Compromission supply chain npm : 140+ packages Mastra empoisonnés via typosquat easy-day-js

🔍 Contexte PubliĂ© le 17 juin 2026 par la Microsoft Defender Security Research Team, cet article documente une attaque supply chain npm de grande envergure ciblant l’écosystĂšme Mastra. Microsoft Threat Intelligence a identifiĂ© la compromission et partagĂ© ses conclusions avec l’équipe de sĂ©curitĂ© npm, qui a supprimĂ© les packages affectĂ©s et rĂ©voquĂ© les droits de publication du compte compromis. ⚔ DĂ©roulement de l’attaque L’attaque s’est dĂ©roulĂ©e en six phases : Compromission de compte : Prise de contrĂŽle du compte npm ehindero, mainteneur lĂ©gitime avec droits de publication sur le scope @mastra. CrĂ©ation du typosquat : Publication de easy-day-js, impersonation de la bibliothĂšque lĂ©gitime dayjs (57M+ tĂ©lĂ©chargements hebdomadaires), via un compte anonyme Tutamail. Empoisonnement massif : Publication de nouvelles versions de 140+ packages @mastra injectant easy-day-js@^1.11.21 comme dĂ©pendance, toutes taguĂ©es latest. Livraison : La plage SemVer ^1.11.21 rĂ©sout vers la version 1.11.22 contenant le hook postinstall malveillant. ExĂ©cution : Le hook dĂ©clenche un dropper obfusquĂ© de 4 572 octets (setup.cjs) qui dĂ©sactive la vĂ©rification TLS et contacte le C2. Payload de second stade : TĂ©lĂ©chargement et exĂ©cution d’un implant Node.js multiplateforme (~41 Ko) en processus dĂ©tachĂ©. 🎯 StratĂ©gie de livraison en deux phases Phase 1 (leurre propre) : easy-day-js@1.11.21 publiĂ© le 16 juin 2026 Ă  07:05 UTC — code dayjs lĂ©gitime, sans payload. Phase 2 (armement) : easy-day-js@1.11.22 publiĂ© le 17 juin 2026 Ă  01:01 UTC — ajout de setup.cjs et du hook postinstall. đŸ› ïž Analyse technique du payload Stage 0 — Dropper obfusquĂ© (setup.cjs) : Tableau de 40 chaĂźnes Base64 mĂ©langĂ©es via un seed numĂ©rique (0x4c11d), dĂ©codĂ©es par une fonction personnalisĂ©e. ...

19 juin 2026 Â· 4 min

Dropping Elephant : chaßne de chargement China-themed livrant un RAT furtif en mémoire

🔍 Contexte : Le 17 juin 2026, Rapid7 publie une analyse technique dĂ©taillĂ©e d’une campagne attribuĂ©e au groupe Dropping Elephant, dĂ©couverte lors d’une chasse proactive aux menaces. L’article documente l’intĂ©gralitĂ© de la chaĂźne d’infection, de l’accĂšs initial jusqu’au RAT final en mĂ©moire. 🎯 Vecteur initial : La campagne dĂ©bute par un fichier LNK malveillant (GRES3001.lnk) dĂ©guisĂ© en PDF, utilisant un leurre thĂ©matique liĂ© au secteur Ă©nergĂ©tique chinois — un contrat de rĂ©ception pour le projet GRES-3 portant sur des pompes de circulation d’eau de mer industrielles. L’ouverture du raccourci dĂ©clenche conhost.exe qui lance un tĂ©lĂ©chargeur PowerShell obfusquĂ© se connectant au serveur de staging chinagreenenergy[.]org. ...

19 juin 2026 Â· 5 min

Gentlemen RaaS : analyse approfondie du framework EDR killer GentleKiller

🔍 Contexte PubliĂ© le 18 juin 2026 par ESET Research (Jakub Souček), cet article prĂ©sente les rĂ©sultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a Ă©tĂ© enrichie par une fuite de donnĂ©es interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen FondĂ© par l’alias hastalamuerte (Ă©galement connu sous zeta88), ancien affiliĂ© mĂ©content de Qilin Membres prĂ©cĂ©demment affiliĂ©s Ă  Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, AmĂ©rique du Sud, Europe de l’Ouest (pas de focus US) SĂ©lection des victimes basĂ©e sur les mauvaises configurations FortiGate đŸ› ïž Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentĂ©es, chacune abusant d’un driver diffĂ©rent Cible plus de 400 processus mappĂ©s Ă  48 produits de sĂ©curitĂ© DĂ©ployĂ© dans le rĂ©pertoire GentlemenCollection CaractĂ©ristiques communes : strings cohĂ©rentes, terminaison pĂ©riodique de processus en boucle, obfuscation de code identique IntĂ©gration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusĂ©s par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intĂ©grĂ©s : HexKiller : prĂ©cĂ©demment associĂ© au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observĂ© chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulguĂ© publiquement par Huntress le 19 mars 2026, utilisĂ© dĂšs le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) đŸ›Ąïž StratĂ©gie d’évasion dĂ©fensive Protection binaire avancĂ©e : Enigma ou Themida Usurpation d’identitĂ© de vendors de sĂ©curitĂ© (noms de fichiers, version info, icĂŽnes, certificats copiĂ©s invalides) Suffixes de nommage standardisĂ©s : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribuĂ© Ă  l’affiliĂ© quant (outil nommĂ© buildx641) Vole les credentials de navigateurs Chromium et Gecko ParamĂštres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) EmballĂ© dans diffĂ©rents packers avec usurpation d’identitĂ© similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant Ă  fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les Ă©quipes CTI et dĂ©fensives. ...

