5 packages NuGet malveillants imitent des bibliothĂšques .NET chinoises pour voler identifiants et cryptomonnaies

🔍 Contexte PubliĂ© le 6 mai 2026 par Socket’s Threat Research Team, cet article prĂ©sente la dĂ©couverte de cinq packages NuGet malveillants publiĂ©s sous le compte bmrxntfj, actifs depuis au moins septembre 2025 et ayant accumulĂ© environ 64 784 tĂ©lĂ©chargements toutes versions confondues. 📩 Packages malveillants identifiĂ©s Les cinq packages usurpent des bibliothĂšques .NET chinoises lĂ©gitimes : IR.DantUI et IR.OscarUI : imitent AntdUI (bibliothĂšque WinForms sur Gitee) IR.Infrastructure.Core, IR.Infrastructure.DataService.Core, IR.iplus32 : imitent des bibliothĂšques d’entreprise chinoises internes L’opĂ©rateur maintient 219 versions masquĂ©es (listed: false) sur 224 au total, ne laissant visible qu’une seule version Ă  la fois pour Ă©viter la dĂ©tection. Une rotation de versions active invalide les IOCs basĂ©s sur les hashes de fichiers. ...

8 mai 2026 Â· 4 min

CVE-2026-7482 : Fuite mémoire critique non authentifiée dans Ollama (Bleeding Llama)

🔍 Contexte PubliĂ© le 5 mai 2026 par Dor Attias de Cyera Research, cet article dĂ©taille la dĂ©couverte d’une vulnĂ©rabilitĂ© critique CVE-2026-7482 (CVSS 9.1) dans Ollama, une plateforme open-source permettant d’exĂ©cuter des LLMs localement. Ollama compte environ 170 000 Ă©toiles GitHub et plus de 100 millions de tĂ©lĂ©chargements sur Docker Hub. 🐛 Nature de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© est un out-of-bounds heap read situĂ© dans le code de quantification des modĂšles GGUF, dans la fonction WriteTo qui utilise le package Go unsafe. Le mĂ©canisme d’exploitation repose sur : ...

8 mai 2026 Â· 2 min

Étude Kaspersky 2026 : 48% des mots de passe crackables en moins d'une minute

🔍 Contexte PubliĂ© le 7 mai 2026 sur le blog officiel de Kaspersky, cet article prĂ©sente une mise Ă  jour de l’étude conduite en 2024 sur la robustesse des mots de passe rĂ©els. L’analyse porte sur 231 millions de mots de passe uniques extraits de fuites dark web entre 2023 et 2026, obtenus via le service Digital Footprint Intelligence de Kaspersky. 📊 RĂ©sultats clĂ©s Les tests ont Ă©tĂ© conduits avec un GPU RTX 5090 sur des hachages MD5. Les rĂ©sultats comparatifs 2024 vs 2026 sont les suivants : ...

8 mai 2026 Â· 3 min

Symbiose entre services de proxies résidentiels et écosystÚmes malware : analyse sur 55 jours

🔍 Contexte PubliĂ© le 7 mai 2026 par Valter Santos (Principal Threat Researcher, Bitsight), cet article prĂ©sente les rĂ©sultats d’une investigation empirique menĂ©e sur 55 jours (19 janvier – 15 mars 2026) portant sur l’écosystĂšme mondial des services de proxies rĂ©sidentiels (RESIP). 📊 Échelle observĂ©e L’étude a ciblĂ© 30 services de proxies parmi plus de 150, sĂ©lectionnĂ©s pour leur faible vĂ©rification KYC. Les chiffres clĂ©s : 989 686 388 Ă©vĂ©nements d’énumĂ©ration totaux 53 346 368 IPs uniques globales 36 842 328 IPs uniques sur les 30 derniers jours Pics journaliers : Netnut (2,3M nƓuds), LunaProxy (1,85M), 711Proxy (1,65M), 922Proxy (1,64M), ThunderProxy (1,47M) 🩠 Taux d’infection et symbiose malware La corrĂ©lation entre les IPs de sortie des proxies et les datasets de systĂšmes compromis de Bitsight rĂ©vĂšle : ...

