’un attaquant ou un processus disposant de SeLockMemoryPrivilege peut consommer de la mémoire physique via des Large Pages ou AWE (Address Windowing Extensions), ce qui peut être exploité à des fins de déni de service local ou d’abus de privilèges Windows. ...