LLMShare : des attaquants détournent les pages partagées de ChatGPT et Claude pour distribuer des malwares

🔍 Contexte Publié le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisée LLMShare, qui exploite les fonctionnalités de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordée aux domaines chatgpt.com et claude.ai par les outils de réputation d’URL et les utilisateurs : ...

31 mai 2026 · 3 min

Megalodon : attaque supply chain GitHub via 5 000+ dépôts alimentée par des infostealers

🗓️ Contexte Article publié le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les découvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommée Megalodon. 🎯 Description de l’attaque En l’espace de six heures, des acteurs malveillants ont poussé des milliers de commits vers des dépôts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodés en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions. ...

31 mai 2026 · 3 min

SuperProxy : le réseau proxy résidentiel caché dans les appareils SuperBox

🔍 Contexte Publié le 28 mai 2026 par Plume Security Labs (Plume Design, Inc.), ce rapport de recherche en deux parties documente l’investigation menée sur les appareils de streaming SuperBox (séries S4, S5, S6, S6MAX). L’enquête a débuté après que le NOC de Plume a détecté un volume anormal de trafic sortant provenant de ces appareils au sein de réseaux résidentiels, menaçant leur stabilité. 🎯 Vecteurs d’infection identifiés L’investigation a mis en évidence plusieurs vecteurs permettant l’installation de logiciels malveillants : ...

31 mai 2026 · 6 min

Coupe du Monde 2026 : campagnes de scams, phishing et fraudes ciblant les supporters

🌐 Contexte Publié le 26 mai 2026 par Netcraft, cet article de recherche documente les campagnes frauduleuses en cours exploitant la Coupe du Monde FIFA 2026 comme leurre. La majorité de l’infrastructure identifiée est encore en phase de staging, positionnée pour activation à l’approche du tournoi. 🎟️ Fraudes aux billets et hôtels Netcraft a identifié un cluster de domaines homogènes enregistrés le 19 mai 2025, tous suivant la convention de nommage fifaworldcup2026[ville]hotels[.]com, couvrant les villes hôtes (Boston, Dallas, Houston, Los Angeles, Miami, New York, Philadelphia, Seattle, Toronto, Vancouver, Guadalajara, Mexico City, Monterrey). Ces domaines ne servent pas encore de contenu actif mais présentent des indicateurs de staging frauduleux. ...

27 mai 2026 · 4 min

Microsoft Copilot Cowork : exfiltration de fichiers via injection de prompt indirecte

🔍 Contexte Publié le 27 mai 2026 par PromptArmor, cet article de recherche documente une attaque d’exfiltration de fichiers affectant Microsoft Copilot Cowork, une fonctionnalité Frontier disponible dans Microsoft 365. L’attaque exploite une injection de prompt indirecte combinée à une approbation automatique non documentée de certaines actions sensibles. ⚙️ Mécanisme d’attaque La chaîne d’attaque repose sur plusieurs étapes : La victime possède des fichiers sensibles (PII, données financières) accessibles via SharePoint ou OneDrive La victime charge un fichier de compétence (Skill) empoisonné dans Copilot Cowork — vecteur courant car les Skills sont automatiquement chargés depuis un chemin OneDrive spécifique La victime demande à Copilot Cowork un récapitulatif de sa semaine, déclenchant la compétence malveillante L’injection manipule l’agent pour qu’il envoie un message Teams contenant des balises HTML image malveillantes pointant vers un site contrôlé par l’attaquant, avec les liens de téléchargement pré-authentifiés des fichiers en paramètres de requête À l’ouverture du message Teams par la victime, les liens sont exfiltrés et l’attaquant peut télécharger les fichiers 🎯 Facteur aggravant : approbation automatique Contrairement à ce qu’indique la documentation Microsoft, l’envoi d’emails et de messages Teams à l’utilisateur actif ne requiert aucune approbation humaine. Les utilisateurs ne disposent d’aucun paramètre pour modifier ce comportement. L’activité malveillante n’est pas visible dans l’interface Copilot Cowork. ...