8 mai 2026 Â· 3 min

Cisco Talos : analyse du recyclage de numéros de téléphone dans les campagnes de scam par email

🔍 Contexte PubliĂ© le 6 mai 2026 par Omid Mirzaei sur le blog Cisco Talos, cet article prĂ©sente une analyse de threat intelligence portant sur l’utilisation, la rĂ©utilisation et le clustering de numĂ©ros de tĂ©lĂ©phone comme indicateurs de compromission (IOC) dans les campagnes de scam par email. La pĂ©riode d’observation couvre du 26 fĂ©vrier au 31 mars 2026. 📞 Infrastructure VoIP exploitĂ©e Les attaquants privilĂ©gient les numĂ©ros VoIP en raison de leur facilitĂ© d’acquisition via API, leur coĂ»t rĂ©duit et la difficultĂ© de traçabilitĂ©. Six des dix plus grandes campagnes dĂ©tectĂ©es reposaient sur une infrastructure VoIP. ...

6 mai 2026 Â· 3 min

HackerOne : Benchmark GPT-5.5 vs Claude Opus 4.7 vs Sonnet 4.6 pour la validation de vulnérabilités

📅 Source et contexte : Article publiĂ© le 6 mai 2026 sur le blog HackerOne par Michiel Prins, Saida Wijpkema et Miray Mazlumoglu. Il fait suite Ă  un prĂ©cĂ©dent benchmark sur Claude Opus 4.7 et intervient aprĂšs la sortie de GPT-5.5 par OpenAI. 🔬 MĂ©thodologie : Les trois modĂšles (GPT-5.5, Claude Opus 4.7, Claude Sonnet 4.6) ont Ă©tĂ© Ă©valuĂ©s sur le mĂȘme harness de validation interne de HackerOne, comprenant : Des CVEs publics sur des projets C/C++ (38 cas de test) Des rapports de vulnĂ©rabilitĂ©s rĂ©els sur une application web (XSS, SQLi, SSRF, RCE, IDOR) Des rapports de qualitĂ© variable, incluant des soumissions fabriquĂ©es ou Ă  impact surestimĂ© GPT-5.5 a Ă©tĂ© Ă©valuĂ© via le programme OpenAI Trusted Access for Cyber. ...

6 mai 2026 Â· 3 min

Entités militaires sud-est asiatiques ciblées via CVE-2026-41940 (cPanel) avec exfiltration de données chinoises

🔍 Contexte Le 2 mai 2026, Ctrl-Alt-Intel publie une analyse de threat research basĂ©e sur la dĂ©couverte d’un serveur de staging attaquant exposĂ©. L’article fait suite Ă  la divulgation publique de CVE-2026-41940, un bypass d’authentification critique dans cPanel & WHM (versions aprĂšs 11.40), initialement documentĂ© par watchTowr Labs le 29 avril 2026. 🎯 Victimologie L’acteur a ciblĂ© principalement : Philippine Coast Guard Philippine Air Force, 15th Strike Wing Philippine Government Arsenal, Department of National Defense Lao Ministry of National Defence Lao Ministry of Natural Resources and Environment MSPs et hĂ©bergeurs aux Philippines, Laos, Canada, Afrique du Sud et États-Unis Un portail de formation du secteur de la dĂ©fense indonĂ©sien Des organisations chinoises du secteur ferroviaire (China Railway Society Electrification Committee) ⚙ Techniques d’attaque Exploitation CVE-2026-41940 : L’acteur a utilisĂ© des PoC publics pour forger des sessions WHM en injectant des valeurs user=root, hasroot=1, tfa_verified=1, obtenant un accĂšs root non authentifiĂ©. ...

4 mai 2026 Â· 4 min

Surveillance des journalistes : cartographie technique mondiale des outils, tactiques et menaces

🌐 Contexte PubliĂ© en mars 2026 par la FĂ©dĂ©ration Internationale des Journalistes (IFJ), ce rapport technique a Ă©tĂ© rĂ©digĂ© par Samar Al Halal (ingĂ©nieure en sĂ©curitĂ© numĂ©rique) et rĂ©visĂ© par Lukasz Olejnik. Il s’appuie sur des entretiens conduits entre aoĂ»t et septembre 2025 avec neuf experts en cybersĂ©curitĂ©, analystes forensiques et journalistes, ainsi que sur plus de 70 sources secondaires couvrant la pĂ©riode 2021-2025. 🎯 PĂ©rimĂštre et mĂ©thodologie L’étude couvre 10 pays principaux (Inde, Pakistan, Kenya, Italie, Serbie, BrĂ©sil, Mexique, El Salvador, Liban, Jordanie) et des insights techniques sur IsraĂ«l/Palestine et Russie/BiĂ©lorussie. Elle documente quatre couches techniques de surveillance : ...

