📰 Source : CBS News Minnesota / WCCO — Date de publication : 20 mai 2026 🏫 Contexte : Le district scolaire public de Delano (Minnesota, États-Unis) a été victime d’un incident de cybersécurité découvert tôt le mardi matin. Le surintendant Matt Schoen a confirmé qu’un acteur externe non identifié a accédé au réseau du district. ⚠️ Déroulement de l’incident : Des centaines de pages ont été imprimées sur l’ensemble des imprimantes du district, affichant le mot « ransom » en en-tête, suivi d’un message chiffré/illisible Le réseau a été compromis par un acteur externe (ni étudiant, ni personnel interne selon les autorités) Aucune demande de rançon formelle n’a été reçue par le district à ce stade Les cours ont été annulés le mercredi ; les élèves devaient reprendre le jeudi avec un accès internet via câbles Ethernet en remplacement du réseau habituel 🛡️ Containment : Le district indique que la coupure d’internet a limité l’accès des attaquants aux seuls serveurs internes, excluant les informations personnelles des élèves, du personnel et les comptes Google. Le surintendant affirme que les données personnelles n’ont pas été compromises. ...

🏛️ Contexte Source : The Cyber Express, publié le 21 mai 2026. La Federal Trade Commission (FTC) américaine a lancé ses premières actions d’application du TAKE IT DOWN Act, une loi fédérale signée en mai 2025 et officiellement applicable depuis le 19 mai 2026. ⚖️ Contenu de la loi et obligations Le TAKE IT DOWN Act impose aux plateformes en ligne couvertes de : Fournir aux utilisateurs un mécanisme clair pour demander le retrait d’images intimes non consenties Supprimer le contenu et ses copies identiques connues dans un délai de 48 heures après réception d’une demande valide Les entreprises non conformes s’exposent à des pénalités civiles pouvant atteindre 53 088 $ par violation 🎯 Actions de la FTC La FTC a adressé des lettres d’avertissement à 12 entreprises opérant des outils de nudification basés sur l’IA, capables de manipuler des images habillées pour générer du contenu sexualisé sans consentement. Ces entreprises sont accusées de ne pas fournir de mécanisme de signalement aux victimes. ...

🎯 Contexte Source : Tenable Research Special Operations (RSO), publiée le 21 mai 2026. L’article présente une FAQ détaillée sur la campagne Mini Shai-Hulud, quatrième génération d’un ver auto-propagant opéré par le groupe TeamPCP, actif depuis septembre 2025 dans les écosystèmes npm et PyPI. 🐛 Évolution du ver Shai-Hulud Quatre générations ont été identifiées : Shai-Hulud (septembre 2025) : premier malware auto-réplicant observé dans npm, vol de tokens mainteneur SHA1-Hulud (novembre 2025) : fonctionnalité wiper et collecte de credentials améliorée SANDWORM_MODE (mars 2026) : ciblage adaptatif avec énumération des pipelines CI/CD Mini Shai-Hulud (avril 2026) : variante la plus destructrice, active au moment de la publication ⚙️ Capacités techniques de Mini Shai-Hulud Contournement des attestations SLSA Build Level 3 via Sigstore (première mondiale) Extraction de tokens OIDC depuis la mémoire du processus GitHub Actions runner Hooks de persistance ciblant les agents de codage IA et les IDEs développeurs Propagation cross-écosystème (npm et PyPI) Triple exfiltration redondante : serveur C2 dédié, réseau Session (décentralisé), dead drops via GitHub API 🔗 Trois chaînes d’attaque Vol de token + publication automatisée massive : hook preinstall téléchargeant le runtime Bun pour exécuter un payload obfusqué Hijack OIDC avec contournement de provenance (utilisé dans la vague TanStack) : extraction de token OIDC depuis la mémoire du runner, publication via le pipeline légitime avec attestation cryptographique valide Injection PyPI : dropper injecté dans le fichier d’initialisation du package, téléchargeant un payload depuis une infrastructure contrôlée par l’attaquant 🏛️ CVE associée CVE-2026-45321 (CVSSv3 : 9.6, VPR : 9.2) : injection de code malveillant dans 42 packages @tanstack via trois failles chaînées dans la configuration GitHub Actions de TanStack. L’attaquant a créé un fork sous un compte renommé, ouvert une PR déclenchant un workflow pull_request_target, empoisonné le cache GitHub Actions, puis extrait des tokens OIDC pour publier 84 versions malveillantes en moins de six minutes avec des attestations SLSA valides. ...

