Global

Selon TrendAI Research Team (extrait d’un rapport TrendAI Research Services), une vulnérabilité CVE-2026-20841 affectant le Bloc‑notes Windows a été analysée et corrigée par Microsoft en février 2026. Le bug, découvert initialement par Cristian Papa et Alasdair Gorniak (Delta Obscura), permet une exécution de code arbitraire suite à une validation insuffisante des liens Markdown traités par Notepad. • Produits/versions concernés : Windows Notepad (version moderne avec rendu Markdown et fonctionnalités Copilot). Le rendu Markdown est déclenché pour les fichiers avec extension .md, déterminé via une comparaison de chaîne fixe par l’appel interne sub_1400ED5D0(). Le clic sur les liens est géré par sub_140170F60(), qui filtre insuffisamment l’URI avant de l’envoyer à ShellExecuteExW(). Des URI malicieuses (ex. file://, ms-appinstaller://) peuvent ainsi mener à l’exécution de commandes/fichiers dans le contexte de l’utilisateur. Remarque : toute séquence « \ » est normalisée en « \ » avant l’appel. ...

Selon Ars Technica, Google dévoile un plan pour protéger la chaîne de certificats HTTPS contre les futures attaques quantiques, en s’appuyant sur des Merkle Tree Certificates (MTC) et des signatures post-quantiques (dont ML-DSA), déjà pris en charge dans Chrome, en partenariat avec Cloudflare. 🔐 Problème à résoudre: le matériel cryptographique post-quantique nécessaire pour publier les certificats TLS et leurs preuves de transparence est ~40× plus volumineux que l’existant. Une chaîne X.509 typique actuelle (~4 kB) comprend six signatures à courbes elliptiques et deux clés publiques EC (64 octets chacune), vulnérables à l’algorithme de Shor. Augmenter fortement la taille ralentirait le handshake TLS et dégraderait des « middle boxes ». ...

Selon CrowdSec, une vague d’exploitation ciblée de la vulnérabilité critique CVE-2026-21859 affectant Mailpit a été observée, avec une montée en puissance récente des tentatives. • Contexte et paysage de la menace 🚨 Premières tentatives détectées le 11 février 2026. Attaques « hautement sélectives » et à forte composante de renseignement, typiques de campagnes sophistiquées/APT cherchant un point d’appui initial ou des opportunités de mouvement latéral. Plus de 130 IPs malveillantes rapportées, avec une augmentation marquée la semaine passée. • Produit et impact ...

Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisé depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dès 30 $, et présenté publiquement comme « logiciel de surveillance » alors qu’il est centré sur le vol d’identifiants à grande échelle. 🔐 Langage et évasion. DarkCloud est écrit en Visual Basic 6.0 et compilé en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait à réduire les détections par rapport à des équivalents C/C++ selon des scans VirusTotal effectués par les analystes. L’outil emploie une obfuscation/ chiffrement de chaînes en couches, fondée sur le PRNG VB6 (Rnd()) avec clés Base64, chaînes hex, calcul de seed custom, reset du PRNG à un état connu, puis itérations pour reconstruire les chaînes en clair — une approche visant à complexifier l’analyse sans recourir à une crypto innovante. 🧪 ...

Selon Securelist (Kaspersky), des chercheurs ont analysé « Arkanix Stealer », un infostealer en C++ et Python opéré en MaaS avec panneau de contrôle, modules configurables et programme de parrainage. Découvert via des annonces de forums en octobre 2025, il a fonctionné plusieurs mois avant que le panel et le Discord ne soient retirés vers décembre 2025. L’outil visait un large spectre de données, du système aux navigateurs, en passant par Telegram, Discord, VPN et fichiers sensibles. ...

Source et contexte: Publication de recherche présentée au NDSS Symposium 2026 par des chercheurs de Georgia Institute of Technology. L’étude propose un cadre de mesure actif traçant des IoC « filigranés » pour observer, en temps réel, la chaîne de propagation (soumission → extraction → partage → disruption) au sein de l’écosystème mondial de Threat Intelligence (AV, sandboxes, plateformes TI, blocklists). • Méthodologie et portée. Les auteurs génèrent des binaires bénins mais suspects (Rockets) qui émettent des domaines/URLs encodant des empreintes d’exécution, déposent des copies (Satellites) et permettent de suivre l’extraction d’IoC, leur partage et les actions de blocage/takedown. Ils soumettent à 30 acteurs (plus de 60 fournisseurs observés au total) et utilisent des capteurs DNS/HTTP ainsi que des sondes OSINT (VirusTotal, OTX, blocklists DNS) pour mesurer couverture et délais. ...

Source : Socket (Threat Research Team). Les chercheurs décrivent une campagne active de ver supply chain npm dite « Shai‑Hulud‑like », nommée SANDWORM_MODE, diffusée via au moins 19 packages malveillants et deux alias npm, qui vole des identifiants développeur/CI, se propage automatiquement et cible les outils IA des développeurs. — Vue d’ensemble Type d’attaque : ver de chaîne d’approvisionnement npm avec typosquatting et empoisonnement GitHub Actions/AI toolchains. Capacités clés : exfiltration via HTTPS (Cloudflare Worker) avec repli DNS, uploads GitHub API, persistance via hooks Git (init.templateDir), propagation via tokens npm/GitHub et SSH en repli, injection MCP visant Claude/Cursor/Continue/Windsurf, récolte de clés d’API LLM (OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral, Cohere) et dead switch (effacement du home) désactivé par défaut. — Chaîne d’exécution et exfiltration ...

Selon The Verge (19 fév. 2026), un hacker a exploité une vulnérabilité dans Cline, un agent de codage open source utilisant Claude (Anthropic), afin de pousser l’installation automatique d’OpenClaw 🦞 sur des ordinateurs. La technique s’appuie sur une prompt injection insérée dans le workflow, déjà démontrée en preuve de concept par le chercheur Adnan Khan quelques jours plus tôt. Détails de l’attaque et mécanisme: l’attaquant a profité du fait que le workflow de Cline acceptait des instructions malicieuses destinées à Claude, le conduisant à exécuter des actions non prévues, notamment l’installation automatique de logiciels. L’installateur a ciblé OpenClaw (agent viral open source qui « fait réellement des choses »), mais les agents n’ont pas été activés après installation. ...

Selon The Cyber Express, une vulnérabilité critique (CVE-2026-2441) affectant Google Chrome permet une exécution de code à distance (RCE) via un bug use-after-free lié au CSS. Google a publié une mise à jour d’urgence pour corriger ce problème. 🚨 Points clés Vulnérabilité: CVE-2026-2441 Type: use-after-free (CSS) Impact: exécution de code à distance (RCE) Produits concernés: Google Chrome Correctif: mise à jour d’urgence disponible Détails techniques succincts La faille est déclenchée via la manipulation du CSS, entraînant un use-after-free exploitable pour de la RCE. Correctif ...

GBHackers Security rapporte qu’une campagne d’attaque exploite la vulnérabilité critique CVE-2026-1731 affectant des déploiements auto-hébergés de BeyondTrust Remote Support et Privileged Remote Access. La faille autorise des attaquants non authentifiés à réaliser une injection de commandes système, conduisant à une exécution de code à distance (RCE). Les produits concernés sont explicitement les instances auto-hébergées de BeyondTrust Remote Support et de Privileged Remote Access. ⚠️ L’impact mis en avant est majeur, les attaquants pouvant prendre un contrôle complet d’Active Directory, ce qui élargit drastiquement leur surface d’action au sein des environnements ciblés. ...