International

🏛️ Contexte Le 21 mai 2026, le FBI (Internet Crime Complaint Center) a publié une alerte publique (PSA n° I-052126-PSA) concernant une nouvelle plateforme Phishing-as-a-Service (PhaaS) nommée Kali365, observée pour la première fois en avril 2026. 🎯 Description de la menace Kali365 est une plateforme PhaaS distribuée principalement via Telegram, accessible par abonnement. Elle permet à des attaquants, y compris peu techniques, de mener des campagnes de phishing ciblant les environnements Microsoft 365. ...

📰 Source : TechCrunch, publié le 23 mai 2026. L’article revient sur les campagnes de surveillance ciblée menées à l’aide de spywares commerciaux contre des journalistes, défenseurs des droits humains et opposants politiques, et présente les contre-mesures disponibles sur les principales plateformes. 🎯 Contexte des attaques documentées Début 2025, WhatsApp a notifié environ 90 utilisateurs — majoritairement des journalistes et membres de la société civile en Europe — qu’ils avaient été ciblés par le spyware de la société israélienne Paragon Solutions. Peu après, Apple a envoyé des notifications de menace à un nouveau groupe d’utilisateurs iOS ; l’analyse forensique a confirmé que deux journalistes avaient été compromis via le spyware Graphite de Paragon, en utilisant une attaque zero-click (sans interaction de la victime). En 2019, une campagne de NSO Group avait ciblé environ 1 200 utilisateurs de WhatsApp. ...

🔍 Contexte Analyse technique publiée le 20 mai 2026 par SafeDep, portant sur la compromission du package npm art-template (moteur de templates JavaScript, ~26 000 téléchargements hebdomadaires), confirmée par l’auteur original le 20 mai 2026. 🎯 Nature de l’attaque L’attaque repose sur une prise de contrôle de comptes mainteneurs npm (account takeover). Trois comptes npm non légitimes (v4v5qc, npmpacketmaintainmember7, daughtrymom) ont publié des versions malveillantes entre mars 2025 et mai 2026. Le compte GitHub original (aui) a été renommé en goofychris fin novembre 2024, précédant la compromission npm de trois mois. ...

🌐 Contexte Publié le 14 mai 2026 sur le blog de Check Point Research, ce rapport analyse la menace cybercriminelle croissante liée à la FIFA World Cup 2026, dont les matchs se déroulent aux États-Unis, au Canada et au Mexique. L’analyse couvre la période de novembre 2025 à début mai 2026. 📈 Hausse des cyberattaques dans les pays hôtes En avril 2026, les trois pays hôtes ont tous enregistré une augmentation du nombre moyen hebdomadaire de cyberattaques par organisation : ...

🔍 Contexte Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observées entre février et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnérabilité de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 Vulnérabilité et mécanisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la manière dont le MFA est appliqué selon le format de login utilisé : ...

🌐 Contexte Le 21 mai 2026, Europol publie un communiqué de presse relatant le démantèlement d’un service VPN criminel connu sous le nom de ‘First VPN’, à l’issue d’une opération internationale coordonnée les 19 et 20 mai 2026, menée sous la direction de la France et des Pays-Bas, avec le soutien d’Europol et d’Eurojust. 🎯 Description du service ciblé ‘First VPN’ était promu sur des forums cybercriminels russophones comme un outil de confiance permettant d’échapper aux forces de l’ordre. Il proposait : ...

📅 Source : mobile-hacker.com, publié le 20 mai 2026 🔍 Contexte Cet article présente le Flipper One, le successeur annoncé du Flipper Zero, un outil de sécurité matérielle populaire auprès des chercheurs et enthousiastes en cybersécurité. Le Flipper One est encore au stade expérimental, sans date de sortie officielle, avec une disponibilité envisagée pour l’été 2026 et un prix estimé entre 300 et 500 dollars. 🖥️ Architecture matérielle Contrairement au Flipper Zero basé sur un microcontrôleur STM32, le Flipper One adopte une architecture dual-processeur : ...

🔍 Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 21 mai 2026. L’incident concerne Dragonica Lunaris, un serveur privé européen du jeu en ligne Dragonica. 📋 Détails de l’incident En décembre 2025, Dragonica Lunaris a été victime d’une violation de données. L’incident a conduit à l’exposition des informations personnelles de 126 000 utilisateurs. Les données compromises incluent : Adresses e-mail Noms d’utilisateur Dates de naissance Hachages de mots de passe bcrypt ✅ Réponse de l’opérateur L’opérateur du service a confirmé la violation et indiqué que la faille a depuis été corrigée. ...

🎯 Contexte Source : Tenable Research Special Operations (RSO), publiée le 21 mai 2026. L’article présente une FAQ détaillée sur la campagne Mini Shai-Hulud, quatrième génération d’un ver auto-propagant opéré par le groupe TeamPCP, actif depuis septembre 2025 dans les écosystèmes npm et PyPI. 🐛 Évolution du ver Shai-Hulud Quatre générations ont été identifiées : Shai-Hulud (septembre 2025) : premier malware auto-réplicant observé dans npm, vol de tokens mainteneur SHA1-Hulud (novembre 2025) : fonctionnalité wiper et collecte de credentials améliorée SANDWORM_MODE (mars 2026) : ciblage adaptatif avec énumération des pipelines CI/CD Mini Shai-Hulud (avril 2026) : variante la plus destructrice, active au moment de la publication ⚙️ Capacités techniques de Mini Shai-Hulud Contournement des attestations SLSA Build Level 3 via Sigstore (première mondiale) Extraction de tokens OIDC depuis la mémoire du processus GitHub Actions runner Hooks de persistance ciblant les agents de codage IA et les IDEs développeurs Propagation cross-écosystème (npm et PyPI) Triple exfiltration redondante : serveur C2 dédié, réseau Session (décentralisé), dead drops via GitHub API 🔗 Trois chaînes d’attaque Vol de token + publication automatisée massive : hook preinstall téléchargeant le runtime Bun pour exécuter un payload obfusqué Hijack OIDC avec contournement de provenance (utilisé dans la vague TanStack) : extraction de token OIDC depuis la mémoire du runner, publication via le pipeline légitime avec attestation cryptographique valide Injection PyPI : dropper injecté dans le fichier d’initialisation du package, téléchargeant un payload depuis une infrastructure contrôlée par l’attaquant 🏛️ CVE associée CVE-2026-45321 (CVSSv3 : 9.6, VPR : 9.2) : injection de code malveillant dans 42 packages @tanstack via trois failles chaînées dans la configuration GitHub Actions de TanStack. L’attaquant a créé un fork sous un compte renommé, ouvert une PR déclenchant un workflow pull_request_target, empoisonné le cache GitHub Actions, puis extrait des tokens OIDC pour publier 84 versions malveillantes en moins de six minutes avec des attestations SLSA valides. ...

📡 Contexte Le 21 mai 2026, GreyNoise publie un signal d’alerte basé sur les données de son tag SonicWall SonicOS API Scanner, signalant une activité de scan anormalement élevée ciblant les interfaces de gestion SonicOS de SonicWall. 📊 Activité observée Entre le 9 et le 18 mai 2026, GreyNoise a enregistré un pic significatif de sessions de scan. Le 12 mai 2026 constitue le pic le plus élevé avec environ 597 000 sessions en une seule journée, soit environ 46 fois le volume quotidien habituel sur ce tag dans les 30 jours précédents. ...