Violation Vercel liée à une infection Lumma Stealer chez le tiers Context.ai

🔍 Contexte Source : Hudson Rock (infostealers.com), publiĂ© le 20 avril 2026. Cet article prĂ©sente les conclusions d’une investigation de threat intelligence menĂ©e par Hudson Rock Ă  la suite de la confirmation publique d’une violation de donnĂ©es chez Vercel, plateforme cloud de dĂ©ploiement d’applications. 🩠 Vecteur initial : infection Lumma Stealer En fĂ©vrier 2026, un employĂ© de Context.ai (fournisseur tiers de Vercel) a Ă©tĂ© compromis par Lumma Stealer. L’infection aurait Ă©tĂ© contractĂ©e via le tĂ©lĂ©chargement de scripts malveillants liĂ©s Ă  des exploits de jeu (Roblox auto-farm scripts/executors), vecteur classique de dĂ©ploiement de Lumma Stealer. ...

20 avril 2026 Â· 3 min

Exploitation active de Bomgar RMM via CVE-2026-1731 : déploiement de LockBit et accÚs MSP

🔍 Contexte PubliĂ© le 19 avril 2026 par Huntress, cet article de threat intelligence documente une recrudescence d’incidents liĂ©s Ă  l’exploitation de Bomgar RMM (rebaptisĂ© BeyondTrust Remote Support), observĂ©e par le SOC Huntress depuis dĂ©but avril 2026. đŸ›Ąïž VulnĂ©rabilitĂ© exploitĂ©e La faille CVE-2026-1731, de sĂ©vĂ©ritĂ© critique, permet Ă  un attaquant non authentifiĂ© d’exĂ©cuter du code Ă  distance sur des instances Bomgar. BeyondTrust a publiĂ© un correctif le 6 fĂ©vrier 2026 (version 25.3.2 pour Remote Support, version 25.1 pour Privileged Remote Access). Les organisations impactĂ©es utilisaient des versions obsolĂštes, notamment la version 21.1.3. ...

19 avril 2026 Â· 4 min

Irlande du Nord : un adolescent arrĂȘtĂ© aprĂšs une cyberattaque contre le systĂšme Ă©ducatif C2K

📰 Source : The Record Media — Date de publication : 15 avril 2026 Un adolescent de 16 ans a Ă©tĂ© arrĂȘtĂ© mercredi Ă  Portadown, comtĂ© d’Armagh (Irlande du Nord), dans le cadre d’une enquĂȘte sur une cyberattaque ciblĂ©e ayant perturbĂ© le systĂšme Ă©ducatif rĂ©gional. L’arrestation a Ă©tĂ© effectuĂ©e par la Police Service of Northern Ireland (PSNI) sur la base de soupçons d’infractions au Computer Misuse Act. Le suspect a Ă©tĂ© relĂąchĂ© pendant la poursuite de l’enquĂȘte. ...

16 avril 2026 Â· 2 min

Attaque supply chain WordPress : 31 plugins backdoorés aprÚs rachat sur Flippa

🔍 Contexte Article publiĂ© le 9 avril 2026 par Austin Ginder sur anchor.host. Il s’agit d’un post-mortem technique dĂ©taillĂ© d’une attaque de chaĂźne d’approvisionnement ciblant l’écosystĂšme WordPress, dĂ©couverte suite Ă  une alerte client sur un plugin nommĂ© Countdown Timer Ultimate. 🎯 Nature de l’attaque Un acheteur identifiĂ© uniquement comme « Kris », avec un profil en SEO, crypto et marketing de jeux d’argent en ligne, a acquis dĂ©but 2025 via la marketplace Flippa le portefeuille de 31 plugins WordPress de la sociĂ©tĂ© « Essential Plugin » (anciennement WP Online Support) pour un montant Ă  six chiffres. DĂšs son premier commit SVN le 8 aoĂ»t 2025, il a introduit un backdoor PHP par dĂ©sĂ©rialisation dans le fichier class-anylc-admin.php du plugin Countdown Timer Ultimate (version 2.6.7), en mentant dans le changelog (« Check compatibility with WordPress version 6.8.2 »). ...

