Attaque supply chain NPM : UNC1069 compromet le package axios via un backdoor WAVESHAPER.V2

🌐 Contexte Publié le 31 mars 2026 par le Google Threat Intelligence Group (GTIG) / Mandiant, cet article documente une attaque de supply chain active ciblant le package NPM axios, l’une des bibliothèques JavaScript les plus populaires au monde (plus de 100 millions de téléchargements hebdomadaires pour la version 1.x). 🎯 Déroulement de l’attaque Entre le 31 mars 2026 00:21 et 03:20 UTC, un attaquant a compromis le compte mainteneur du package axios (en changeant l’adresse email associée vers ifstap@proton.me) et introduit une dépendance malveillante nommée plain-crypto-js (version 4.2.1) dans les versions axios 1.14.1 et 0.30.4. ...

1 avril 2026 · 3 min

Compromission de la chaîne d'approvisionnement npm : axios infecté via le paquet malveillant plain-crypto-js

🗓️ Contexte Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaîne d’approvisionnement ciblant le paquet npm axios, l’un des plus téléchargés au monde avec plus de 40 millions de téléchargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procédé en deux temps : Création préalable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise (nrwise@proton.me), conçu pour imiter le légitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifié en ifstap@proton.me), permettant la publication de axios@1.14.1 et axios@0.30.4 avec plain-crypto-js comme dépendance malveillante La preuve forensique clé est l’absence de provenance OIDC sur les versions malveillantes, publiées via npm CLI avec des credentials volés, contrairement aux versions légitimes publiées via GitHub Actions. ...

31 mars 2026 · 4 min

Empoisonnement d'axios sur npm : prise de compte, RAT multiplateforme, 50M téléchargements/semaine

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en ifstap@proton.me après la compromission pour verrouiller le propriétaire légitime. ...

31 mars 2026 · 3 min

Operation DualScript : campagne PowerShell multi-étapes ciblant crypto et finance via RetroRAT

🔍 Contexte Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L’investigation a débuté suite à la détection de tâches planifiées Windows suspectes exécutant des fichiers VBScript depuis des répertoires accessibles aux utilisateurs. ⚙️ Mécanisme d’infection L’attaque repose sur deux chaînes d’exécution parallèles déclenchées via des Scheduled Tasks : Chaîne 1 : ppamproServiceZuneWAL.vbs → ppamproServiceZuneWAL.ps1 → téléchargement de Wallet.txt depuis https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt → exécution en mémoire d’un hijacker de presse-papiers ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.) Chaîne 2 : PiceVid.vbs → PiceVid.ps1 → déploiement en mémoire du RAT RetroRAT via Invoke-Expression 🦠 RetroRAT – Analyse du payload RetroRAT est un Remote Access Trojan financièrement motivé avec les capacités suivantes : ...

31 mars 2026 · 3 min

Attaque supply chain : 3 extensions VSCode IoliteLabs ciblent les développeurs Solidity avec backdoor

🔍 Contexte Analyse publiée le 30 mars 2026 par StepSecurity, portant sur une attaque de supply chain découverte sur le VS Code Marketplace. Trois extensions publiées par le compte IoliteLabs — solidity-macos, solidity-windows et solidity-linux — ont été simultanément mises à jour en version 0.1.8 le 25 mars 2026, après être restées dormantes depuis 2018. Ces extensions totalisaient environ 27 500 installations combinées. 🎯 Vecteur d’attaque L’attaquant a compromis le compte éditeur IoliteLabs sur le VS Code Marketplace (hijack de compte dormant), sans modifier le dépôt GitHub source. La version 0.1.8 a été publiée directement sur la marketplace sans commit correspondant. Le code malveillant n’est pas dans le point d’entrée de l’extension (extension.js) mais injecté dans une copie altérée de la dépendance npm légitime pako (node_modules/pako/index.js), dont le SHA-256 diffère de la version officielle. ...