19 juin 2026 Â· 5 min

IA dans les forums cybercriminels : usages, outils et scepticisme observés par Sophos CTU

🔍 Contexte PubliĂ© le 17 juin 2026 par la Sophos Counter Threat Unit (CTU), ce rapport analyse les discussions et activitĂ©s liĂ©es Ă  l’intelligence artificielle (IA) observĂ©es sur des forums cybercriminels et canaux Telegram souterrains. L’analyse couvre des observations depuis janvier 2026. 🔑 AccĂšs et partage de connaissances Les chercheurs CTU ont observĂ© la vente de clĂ©s API pour des outils d’IA gĂ©nĂ©rative (ChatGPT, Claude, Grok) via des comptes partagĂ©s et des plateformes alternatives. Des personas comme CyberThreat et VOLTC proposent un accĂšs mutualisĂ© Ă  ces outils. Un manque de connaissances est notable : les acteurs se tournent vers des canaux dĂ©diĂ©s pour apprendre les bases, le jailbreaking et les techniques de prompt engineering. Depuis janvier 2026, des offres de recrutement de prompt engineers OpenAI ont Ă©tĂ© observĂ©es. ...

19 juin 2026 Â· 3 min

INC Ransomware : évolution vers un RaaS majeur avec plus de 800 victimes depuis 2023

🔍 Contexte PubliĂ© le 17 juin 2026 par l’Acronis Threat Research Unit (TRU), ce rapport constitue une analyse technique et stratĂ©gique approfondie du groupe INC Ransomware, opĂ©ration RaaS dĂ©couverte mi-2023 et dĂ©sormais classĂ©e parmi les cinq groupes ransomware les plus actifs mondialement en 2026. 📈 Évolution et historique INC Ransomware a Ă©mergĂ© en 2023 comme une opĂ©ration semi-privĂ©e basĂ©e sur un modĂšle d’affiliation. Le groupe a rapidement dĂ©veloppĂ© des variantes Windows et Linux/ESXi, ciblant notamment les hyperviseurs VMware. En 2024, le code source (Windows + Linux/ESXi) a Ă©tĂ© mis en vente sur des forums underground par un utilisateur nommĂ© “salfetka” (liĂ© aux alias “rinc” et “farnetwork”, associĂ© aux opĂ©rations Nokoyawa, JSWORM, Nefilim, Karma et Nemty) pour 300 000 USD (limitĂ© Ă  trois acheteurs). Cette vente a conduit Ă  l’émergence des familles Lynx et Sinobi avec un chevauchement de code significatif. ...

19 juin 2026 Â· 5 min

Kodak confirme une violation de données aprÚs les revendications de ShinyHunters

đŸ—“ïž Contexte PubliĂ© le 18 juin 2026 par SecurityWeek (Eduard Kovacs), cet article rapporte la confirmation par Kodak d’une violation de donnĂ©es suite aux revendications du groupe cybercriminel ShinyHunters. 🎯 Incident Kodak a Ă©tĂ© inscrit sur le site de ShinyHunters le 15 juin 2026. Les hackers affirment avoir obtenu plus de 2,2 millions de dossiers contenant des informations personnelles de clients ainsi que d’autres donnĂ©es d’entreprise. Les attaquants ont menacĂ© de publier les donnĂ©es volĂ©es le 18 juin 2026 Ă  moins que Kodak ne paie une rançon. ...

19 juin 2026 Â· 2 min

Le botnet Android 'Popa' lié à la société israélienne cotée Alarum Technologies / NetNut

đŸ—“ïž Contexte PubliĂ© le 18 juin 2026 sur KrebsOnSecurity, cet article synthĂ©tise les rapports simultanĂ©s de plusieurs sociĂ©tĂ©s de sĂ©curitĂ© (Qurium, Synthient, Spur, Nokia Deepfield, Black Lotus Labs/Lumen, Include Security, Infoblox) concernant le botnet Popa et son lien avec NetNut, opĂ©rateur de proxies rĂ©sidentiels filiale d’Alarum Technologies Ltd (NASDAQ: ALAR), sociĂ©tĂ© israĂ©lienne cotĂ©e en bourse. 🩠 Description du botnet Popa Popa est un botnet Android actif depuis environ quatre ans, ciblant principalement des box TV Android non officielles vendues en ligne. Il s’agit d’un composant plugin associĂ© au botnet Vo1d. Ses caractĂ©ristiques principales : ...

