International

📰 Source : SuspectFile — Date : 22 avril 2026 — Interview directe accordée par le groupe DragonForce à la plateforme d’investigation SuspectFile. 🎯 Présentation du groupe DragonForce se décrit comme un écosystème RaaS (Ransomware-as-a-Service) basé sur un modèle de partenariat ouvert. Le groupe se positionne comme un régulateur chargé de faire respecter des règles internes, tandis que les affiliés (« partenaires ») conduisent les attaques de manière autonome. Cette structure décentralisée complexifie l’attribution technique. ...

🎯 Contexte Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spécifiquement les déploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiée comme Guardarian. La campagne s’est déroulée sur une fenêtre de 13 heures le 3 avril 2026. 📦 Vecteur d’attaque Trente-six packages npm malveillants ont été publiés via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraître légitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exécutant automatiquement via le hook postinstall sans interaction utilisateur. ...

🔍 Contexte Source : Have I Been Pwned (HIBP), publié le 26 mars 2026. Sound Radix, entreprise spécialisée dans les outils de production audio, a auto-déclaré une violation de données auprès de HIBP. 📋 Détails de l’incident L’incident a été attribué à un accès non autorisé à une plateforme de support client. Les données exposées concernent les utilisateurs ayant interagi avec l’équipe de support. Données compromises : 📧 293 000 adresses e-mail uniques 👤 Noms des utilisateurs ⚠️ Possibilité d’exposition de mots de passe hachés 🛡️ Périmètre de l’incident Sound Radix a précisé qu’il n’existe aucune preuve d’accès à la base de données utilisateurs principale. Aucune donnée financière ou bancaire n’a été compromise. ...

Selon Socket (socket.dev), une nouvelle attaque de chaîne d’approvisionnement visant l’écosystème Trivy a été détectée à partir d’environ 19:15 UTC, distincte du précédent incident OpenVSX/VS Code. L’attaque cible l’action GitHub officielle aquasecurity/trivy-action et transforme des références de versions largement utilisées en vecteur de distribution d’un infostealer. L’acteur a force-push 75 des 76 tags de version du dépôt aquasecurity/trivy-action afin de les faire pointer vers de nouveaux commits malveillants, tout en conservant une apparence légitime via des métadonnées spoofées. Plus de 10 000 workflows GitHub référencent ces tags, amplifiant le rayon d’impact. Les tags compromis « restent actifs » au moment de la rédaction. Le tag 0.35.0 est le seul non empoisonné, car il pointe déjà vers le commit parent utilisé par l’attaquant (57a97c7e). Des indices de fraude incluent l’absence de signatures GPG d’origine, des dates incohérentes (dates anciennes avec un parent de mars 2026) et des commits ne modifiant que entrypoint.sh. Des « releases immuables » ont été publiées lors du poisonnement, compliquant le rétablissement. Homebrew a déjà amorcé des retours arrière. ...

Source: pwn.guide — Publication technique présentant une vulnérabilité critique dans GNU InetUtils telnetd, avec explications détaillées et PoC. 🚨 Vulnérabilité: CVE-2026-32746 est un débordement de tampon pré-authentification dans le gestionnaire LINEMODE SLC de GNU InetUtils telnetd (versions jusqu’à 2.7). La fonction add_slc() écrit des triplets SLC (3 octets chacun) dans un buffer fixe de 108 octets sans contrôle de bornes, débordant après ~35 triplets (104 octets utiles). CVSS 3.1: 9.8 (Critique); CWE-120 / CWE-787. ...

Selon The Hacker News, la campagne d’attaque de la chaîne d’approvisionnement GlassWorm s’intensifie, s’appuyant sur des extensions Open VSX malveillantes et plus de 150 dépôts GitHub compromis. Type d’attaque: attaque de la chaîne d’approvisionnement (supply chain) 🔗 Composants impliqués: des dizaines d’extensions Open VSX malveillantes 🧩; plus de 150 dépôts GitHub compromis 📦 Campagne: GlassWorm 🐛 L’article souligne l’ampleur de la compromission sur deux écosystèmes clés (extensions et dépôts de code), utilisée comme partie intégrante de la campagne GlassWorm. ...

Selon BleepingComputer, un nouvel outil open-source nommé Betterleaks a été présenté, capable d’analyser des répertoires, des fichiers et des dépôts Git afin d’identifier des secrets valides à l’aide de règles par défaut ou personnalisées. 🧰 Fonctionnalités clés: Type: nouvel outil open-source Périmètre d’analyse: répertoires, fichiers, dépôts Git Détection: identification de secrets valides Règles: par défaut ou personnalisées Betterleaks : nouvel outil open source de détection de secrets dans les dépôts et fichiers Contexte Betterleaks est un nouvel outil open source conçu pour scanner : ...

Selon Have I Been Pwned, Divine Skins (service de skins personnalisés pour League of Legends) a révélé sur son serveur Discord qu’un accès non autorisé a touché une partie de ses systèmes en mars 2026. 🚨 Nature de l’incident : accès non autorisé à une partie des systèmes et suppression de tous les skins de la base de données. 🗂️ Données compromises : Adresses e-mail Pseudos (usernames) Historique des achats réalisés par les utilisateurs 📣 Communication : l’incident a été divulgué sur le serveur Discord de Divine Skins. ...

Selon Cisco Talos (billet signé par Kri Dontje), l’équipe Vulnerability Discovery & Research a publié des avis sur des vulnérabilités touchant Microsoft DirectX, OpenFOAM et la bibliothèque Libbiosig; la plupart ont été corrigées par les éditeurs, à l’exception de celle de DirectX, et une couverture Snort est disponible. • Microsoft DirectX — Élévation locale de privilèges (LPE) non corrigée: TALOS-2025-2293 (CVE-2025-68623), découverte par KPC (Cisco Talos). La faille réside dans le processus d’installation de DirectX End-User Runtime (provenant de l’ancien SDK DirectX), présent notamment sur Windows XP SP2, Windows Server 2003 SP1, Windows Vista, Windows 7, Windows 8/8.1, Windows 10 et équivalents Server. Un utilisateur à faible privilège peut remplacer un exécutable pendant l’installation, pouvant entraîner une élévation involontaire de privilèges. ❗ Non corrigée à la date de la publication. ...

Selon une publication de recherche d’Orange Innovation Poland, ce travail examine comment la cyber threat intelligence (CTI) doit évoluer pour couvrir les menaces propres aux systèmes d’IA, en structurant les sources (vulnérabilités, incidents, TTP), en définissant des IoC spécifiques à l’IA et en proposant des méthodes de similarité pour détecter modèles/datasets malveillants. Le papier compare la CTI « classique » et la CTI pour l’IA, en listant des actifs et vulnérabilités propres à l’IA (ex. empoisonnement de données, backdoors dans les modèles, adversarial examples, inversion de modèle, prompt injection). Il cartographie les phases d’attaque adaptées au cycle ML (reconnaissance des artefacts ML, accès initial via API/produit, exécution, persistance via backdoor, élévation de privilèges notamment sur LLMs, évasion, exfiltration et impact). ...