30 mars 2026 · 4 min

CTRL : découverte d'un framework d'accès distant .NET russe inédit combinant phishing, keylogging et tunneling FRP

🔍 Contexte Publié le 30 mars 2026 par Censys ARC (Andrew Northern), cet article présente l’analyse technique complète d’un toolkit d’accès distant inédit, baptisé CTRL, découvert via le scan d’open directories de Censys en février 2026. Aucun artefact n’était présent sur VirusTotal, Hybrid Analysis ou dans les flux de threat intelligence publics au moment de la publication. 🎯 Description du toolkit CTRL CTRL est un toolkit post-exploitation développé en .NET par un opérateur russophone, distribué via un fichier LNK weaponisé (Private Key #kfxm7p9q_yek.lnk) se faisant passer pour un dossier Windows. Il combine : ...

30 mars 2026 · 4 min

CVE-2026-3055 : Citrix NetScaler – Seconde vulnérabilité de fuite mémoire exploitée in-the-wild

🔍 Contexte Publié le 30 mars 2026 par watchTowr Labs, cet article constitue la Partie 2 d’une analyse de la vulnérabilité CVE-2026-3055 affectant Citrix NetScaler. Les chercheurs ont découvert que ce CVE unique couvre en réalité au moins deux vulnérabilités distinctes de type memory overread. 🐛 Vulnérabilités identifiées Les deux endpoints affectés sont : /saml/login (analysé en Partie 1) /wsfed/passive?wctx (objet de cet article) La seconde vulnérabilité est déclenchée par une requête GET vers /wsfed/passive?wctx où le paramètre wctx est présent dans la query string mais sans valeur ni symbole =. Le système vérifie uniquement la présence du paramètre sans valider l’existence de données associées, ce qui provoque un accès à de la mémoire morte (dead memory). ...

30 mars 2026 · 2 min

EvilTokens : nouveau kit PhaaS de phishing par device code Microsoft découvert en mars 2026

🔍 Contexte Rapport publié par Sekoia Threat Detection & Research (TDR) le 30 mars 2026, initialement distribué en privé le 25 mars 2026. L’analyse porte sur EvilTokens, un nouveau kit de Phishing-as-a-Service (PhaaS) découvert en mars 2026 via la surveillance de communautés cybercriminelles axées sur le phishing. 🎯 Description de la menace EvilTokens est un kit PhaaS clé en main ciblant Microsoft 365 via la technique de device code phishing, exploitant le flux OAuth 2.0 Device Authorization Grant. Contrairement aux plateformes AitM classiques, EvilTokens incite les victimes à entrer un code utilisateur sur la page légitime de Microsoft, permettant à l’attaquant de récupérer des access tokens et refresh tokens valides. ...

30 mars 2026 · 5 min

Attaque RBCD cross-domaine et cross-forêt Active Directory : analyse technique et implémentation Impacket

🔍 Contexte Publié le 23/03/2026 par Simon Msika de Synacktiv, cet article présente une recherche approfondie sur l’exploitation de la délégation contrainte basée sur les ressources (RBCD) dans des environnements Active Directory multi-domaines et multi-forêts, un scénario peu documenté jusqu’alors. ⚙️ Mécanisme de l’attaque L’attaque RBCD repose sur la modification de l’attribut msDS-AllowedToActOnBehalfOfOtherIdentity d’un compte machine pour permettre l’usurpation d’identité d’utilisateurs. Dans un contexte cross-domaine, le workflow Kerberos implique plusieurs étapes supplémentaires : ...

29 mars 2026 · 2 min

CVE-2025-14325 : Type confusion dans le JIT Baseline de Firefox via SpiderMonkey

🔍 Contexte Publié le 28 mars 2026 sur le blog de recherche QriouSec, cet article présente une analyse technique approfondie de la vulnérabilité CVE-2025-14325, découverte dans le moteur JavaScript SpiderMonkey de Mozilla Firefox. La découverte a été facilitée par du fuzzing assisté par IA (Claude Code) ciblant la fonctionnalité TypedArray resizable. 🐛 Vulnérabilité : Type Confusion dans le JIT Baseline La vulnérabilité réside dans le mécanisme des inline caches (IC) du tier Baseline JIT de SpiderMonkey. Le flux d’exploitation repose sur une fenêtre de ré-entrance : ...

29 mars 2026 · 3 min
Dernière mise à jour le: 5 juillet 2026 📝