3 mai 2026 Â· 6 min

AISI évalue GPT-5.5 : second modÚle IA à compléter une simulation d'attaque réseau en 32 étapes

🔍 Contexte PubliĂ© le 30 avril 2026 par l’AI Security Institute (AISI) du Royaume-Uni, ce rapport prĂ©sente les rĂ©sultats d’une Ă©valuation des capacitĂ©s cyber offensives de GPT-5.5 d’OpenAI, rĂ©alisĂ©e sur un snapshot prĂ©coce du modĂšle. Il fait suite Ă  une Ă©valuation similaire du modĂšle Claude Mythos Preview d’Anthropic, premier modĂšle Ă  avoir rĂ©solu une simulation d’attaque rĂ©seau complĂšte. 📊 RĂ©sultats sur les tĂąches cyber avancĂ©es L’AISI utilise une suite de 95 tĂąches cyber rĂ©parties en 4 niveaux de difficultĂ©, au format Capture The Flag (CTF). Les tĂąches avancĂ©es, dĂ©veloppĂ©es avec les firmes Crystal Peak Security et Irregular, couvrent : ...

1 mai 2026 Â· 3 min

Attaques sur la chaĂźne d'approvisionnement IA : abus de Hugging Face et ClawHub pour distribuer des malwares

🔍 Contexte PubliĂ© le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (Ă©cosystĂšme OpenClaw) pour la livraison de malwares dĂ©guisĂ©s en modĂšles, datasets et extensions lĂ©gitimes. 🎯 Vecteurs d’attaque principaux ClawHub / OpenClaw 575 skills malveillants identifiĂ©s, distribuĂ©s par 13 comptes dĂ©veloppeurs Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%) Ciblage cross-platform : Windows et macOS Technique clĂ© : indirect prompt injection — des instructions malveillantes cachĂ©es dans des fichiers SKILL.md ou README poussent les agents IA Ă  exĂ©cuter des actions malveillantes Les skills instruisent les utilisateurs Ă  tĂ©lĂ©charger des archives protĂ©gĂ©es par mot de passe et des binaires non vĂ©rifiĂ©s depuis GitHub Hugging Face UtilisĂ© comme infrastructure de staging dans des chaĂźnes d’infection multi-Ă©tapes Campagne ITHKRPAW : ciblage du secteur financier et d’entitĂ©s au Vietnam, usage de Cloudflare Workers pour dĂ©ployer un script PowerShell dropper, payload omni-agent-v4.exe dĂ©guisĂ© en microsoft-update-assist.exe Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodĂ©, dropper multi-Ă©tapes avec injection de processus dans explorer.exe, payload final dĂ©guisĂ© en Windows Defender đŸ› ïž Techniques observĂ©es Social engineering via des noms de dĂ©pĂŽts attractifs et README bien rĂ©digĂ©s Obfuscation : encodage base64, XOR (clĂ© 30 octets, clĂ© 0xF1), chaĂźnes dĂ©chiffrĂ©es Ă  l’exĂ©cution In-memory execution et process injection dans explorer.exe Persistence : tĂąches planifiĂ©es (WindowsSystemService, RuntimeBrokerService), clĂ©s Run registry Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex C2 chiffrĂ© : canal AES-CBC sur HTTPS vers velvet-parrot.com:443 Dead-drop resolver via bot Telegram (t.me/dusty_vintage) Payload macOS : script shell tĂ©lĂ©chargĂ© depuis IP 91.92.242.30, suppression des attributs Ă©tendus (xattr -c) 🩠 Payloads identifiĂ©s AMOS Stealer : infostealer macOS vendu en MaaS via Telegram Trojan (binaire Windows packĂ© avec VMProtect) Cryptominer : dĂ©posĂ© comme svchost.exe / RuntimeBroker.exe Loader : ClawHub-DependencyInstaller.exe avec dĂ©chiffrement AES-CBC en mĂ©moire RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android) 📌 Type d’article Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant Ă  documenter et quantifier l’abus des Ă©cosystĂšmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables. ...

1 mai 2026 Â· 5 min
Derniùre mise à jour le: 4 juillet 2026 📝