macOS 26.4 : Reverse engineering des événements Endpoint Security non documentés liés au réseau

🔍 Contexte Article publiĂ© le 26 mars 2026 par Patrick Wardle (Objective-See Foundation) sur son blog technique. L’article documente une analyse par rĂ©tro-ingĂ©nierie des nouveaux Ă©vĂ©nements Endpoint Security (ES) introduits dans macOS 26.4, laissĂ©s sans documentation publique par Apple sous la forme ES_EVENT_TYPE_RESERVED_*. đŸ§© DĂ©couverte des Ă©vĂ©nements rĂ©servĂ©s Avec la sortie du MacOSX26.4.sdk, Apple a ajoutĂ© 7 nouveaux types d’évĂ©nements ES (RESERVED_0 Ă  RESERVED_6) sans les documenter ni les nommer. Wardle tente de s’y abonner via es_subscribe : ...

29 mars 2026 Â· 2 min

Reverse engineering des mises à jour silencieuses BSI d'Apple : CVE et correctifs non divulgués

🔍 Contexte Article technique publiĂ© le 27 mars 2026 sur Substack par un chercheur en sĂ©curitĂ©. Il documente l’analyse par rĂ©tro-ingĂ©nierie des Background Security Improvements (BSI), le nouveau mĂ©canisme de correctifs silencieux d’Apple introduit avec iOS 26.1/macOS 26.1 en remplacement des Rapid Security Responses (RSR). đŸ›Ąïž MĂ©canisme BSI Les BSI fonctionnent via des cryptexes (images disque scellĂ©es sur le volume preboot) contenant Safari, WebKit et les bibliothĂšques systĂšme. Le patch applique un diff binaire sur le cryptex concernĂ©, puis demande un nouveau manifeste Cryptex1Image4 au service de signature Apple. Le systĂšme de fichiers racine n’est pas modifiĂ©. ...

29 mars 2026 Â· 2 min

Campagne GitHub massive : fausses alertes VS Code dans les Discussions pour distribuer des malwares

🌐 Contexte Source : socket.dev, publiĂ© le 28 mars 2026. Une campagne de phishing coordonnĂ©e et Ă  grande Ă©chelle cible les dĂ©veloppeurs directement sur la plateforme GitHub, en exploitant la fonctionnalitĂ© GitHub Discussions pour diffuser de fausses alertes de sĂ©curitĂ© liĂ©es Ă  Visual Studio Code. 🎯 Mode opĂ©ratoire Les attaquants crĂ©ent des milliers de GitHub Discussions quasi-identiques imitant des avis de sĂ©curitĂ© lĂ©gitimes, avec des titres tels que : “Visual Studio Code – Severe Vulnerability – Immediate Update Required” “Critical Exploit – Urgent Action Needed” Chaque post rĂ©fĂ©rence des CVE fabriquĂ©s et des plages de versions fictives, et incite les dĂ©veloppeurs Ă  tĂ©lĂ©charger une version “corrigĂ©e” via un lien externe. Les publications sont effectuĂ©es par des comptes rĂ©cemment créés ou peu actifs, et taguent massivement des dĂ©veloppeurs pour amplifier la portĂ©e via le systĂšme de notifications email de GitHub. ...

28 mars 2026 Â· 3 min

CVE-2025-33073 : élévation de privilÚges SYSTEM via délégation Kerberos non contrainte

🔍 Contexte Article publiĂ© le 27 mars 2026 par Praetorian (blog technique). Il s’agit d’une analyse technique dĂ©taillĂ©e de la vulnĂ©rabilitĂ© CVE-2025-33073, portant sur l’exploitation de la dĂ©lĂ©gation Kerberos non contrainte dans les environnements Windows Active Directory. ⚠ VulnĂ©rabilitĂ© analysĂ©e CVE-2025-33073 affecte les hĂŽtes Windows membres de domaine ne disposant pas du signature SMB activĂ©e. Elle permet Ă  tout utilisateur de domaine disposant d’un accĂšs rĂ©seau d’obtenir des privilĂšges SYSTEM sur un serveur membre non patchĂ©, sans nĂ©cessiter d’accĂšs administrateur local prĂ©alable. ...

