Zapocalypse : chaîne d'attaque en 5 étapes vers une prise de contrôle totale de Zapier

🔍 Contexte Publié le 28 mai 2026 par Yair Balilti (Token Security Research Team), cet article détaille une chaîne d’attaque en 5 étapes baptisée Zapocalypse, découverte sur la plateforme d’automatisation Zapier. La recherche a débuté le 10 février 2026 et a été divulguée le 12 février 2026 via HackerOne. Zapier a confirmé la remédiation complète le 5 mars 2026. 🧱 Chaîne d’exploitation Étape 1 — Évasion du sandbox Python : La fonctionnalité “Code by Zapier” exécute du Python arbitraire dans une Lambda AWS (python3.11, us-east-1). L’appel os.system('env') révèle l’environnement Lambda. Le code utilisateur est injecté via exec() dans le même processus que celui ayant détenu les credentials AWS. ...

31 mai 2026 · 4 min

Analyse technique du ransomware Payload : chiffrement ChaCha20/Curve25519 et anti-forensics avancés

🔍 Contexte Source : DarkAtlas (https://darkatlas.io/blog/behind-payload-in-depth-technical-analysis-of-payload-ransomware), publiée le 25 mai 2026. Il s’agit d’une analyse technique approfondie du ransomware Payload, un groupe apparu publiquement en février 2026 avec une empreinte mondiale de victimes. 🌍 Victimologie Au 24 mars 2026, le groupe avait revendiqué 50 victimes sur son site de fuite. Les pays impactés incluent : Égypte Mexique Pologne Autres régions non précisées ⚙️ Mécanisme de chiffrement Le ransomware utilise une combinaison cryptographique robuste : ...

28 mai 2026 · 2 min

Campagne de cryptojacking via SEO poisoning et IA abusant ScreenConnect et .NET

🔍 Contexte Publié le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport détaille une campagne active de cryptojacking sophistiquée identifiée depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accès distant persistant via ScreenConnect. 🎯 Ciblage et vecteur initial La campagne cible délibérément les utilisateurs possédant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. ...

28 mai 2026 · 5 min

P2Pinfect compromet des clusters Kubernetes via Redis exposés pendant 6 mois

🔍 Contexte Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois. 🎯 Vecteur initial et propagation Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement : Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua) La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers Un SSH password sprayer basique CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025 CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel 🛠️ Caractéristiques techniques du malware Écrit en Rust, ciblant Linux x86_64, Windows et routeurs Binaires packés via UPX Architecture peer-to-peer décentralisée résistante au sinkholing Communication sur ports non-standard Distribution de payloads via URI uniformes (/Linux, /Windows, /IP) Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative) Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port) 📦 Script de déploiement identifié Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié : ...

27 mai 2026 · 4 min

Megalodon : 5 561 dépôts GitHub backdoorés via des workflows CI/CD malveillants

🎯 Contexte L’article est publié le 21 mai 2026 par l’équipe SafeDep sur leur blog technique. Il documente une campagne d’attaque massive sur la chaîne d’approvisionnement logicielle, baptisée megalodon, détectée après que le moteur d’analyse Malysis de SafeDep a flagué le package npm @tiledesk/tiledesk-server@2.18.12. 📅 Déroulement de la campagne Le 18 mai 2026, entre 11h36 et 17h48 UTC, un attaquant a poussé 5 718 commits malveillants sur 5 561 dépôts GitHub distincts en utilisant : ...

26 mai 2026 · 4 min

Nimbus Manticore (UNC1549) : nouvelles techniques et backdoor MiniFast durant le conflit iranien

🌐 Contexte Publié le 22 mai 2026 par Check Point Research, cet article documente les opérations du groupe de menace Nimbus Manticore (également suivi sous le nom UNC1549), affilié aux Gardiens de la Révolution iraniens (IRGC), durant la période de tensions militaires liées à l’Opération Epic Fury (campagne militaire américaine contre l’Iran lancée le 28 février 2026). 🎯 Acteur et ciblage Nimbus Manticore est un acteur sophistiqué ciblant principalement les secteurs défense, aviation et télécommunications. Lors de cette campagne, les cibles incluent des organisations dans les secteurs aviation et développement logiciel en États-Unis, Europe, Moyen-Orient (Arabie Saoudite, Israël, Émirats Arabes Unis) et Australie. ...

26 mai 2026 · 6 min

Compromission du package npm art-template : livraison du kit d'exploit iOS Coruna via supply chain

🔍 Contexte Analyse technique publiée le 20 mai 2026 par SafeDep, portant sur la compromission du package npm art-template (moteur de templates JavaScript, ~26 000 téléchargements hebdomadaires), confirmée par l’auteur original le 20 mai 2026. 🎯 Nature de l’attaque L’attaque repose sur une prise de contrôle de comptes mainteneurs npm (account takeover). Trois comptes npm non légitimes (v4v5qc, npmpacketmaintainmember7, daughtrymom) ont publié des versions malveillantes entre mars 2025 et mai 2026. Le compte GitHub original (aui) a été renommé en goofychris fin novembre 2024, précédant la compromission npm de trois mois. ...

21 mai 2026 · 4 min

SHub Reaper : nouveau stealer macOS usurpant Apple, Google et Microsoft dans une même chaîne d'attaque

🔍 Contexte Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées. 🎯 Vecteur d’infection et leurres Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape : ...

21 mai 2026 · 4 min

Compromission de l'extension VS Code Nx Console v18.95.0 : vol de credentials et backdoor persistant

🔍 Contexte Source : StepSecurity (blog officiel), publié le 18 mai 2026. L’article constitue une analyse technique détaillée d’un incident de supply chain ayant ciblé l’extension nrwl.angular-console (Nx Console) pour Visual Studio Code, comptant plus de 2,2 millions d’installations. 🎯 Vecteur d’accès initial L’attaquant a obtenu un token GitHub personnel (PAT) d’un contributeur Nx lors d’un incident de supply chain antérieur non identifié publiquement. Ce token disposait d’un accès en écriture au dépôt nrwl/nx et, directement ou indirectement, aux credentials de publication VS Code Marketplace (VSCE_PAT). ...

20 mai 2026 · 4 min

Dirty Frag : deux vulnérabilités Linux (CVE-2026-43284 et CVE-2026-43500) permettent une élévation de privilèges root

🗓️ Contexte Article publié le 20 mai 2026 par Picus Security (picussecurity.com), rédigé par Umut Bayram. Il s’agit d’une analyse technique approfondie de la classe de vulnérabilités Dirty Frag, découverte et rapportée par Hyunwoo Kim (@v4bel), divulguée le 7 mai 2026. 🔍 Description de Dirty Frag Dirty Frag est une classe de vulnérabilités du noyau Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux. Elle repose sur l’enchaînement de deux vulnérabilités distinctes qui exploitent le mécanisme de zero-copy via splice() pour injecter une référence à une page du page cache en lecture seule dans un fragment (frag) d’un sk_buff, que le noyau modifie ensuite lors du traitement cryptographique en place. ...

20 mai 2026 · 4 min
Dernière mise à jour le: 4 juillet 2026 📝