🔍 Contexte Cet article est une notification d’incident publiée sur le site du procureur général du Maine (maine.gov), datée du 20 mai 2026, émanant de Morningstar (société de services financiers et d’analyse d’investissement). 📅 Chronologie de l’incident 12 novembre 2025 : début de l’accès non autorisé aux systèmes Morningstar 13 novembre 2025 : détection de l’activité suspecte et mise hors ligne de certains systèmes 13 novembre 2025 : coupure de l’accès de l’acteur non autorisé ⚠️ Nature de l’incident Un acteur non autorisé a obtenu un accès à certains systèmes de Morningstar pendant une fenêtre d’environ 24 heures. Durant cette période, l’acteur a potentiellement pu visualiser et/ou obtenir des informations stockées sur les systèmes compromis. ...

📡 Contexte Le 21 mai 2026, GreyNoise publie un signal d’alerte basé sur les données de son tag SonicWall SonicOS API Scanner, signalant une activité de scan anormalement élevée ciblant les interfaces de gestion SonicOS de SonicWall. 📊 Activité observée Entre le 9 et le 18 mai 2026, GreyNoise a enregistré un pic significatif de sessions de scan. Le 12 mai 2026 constitue le pic le plus élevé avec environ 597 000 sessions en une seule journée, soit environ 46 fois le volume quotidien habituel sur ce tag dans les 30 jours précédents. ...

🏥 Contexte Cette notification provient du site officiel du procureur général de l’État du Maine (maine.gov), publiée le 20 mai 2026. Elle concerne un incident de sécurité informatique survenu chez Southern California University of Health Sciences (SCUHS). 📅 Chronologie de l’incident 23-24 mars 2026 : Un acteur non autorisé accède au réseau de SCUHS et consulte et copie des fichiers. 24 mars 2026 : SCUHS prend connaissance de l’activité non autorisée sur son réseau. Des spécialistes externes en cybersécurité sont immédiatement mobilisés pour sécuriser le réseau et évaluer l’étendue de l’incident. 🔍 Nature de l’incident L’investigation a confirmé que certains fichiers stockés sur le réseau de SCUHS ont été consultés et copiés (exfiltration de données) par un acteur non autorisé. Une revue exhaustive des fichiers impactés a été conduite pour identifier les informations concernées et les personnes affectées. ...

🔍 Contexte Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées. 🎯 Vecteur d’infection et leurres Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape : ...

🗓️ Contexte Article publié le 21 mai 2026 sur BleepingComputer par Sergiu Gatlan. Il s’agit d’un post-mortem partiel de la compromission des dépôts internes de GitHub, rattachée à la campagne supply chain orchestrée par le groupe TeamPCP. 🔓 Incident GitHub Le CISO de GitHub, Alexis Wales, a confirmé que la brèche ayant touché 3 800 dépôts internes résulte de l’installation par un employé d’une version malveillante de l’extension VS Code Nx Console (version 18.95.0). Cette version empoisonnée a été disponible sur le Visual Studio Marketplace pendant environ 18 minutes et sur OpenVSX pendant 36 minutes, avec respectivement 28 et 41 téléchargements directs, mais environ 6 000 activations enregistrées depuis VSCode. ...

📰 Source : BleepingComputer | Date de publication : 20 mai 2026 | Contexte : Opération conjointe entre la cyberpolice ukrainienne et les forces de l’ordre américaines ciblant un opérateur d’infostealer. 🎯 Faits principaux Un suspect de 18 ans, résidant à Odessa (Ukraine), a été identifié comme opérateur d’une campagne de malware infostealer active entre 2024 et 2025. La cible principale était les utilisateurs d’une boutique en ligne basée en Californie. ...

🏢 Contexte Cet article est une notification officielle de violation de données publiée par Bomco sur le portail du procureur général de l’État du Maine (maine.gov), datée du 20 mai 2026. 📅 Chronologie de l’incident 14-16 juin 2025 : Un acteur non autorisé accède à certains fichiers du réseau de Bomco et les copie potentiellement. 17 juin 2025 : Bomco prend connaissance de l’incident et lance une investigation. 20 avril 2026 : Fin de la revue détaillée des fichiers impliqués, réalisée avec l’aide de spécialistes tiers en revue de données. 20 mai 2026 : Publication de la notification aux personnes concernées. 🔍 Nature de l’incident Un acteur non autorisé a obtenu un accès à certains fichiers au sein du réseau de Bomco. Les fichiers ont potentiellement été copiés. L’investigation a été conduite en interne avec l’assistance de tiers spécialisés. ...