28 mars 2026 Â· 2 min

Infiniti Stealer : nouvel infostealer macOS combinant ClickFix et Python compilé avec Nuitka

🔍 Contexte PubliĂ© le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article prĂ©sente la dĂ©couverte d’un nouvel infostealer macOS initialement nommĂ© NukeChain, puis renommĂ© Infiniti Stealer aprĂšs la divulgation publique de son panneau de contrĂŽle. Il s’agit, selon les auteurs, de la premiĂšre campagne macOS documentĂ©e combinant la technique ClickFix et un stealer Python compilĂ© avec Nuitka. 🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection dĂ©bute sur le domaine update-check[.]com, qui affiche une rĂ©plique de page de vĂ©rification humaine Cloudflare. L’utilisateur est invitĂ© Ă  : ...

28 mars 2026 Â· 3 min

Pay2Key : retour du ransomware iranien avec des capacités anti-forensiques renforcées en 2026

🔍 Contexte PubliĂ© le 28 mars 2026 par Beazley Security Labs en collaboration avec Halcyon, cet article prĂ©sente une analyse technique approfondie d’une intrusion rĂ©cente attribuĂ©e au groupe Pay2Key, un acteur de menace d’origine iranienne actif depuis 2020. L’analyse couvre Ă  la fois les Ă©volutions techniques du groupe et une chaĂźne d’attaque complĂšte observĂ©e lors d’un incident en Q1 2026 dans une organisation de santĂ© amĂ©ricaine. 🎭 Attribution et contexte gĂ©opolitique Pay2Key est suivi sous plusieurs noms : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En aoĂ»t 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribuĂ© le groupe Ă  l’Iran, qualifiant ses opĂ©rations d’« information operation » visant les infrastructures amĂ©ricaines et israĂ©liennes. Les paiements de rançon ont historiquement transitĂ© par Excoino, une plateforme d’échange de cryptomonnaies iranienne. L’activitĂ© du groupe s’intensifie systĂ©matiquement lors de tensions gĂ©opolitiques impliquant l’Iran. ...

28 mars 2026 Â· 5 min

EtherRAT : backdoor Node.js lié à la Corée du Nord utilisant l'Ethereum pour son C2

🔍 Contexte En mars 2026, l’équipe Threat Response Unit (TRU) d’eSentire a dĂ©tectĂ© EtherRAT dans l’environnement d’un client du secteur Retail. Ce backdoor Node.js est liĂ© par Sysdig Ă  un groupe APT nord-corĂ©en via des recoupements avec les TTPs de la campagne “Contagious Interview”. 🎯 Vecteur d’accĂšs initial L’accĂšs initial a Ă©tĂ© rĂ©alisĂ© via ClickFix, exploitant une technique d’exĂ©cution indirecte de commandes : pcalua.exe (LOLBin) est utilisĂ© pour exĂ©cuter mshta.exe RĂ©cupĂ©ration d’un script HTA malveillant “shep.hta” depuis le site compromis www-flow-submission-management.shepherdsestates.uk Obfuscation de la ligne de commande via le caractĂšre ^ Dans d’autres incidents, TRU observe principalement des arnaques IT Support via Microsoft Teams suivies de l’utilisation de QuickAssist. ...

26 mars 2026 Â· 4 min

PolyShell : faille critique d'upload non restreint dans Magento et Adobe Commerce exploitée activement

🔍 Contexte PubliĂ© le 17 mars 2026 par Sansec (sansec.io), cet article prĂ©sente une analyse technique dĂ©taillĂ©e d’une vulnĂ©rabilitĂ© critique baptisĂ©e PolyShell, affectant Magento Open Source et Adobe Commerce dans toutes leurs versions de production actuelles. 🚹 VulnĂ©rabilitĂ© La faille rĂ©side dans l’API REST de Magento, au niveau du traitement des options de panier (cart item custom options). Trois contrĂŽles critiques sont absents : Aucune validation de l’ID d’option soumis Aucune vĂ©rification du type d’option (file) Aucune restriction sur les extensions de fichier (.php, .phtml, .phar autorisĂ©es) La seule validation prĂ©sente (getimagesizefromstring) est trivialement contournable via des fichiers polyglots (images GIF/PNG contenant du code PHP exĂ©cutable). ...