15 avril 2026 Â· 5 min

Campagne AI-assistée contre 9 agences gouvernementales mexicaines : Claude & GPT-4.1 comme outils offensifs

🔍 Contexte Rapport technique publiĂ© le 10 avril 2026 par Gambit Security (Eyal Sela, Director of Threat Intelligence). L’analyse est basĂ©e sur des matĂ©riaux forensiques rĂ©cupĂ©rĂ©s depuis trois VPS utilisĂ©s dans la campagne, incluant des logs de sessions AI, des scripts d’exploitation et des rapports de reconnaissance automatisĂ©s. 🎯 Victimes et pĂ©rimĂštre Entre fin dĂ©cembre 2025 et mi-fĂ©vrier 2026, neuf organisations gouvernementales mexicaines ont Ă©tĂ© compromises : SAT (Servicio de AdministraciĂłn Tributaria) : 195M dossiers fiscaux + 52M annuaires exfiltrĂ©s, compromission domaine-wide, API de requĂȘte live construite et exposĂ©e publiquement, mĂ©canisme de falsification de certificats fiscaux opĂ©rationnalisĂ©, 305 serveurs internes analysĂ©s Estado de Mexico : 15,5M dossiers vĂ©hicules, 3,6M propriĂ©taires, millions de dossiers population Registro Civil CDMX : ~220M dossiers civils, centaines de dossiers judiciaires, milliers de credentials employĂ©s Jalisco : 50K dossiers patients, 17K victimes violences domestiques, 36K employĂ©s santĂ©, 180K dossiers numĂ©riques ; infrastructure virtualisation complĂšte compromise (cluster Nutanix 13 nƓuds, 37/38 serveurs DB) ; rootkits dĂ©ployĂ©s sur 20 agences INE (Instituto Nacional Electoral) : 13,8K dossiers cartes Ă©lecteurs exfiltrĂ©s, pool estimĂ© Ă  dizaines de millions MichoacĂĄn : 2,28M dossiers propriĂ©tĂ©s, 2K comptes avec mots de passe en clair SADM Monterrey : 3,5K dossiers achats/fournisseurs, 5K dossiers appels d’offres Tamaulipas : Compromission Active Directory Salud CDMX : Exploitation serveur Zimbra đŸ€– RĂŽle des plateformes AI Claude Code (Anthropic) a gĂ©nĂ©rĂ© et exĂ©cutĂ© ~75% des commandes d’exĂ©cution distante via son interface tool-use. Il a servi d’assistant d’exploitation interactif : Ă©criture d’exploits, construction de tunnels, cartographie d’architecture, escalade de privilĂšges, harvesting de credentials, anti-forensics. ...

12 avril 2026 Â· 10 min

Watering hole sur cpuid.com : installateurs CPU-Z et HWMonitor trojanisés avec STX RAT

🔍 Contexte Source : Securelist (Kaspersky), publiĂ© le 10 avril 2026. Le site cpuid.com, hĂ©bergeant les installateurs des outils d’administration systĂšme CPU-Z, HWMonitor, HWMonitor Pro et PerfMonitor 2, a Ă©tĂ© compromis dans le cadre d’une attaque de type watering hole. 🕐 Chronologie La compromission a eu lieu entre le 9 avril 2026 Ă  15h00 UTC et le 10 avril 2026 Ă  10h00 UTC, soit une fenĂȘtre d’attaque de moins de 24 heures. Les URLs de tĂ©lĂ©chargement lĂ©gitimes ont Ă©tĂ© remplacĂ©es par des URLs pointant vers quatre sites malveillants. ...

12 avril 2026 Â· 4 min

Attaque supply chain BuddyBoss : kill-chain complĂšte via CI/CD et Claude AI en 3 heures

🔍 Contexte PubliĂ© le 3 avril 2026 par Ctrl-Alt-Intel, cet article constitue la partie 2 d’une analyse d’incident portant sur l’attaque supply chain ciblant BuddyBoss, Ă©diteur de plugins et thĂšmes WordPress. L’ensemble des preuves provient du serveur C2 de l’attaquant laissĂ© en open directory, contenant logs d’exfiltration, payloads dĂ©codĂ©s, transcripts Claude Code, templates de backdoors PHP et donnĂ©es de 246+ sites victimes. ⏱ Kill-chain (17 mars 2026, UTC) L’attaque complĂšte s’est dĂ©roulĂ©e en 2h54 entre la premiĂšre exfiltration CI/CD et le premier callback victime : ...