19 juin 2026 Â· 4 min

Les cybercriminels contournent les suppressions de Telegram via des canaux politiques et crypto

🔍 Contexte PubliĂ© le 16 juin 2026 par Open Measures, cet article prĂ©sente une analyse de la persistance des activitĂ©s cybercriminelles sur Telegram malgrĂ© les efforts de modĂ©ration massifs engagĂ©s depuis l’arrestation de Pavel Durov en France en aoĂ»t 2024. 📊 Évolution de la modĂ©ration Telegram Depuis mai 2024, Telegram a considĂ©rablement intensifiĂ© sa modĂ©ration : 43,5 millions de canaux et groupes supprimĂ©s en 2025 Les suppressions quotidiennes en 2026 sont environ 4 fois supĂ©rieures Ă  la moyenne de mai 2024 Telegram a mis Ă  jour sa politique de confidentialitĂ© pour divulguer numĂ©ros de tĂ©lĂ©phone et adresses IP sur ordonnance judiciaire DĂ©clin notable de la modĂ©ration aprĂšs le 20 fĂ©vrier 2026 🎭 Tactiques d’évasion par pĂ©riode 2024 — Canaux Ă  thĂšme politique amĂ©ricain : Les canaux les plus actifs portaient des noms imitant des mouvements politiques amĂ©ricains (ThePatriotPartyofOH, FreeWestVirginia, PatriotPartyOregon). Ces canaux diffusaient des publicitĂ©s pour des services cybercriminels (documents frauduleux, identifiants volĂ©s). ...

19 juin 2026 Â· 3 min

macOS ClickFix : un RAT persistant et un stealer AppleScript ciblent Asie, Amérique du Nord et Océanie

🔍 Contexte Netskope Threat Labs a publiĂ© le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptĂ©e le 31 mai 2026. Cette campagne fait suite Ă  une premiĂšre vague signalĂ©e en avril 2026 et reprĂ©sente une Ă©volution significative : elle intĂšgre dĂ©sormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifiĂ© comme russophone. 🎯 Ciblage et distribution Victimes : principalement en Asie, AmĂ©rique du Nord et OcĂ©anie Secteurs : technologie, mĂ©dias, services aux entreprises Infrastructure : 25 domaines leurres Ă©phĂ©mĂšres, tous proxifiĂ©s via Cloudflare, enregistrĂ©s avec le mĂȘme email administrateur (dbc9a6801423efc7s@ghastlier[.]com) Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisĂ©e (Berlin) ⚙ ChaĂźne d’infection (entiĂšrement fileless) Social engineering ClickFix : la victime est incitĂ©e Ă  copier-coller une commande curl dans le Terminal Stage 1 (loader zsh) : script gzip+base64 Ă©valuĂ© en mĂ©moire, effectue : GĂ©ofencing CIS : dĂ©tecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement Beacon de tĂ©lĂ©mĂ©trie vers le C2 (IP, locale, hostname, OS, hash de build) RĂ©cupĂ©ration du payload AppleScript via curl pipĂ© directement dans osascript (jamais Ă©crit sur disque) Stage 2 (“Meow DEBUG”) : payload AppleScript exĂ©cutĂ© entiĂšrement en mĂ©moire 🩠 CapacitĂ©s du payload Stage 2 Vol de credentials : fausse boĂźte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives Vol de donnĂ©es navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys) Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core
) + plus de 100 extensions Chromium dont MetaMask Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png
) Apple Notes : copie SQLite directe Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clĂ© API dĂ©diĂ©e 💉 Injection de wallets desktop AprĂšs exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite : ...

19 juin 2026 Â· 5 min

Operation Endgame démantÚle SocGholish : plus de 100 serveurs saisis, 14 971 sites assainis

🌐 Contexte PubliĂ© le 17 juin 2026 par l’équipe Proofpoint Threat Research, cet article dĂ©taille les rĂ©sultats de l’Operation Endgame ciblant le groupe cybercriminel TA569, opĂ©rateur du malware SocGholish (alias FakeUpdates), suivi par Proofpoint depuis 2018. 🚔 Action de forces de l’ordre Le 18 juin 2026, une action coordonnĂ©e impliquant les Pays-Bas (NHCTU), le Canada (RCMP), les États-Unis (FBI) et l’Allemagne (BKA), avec le soutien d’Europol, a permis : La saisie de plus de 100 serveurs et domaines dans le monde entier L’assainissement de 14 971 sites web compromis La perturbation du botnet SocGholish Proofpoint a contribuĂ© en fournissant des informations aux autoritĂ©s. ...

19 juin 2026 Â· 4 min
Derniùre mise à jour le: 10 juillet 2026 📝