26 mars 2026 Â· 4 min

CanisterWorm : TeamPCP compromet des packages NPM via un ver auto-propageable avec C2 ICP

🎯 Contexte PubliĂ© le 20 mars 2026 par Aikido Security (Charlie Eriksen), cet article documente la dĂ©tection le 20 mars 2026 Ă  20h45 UTC d’une campagne de compromission massive de packages NPM, baptisĂ©e CanisterWorm, attribuĂ©e au groupe TeamPCP. Cette attaque fait suite Ă  une compromission de l’outil Trivy moins de 24 heures auparavant, documentĂ©e par Wiz. 📩 Packages compromis 28 packages dans le scope @EmilGroup 16 packages dans le scope @opengov @teale.io/eslint-config @airtm/uuid-base32 @pypestream/floating-ui-dom đŸ—ïž Architecture en trois Ă©tapes Stage 1 – Loader Node.js (postinstall) : Un hook postinstall dans index.js dĂ©code un payload base64 (script Python), crĂ©e un service systemd utilisateur pgmon.service avec Restart=always, et le dĂ©marre immĂ©diatement. Aucun accĂšs root requis. Stage 2 – Backdoor Python persistante : Le script service.py attend 5 minutes (Ă©vasion sandbox), puis interroge toutes les ~50 minutes un canister ICP (tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io) pour obtenir une URL de payload. Il tĂ©lĂ©charge le binaire vers /tmp/pglog, l’exĂ©cute en processus dĂ©tachĂ©, et sauvegarde l’URL dans /tmp/.pg_state. Un kill switch est intĂ©grĂ© : si l’URL contient youtube.com, le payload est ignorĂ©. Stage 3 – Ver de propagation (deploy.js) : Outil initialement manuel utilisant des tokens NPM volĂ©s pour Ă©numĂ©rer tous les packages publiables d’un compte, incrĂ©menter la version patch, prĂ©server le README original, et republier avec --tag latest. 🐛 Évolution vers l’auto-propagation Environ une heure aprĂšs la vague initiale, une mise Ă  jour de @teale.io/eslint-config (versions 1.8.11 et 1.8.12) a introduit la fonction findNpmTokens() qui : ...

25 mars 2026 Â· 3 min

Analyse complÚte de Brbbot : trojan/backdoor avec communication C2 chiffrée

🔍 Contexte Article publiĂ© le 24 mars 2026 sur le blog personnel de l’analyste 7amthereaper. Il s’agit d’une analyse technique complĂšte et d’un reverse engineering du malware Brbbot, prĂ©sentĂ© comme un trojan/bot pouvant Ă©galement fonctionner comme backdoor. 🧬 Identification du sample Le sample analysĂ© est identifiĂ© par le hash SHA256 : f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa. ⚙ Comportements observĂ©s L’analyse statique et dynamique rĂ©vĂšle les comportements suivants : Persistance : modification de la clĂ© de registre \Microsoft\Windows\CurrentVersion\Run avec la valeur brbbot Fichier de configuration chiffrĂ© : dĂ©pĂŽt d’un fichier brbbotconfig.tmp sur le disque, chiffrĂ© avec la clĂ© YnJiYm90 Chiffrement : utilisation de l’API Windows CryptDecrypt pour dĂ©chiffrer la configuration ÉnumĂ©ration des processus : via ZwQuerySystemInformation rĂ©solu dynamiquement (Dynamic API Resolution) depuis ntdll.dll Communication C2 : requĂȘtes HTTP vers brb.3dtuts.by ciblant le fichier ads.php, avec exfiltration de donnĂ©es chiffrĂ©es par XOR avec la clĂ© 0x5b 📋 Commandes bot identifiĂ©es La configuration dĂ©chiffrĂ©e rĂ©vĂšle les commandes suivantes : ...

24 mars 2026 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