27 mai 2026 · 3 min

Claude Mythos d'Anthropic détecte 23 000 vulnérabilités potentielles dans 1 000 projets OSS

📰 Contexte Article publié le 25 mai 2026 par Eduard Kovacs sur SecurityWeek. Il rapporte les résultats publiés par Anthropic concernant les capacités de découverte de vulnérabilités de son modèle IA Claude Mythos Preview, déployé dans le cadre du programme Project Glasswing. 🔍 Résultats clés de Claude Mythos Le modèle Claude Mythos Preview a analysé plus de 1 000 projets open source (OSS) et produit les résultats suivants : 23 000+ vulnérabilités potentielles identifiées au total 1 900 soumises à des firmes de sécurité externes pour revue 1 726 confirmées, dont plus de 1 000 classées haute ou critique Estimation d’Anthropic : ~3 900 vulnérabilités critiques/hautes confirmées sur la base des résultats actuels Projection finale : jusqu’à 6 200 vulnérabilités sévères à mesure que les scans progressent 1 100+ findings non vérifiés déjà signalés aux vendeurs 75 issues critiques/hautes patchées, 65 advisories publiés 🏢 Accès et partenaires L’accès à Mythos Preview est restreint à environ 50 organisations via Project Glasswing, en raison des risques d’abus potentiels : ...

26 mai 2026 · 2 min

Trapdoor : opération Android d'ad fraud auto-financée via malvertising et WebViews cachés

🔍 Contexte Publié le 19 mai 2026 par Imran Azad sur le blog de HUMAN Security, cet article présente les conclusions de l’équipe Satori Threat Intelligence and Research Team concernant l’opération Trapdoor, une campagne de fraude publicitaire Android de grande envergure détectée et neutralisée par HUMAN. 🎯 Description de l’opération Trapdoor Trapdoor est un schéma Android multi-étapes qui fusionne malvertising (distribution) et fraude publicitaire (monétisation) en un système auto-entretenu : 455 applications Android malveillantes impliquées 183 domaines C2 contrôlés par les acteurs de la menace 659 millions de bid requests par jour au pic de l’activité 24 millions de téléchargements d’applications liées à l’opération ⚙️ Mécanisme en deux étapes Étape 1 – Distribution via malvertising : L’utilisateur télécharge une application utilitaire légitime en apparence (ex : lecteur PDF) depuis le Google Play Store. Après installation, l’app lance des campagnes de malvertising affichant une fausse alerte de mise à jour. Si l’utilisateur clique, une seconde application malveillante est installée. ...

26 mai 2026 · 3 min

Coupe du Monde 2026 : explosion des domaines malveillants FIFA avant le coup d'envoi

🌐 Contexte Publié le 14 mai 2026 sur le blog de Check Point Research, ce rapport analyse la menace cybercriminelle croissante liée à la FIFA World Cup 2026, dont les matchs se déroulent aux États-Unis, au Canada et au Mexique. L’analyse couvre la période de novembre 2025 à début mai 2026. 📈 Hausse des cyberattaques dans les pays hôtes En avril 2026, les trois pays hôtes ont tous enregistré une augmentation du nombre moyen hebdomadaire de cyberattaques par organisation : ...

21 mai 2026 · 3 min

Typosquat du module Go shopspring/decimal avec backdoor DNS TXT actif depuis 2023

🔍 Contexte L’équipe de recherche de Socket a publié le 19 mai 2026 une analyse technique détaillée d’une attaque de chaîne d’approvisionnement ciblant l’écosystème Go. Le module malveillant github.com/shopsprint/decimal imite la bibliothèque légitime github.com/shopspring/decimal (38 634 importateurs connus), en ne différant que d’un seul caractère dans le nom du vendeur (shopsprint vs shopspring). 🗓️ Chronologie de l’attaque Le module typosquat a été publié pour la première fois le 2017-11-08, avec sept versions non malveillantes servant de miroir fidèle de la bibliothèque légitime. Le 2023-08-19, deux versions ont été publiées à sept minutes d’intervalle : ...

19 mai 2026 · 3 min

3 627 serveurs DICOM médicaux exposés sur Internet sans chiffrement ni authentification

🔍 Contexte Publié le 5 mai 2026 par Trend Micro (Numaan Huq et Andre Alves), ce rapport de recherche présente les résultats d’une analyse systématique des serveurs DICOM (Digital Imaging and Communications in Medicine) exposés sur Internet, réalisée entre novembre et décembre 2025 via l’outil de scan Shodan.io. 📊 Périmètre de l’exposition L’analyse a identifié 3 627 serveurs DICOM validés (3 542 adresses IP uniques) accessibles depuis l’internet public, répartis dans plus de 100 pays : ...

17 mai 2026 · 4 min
Dernière mise à jour le: 4 juillet 2026 📝