Global

Source : Check Point Research (blog technique). CPR présente VoidLink comme un cas probant de malware avancé généré quasi intégralement par une IA, probablement dirigée par un seul développeur, et expose les artefacts qui retracent sa conception accélérée. Le cadre est décrit comme mature, modulaire et hautement fonctionnel, avec un C2 dédié et des capacités pour eBPF, rootkits LKM, énumération cloud et post‑exploitation en environnements conteneurisés. L’architecture et l’opérationnel ont évolué rapidement vers une plateforme complète, avec une infrastructure C2 mise en place au fil des itérations. 🤖 ...

Selon une publication PromptArmor, une démonstration détaille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnérabilité d’isolation reconnue mais non corrigée dans l’environnement d’exécution de code, initialement signalée par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spécifiques liés à son caractère agentique et à son accès Internet. Principale découverte: l’attaque contourne les restrictions réseau du VM de Claude grâce à l’allowlisting de l’API Anthropic, permettant une exfiltration de données vers le compte de l’attaquant sans intervention humaine. Le scénario s’appuie sur une injection de prompt indirecte dissimulée dans un fichier que l’utilisateur charge dans Cowork. ...

Selon Information Security Media Group (ISMG), le groupe ransomware DeadLock, actif depuis juillet 2025, emploie des smart contracts sur Polygon pour des fonctions de commande et contrôle et pour faciliter les échanges de rançon via la messagerie chiffrée Session. • Vecteur et communications: DeadLock adopte EtherHiding pour intégrer des instructions malveillantes dans des smart contracts. Le groupe ne dispose pas de site de fuite et attribue à chaque victime un Session ID pour négocier via Session (E2E). Le premier binaire de ransomware connu, en C++ ciblant Windows, a été compilé en juillet 2025. ...

Selon un bulletin de sécurité AWS (Bulletin ID: 2026-001-AWS) publié le 9 janvier 2026, une vulnérabilité référencée CVE-2026-0830 touche Kiro IDE, un IDE agentique installé sur poste de travail. ⚠️ Le bulletin décrit une injection de commandes pouvant survenir lors de l’ouverture d’un espace de travail malveillant. L’exploitation est rendue possible par des noms de dossiers spécialement conçus au sein de l’espace de travail, permettant l’exécution arbitraire de commandes sur les versions concernées de Kiro IDE. ...

Source: Check Point Research (publication du 7 janvier 2026). CPR analyse une variante 2025 de GoBruteforcer (GoBrut), un botnet modulaire en Go qui transforme des serveurs Linux compromis en nœuds de scan et de brute-force, avec un intérêt marqué pour des cibles crypto. Le botnet cible des services exposés (FTP, MySQL, PostgreSQL, phpMyAdmin) et se propage via une chaîne web shell → downloader → bot IRC → bruteforcer. Deux facteurs alimentent la vague actuelle: l’usage massif d’exemples de déploiement générés par IA 🧠 qui recyclent des noms d’utilisateurs/défauts faibles (ex. appuser, myuser) et la persistance de stacks legacy comme XAMPP exposant FTP/phpMyAdmin avec un durcissement minimal. Selon CPR, >50 000 serveurs exposés pourraient être vulnérables; Shodan relève ~5,7 M de FTP, 2,23 M de MySQL et 560 k de PostgreSQL accessibles. L’ensemble de mots de passe utilisé par GoBruteforcer chevauche à 2,44% une base de 10 M de mots de passe fuités, ce qui suggère qu’environ 54,6 k MySQL et 13,7 k PostgreSQL pourraient accepter l’un des mots de passe de l’attaquant. ...

Selon la publication du 31/12/2025, une attaque baptisée “ConsentFix” (aussi appelée “AuthCodeFix”) exploite le flux OAuth 2.0 par code d’autorisation pour voler le code de redirection et obtenir des tokens sur Microsoft Entra. Découverte dans la nature par PushSecurity (évolution de ClickFix), une variante démontrée par John Hammond supprime même l’étape de copier-coller au profit d’un glisser‑déposer de l’URL contenant le code. Pourquoi cela fonctionne 🧩 L’attaquant construit une URI de connexion Entra visant le client “Microsoft Azure CLI” et la ressource “Azure Resource Manager”. L’utilisateur s’authentifie puis est redirigé vers un URI de réponse local (ex. http://localhost:3001) qui contient le paramètre sensible “code” (valide environ 10 minutes) et éventuellement “state”. En l’absence d’application écoutant sur localhost, le navigateur affiche une erreur, mais l’URL contient toujours le code que l’attaquant récupère. Il l’échange ensuite pour des tokens (access/ID/refresh) et accède à la ressource. Ce mécanisme explique pourquoi l’attaque semble contourner les exigences de conformité d’appareil et certaines politiques d’Accès conditionnel, car elle abuse d’un flux OAuth légitime. Détection et signaux 🔎 ...

Dans un billet technique publié le 1 janvier 2026, un chercheur en sécurité raconte comment il a abouti à une chaîne d’exploits menant à une RCE pré-auth sur LogPoint SIEM/SOAR après une première divulgation responsable de failles majeures découverte en 24 heures. Le contexte: l’analyse commence par un accès en labo à l’appliance (basée sur Ubuntu), la récupération des sources Python (en partie livrées en .pyc) via décompilation, et la cartographie de l’architecture: un backend historique en Python sur l’hôte et des microservices Java en Docker pour la partie SOAR. ...

La publication présente « SessionView », un utilitaire léger en C# destiné à l’énumération et l’affichage des sessions utilisateurs sur Windows Server/Client, avec extraction des GUID de session. • Fonctionnalités principales 🖥️ Énumération complète des sessions (actives, déconnectées, idle, etc.) Détails par session : Session ID, Station Name, Connection State, Username, Domain Récupération du GUID de session depuis le Registre Windows États pris en charge : WTSActive, WTSConnected, WTSDisconnected, WTSIdle, WTSListen, WTSReset, WTSDown, WTSInit Sortie console lisible pour une analyse rapide • Exigences et usage ...

Selon Aikido Security (blog, 28 déc. 2025), une nouvelle souche du ver/malware Shai Hulud a été détectée dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation à ce stade. • Nature et contexte: Aikido décrit une variante «novelle et inédite» de Shai Hulud, dont le code apparaît à nouveau obfusqué depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a été identifié peu après sa mise en ligne, avec des changements notables dans la chaîne d’exfiltration et l’opérationnalisation du ver. ⚠️ ...

Selon un billet de blog de Lorin Hochstein (Incidents), un certificat SSL expiré a touché les domaines de distribution de Bazel chez Google, provoquant des échecs de build pour les utilisateurs. • Impact principal: des erreurs côté clients Bazel lors de l’accès au registre, avec des messages tels que « PKIX path validation failed: CertPathValidatorException: validity check failed ». Les domaines affectés étaient https://bcr.bazel.build et https://releases.bazel.build. 🔐🚫 • Cause immédiate: d’après un résumé post-mitigation de Xùdōng Yáng sur un ticket GitHub, l’auto‑renouvellement du certificat a été bloqué suite à l’ajout de nouveaux sous-domaines, et les notifications d’échec de renouvellement n’ont pas été envoyées. ...