5 avril 2026 Â· 5 min

Pay2Key : retour du ransomware iranien avec une variante améliorée ciblant la santé US

🎯 Contexte PubliĂ© le 24 mars 2026 par Halcyon et Beazley Security, ce rapport conjoint analyse une intrusion ransomware attribuĂ©e Ă  Pay2Key, groupe liĂ© au gouvernement iranien actif depuis 2020, ayant ciblĂ© une organisation de santĂ© amĂ©ricaine en fĂ©vrier 2026. đŸ•”ïž Attribution et contexte gĂ©opolitique Pay2Key est suivi sous plusieurs alias : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En aoĂ»t 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribuĂ© ce groupe Ă  l’Iran. L’activitĂ© du groupe s’intensifie systĂ©matiquement lors de tensions gĂ©opolitiques impliquant l’Iran. En fin 2025, le groupe a tentĂ© de vendre son infrastructure RaaS (pour 0,15 BTC) sur des forums underground et sur X/Twitter, sans rĂ©solution claire. ...

5 avril 2026 Â· 5 min

Hack de Drift Protocol : 285 M$ volés par des hackers nord-coréens via manipulation d'oracle et ingénierie sociale

đŸ—“ïž Contexte Source : TRM Labs, publiĂ©e le 3 avril 2026. Cet article couvre l’attaque survenue le 1er avril 2026 contre Drift Protocol, le plus grand exchange dĂ©centralisĂ© de contrats perpĂ©tuels sur la blockchain Solana. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l’attaque Ă  des hackers nord-corĂ©ens. 🎯 Nature de l’attaque L’attaque repose sur une combinaison de trois vecteurs : IngĂ©nierie sociale : manipulation des signataires du multisig du Security Council de Drift pour leur faire prĂ©-signer des transactions apparemment routiniĂšres mais contenant des autorisations administratives cachĂ©es Manipulation d’oracle : crĂ©ation d’un token fictif — CarbonVote Token (CVT) — avec 750 millions d’unitĂ©s mintĂ©es, quelques milliers de dollars de liquiditĂ© sur Raydium, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift Exploit de gouvernance : exploitation d’une migration du Security Council vers une configuration 2/5 sans timelock, rĂ©alisĂ©e le 27 mars 2026, supprimant la derniĂšre ligne de dĂ©fense du protocole 📅 Chronologie 11 mars 2026 : dĂ©but du staging on-chain ; retrait de 10 ETH depuis Tornado Cash 12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang) : dĂ©placement des ETH et dĂ©ploiement du token CVT 23-30 mars 2026 : crĂ©ation de comptes « durable nonce » sur Solana pour prĂ©-signer des transactions 27 mars 2026 : migration du Security Council vers une configuration zero-timelock 1er avril 2026 : exĂ©cution de l’exploit en 12 minutes via 31 transactions de retrait drainant USDC et JLP 2 avril 2026 : confirmation officielle par Drift Protocol ; la majoritĂ© des fonds bridgĂ©s vers Ethereum en quelques heures 💰 Impact 285 millions USD de fonds utilisateurs dĂ©robĂ©s Plus grand hack DeFi de 2026 DeuxiĂšme plus grand exploit de l’histoire de Solana (derriĂšre le hack Wormhole de 2022 : 326 M$) Le token DRIFT a chutĂ© de plus de 40% DĂ©pĂŽts et retraits suspendus par le protocole Vitesse et volume de blanchiment supĂ©rieurs Ă  ceux de l’exploit Bybit de 2025 🔍 Attribution TRM Labs attribue l’attaque Ă  des hackers nord-corĂ©ens sur la base d’indicateurs on-chain, notamment l’heure d’activitĂ© initiale (09h00 heure de Pyongyang) et les mĂ©thodes employĂ©es. L’enquĂȘte est en cours. ...

3 avril 2026 Â· 3 min

TeamPCP : campagne post-compromission exploitant des secrets volés via supply chain

🔍 Contexte PubliĂ© le 31 mars 2026 par Wiz Research et le Wiz Customer Incident Response Team (CIRT), cet article dĂ©taille les activitĂ©s post-compromission du groupe TeamPCP, identifiĂ© comme responsable d’une sĂ©rie d’attaques supply chain ciblant des outils open source populaires entre le 19 et le 27 mars 2026. 🎯 Campagne supply chain initiale TeamPCP a injectĂ© des malwares de vol de credentials dans quatre projets open source : 19 mars : Trivy (Aqua Security) — binaires, GitHub Actions et images container 23 mars : KICS (Checkmarx) — GitHub Action et extensions OpenVSX 24 mars : LiteLLM — packages PyPI malveillants 27 mars : Telnyx — packages Python malveillants sur PyPI Le malware dĂ©ployĂ© collecte des credentials cloud, clĂ©s SSH, fichiers de configuration Kubernetes et secrets CI/CD, puis les chiffre et les exfiltre vers des domaines contrĂŽlĂ©s par l’attaquant. ...

31 mars 2026 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