International

🔍 Contexte Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées. 🎯 Vecteur d’infection et leurres Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape : ...

🗓️ Contexte Article publié le 21 mai 2026 sur BleepingComputer par Sergiu Gatlan. Il s’agit d’un post-mortem partiel de la compromission des dépôts internes de GitHub, rattachée à la campagne supply chain orchestrée par le groupe TeamPCP. 🔓 Incident GitHub Le CISO de GitHub, Alexis Wales, a confirmé que la brèche ayant touché 3 800 dépôts internes résulte de l’installation par un employé d’une version malveillante de l’extension VS Code Nx Console (version 18.95.0). Cette version empoisonnée a été disponible sur le Visual Studio Marketplace pendant environ 18 minutes et sur OpenVSX pendant 36 minutes, avec respectivement 28 et 41 téléchargements directs, mais environ 6 000 activations enregistrées depuis VSCode. ...

📰 Source : BleepingComputer | Date de publication : 20 mai 2026 | Contexte : Opération conjointe entre la cyberpolice ukrainienne et les forces de l’ordre américaines ciblant un opérateur d’infostealer. 🎯 Faits principaux Un suspect de 18 ans, résidant à Odessa (Ukraine), a été identifié comme opérateur d’une campagne de malware infostealer active entre 2024 et 2025. La cible principale était les utilisateurs d’une boutique en ligne basée en Californie. ...

🔍 Contexte Source : StepSecurity (blog officiel), publié le 18 mai 2026. L’article constitue une analyse technique détaillée d’un incident de supply chain ayant ciblé l’extension nrwl.angular-console (Nx Console) pour Visual Studio Code, comptant plus de 2,2 millions d’installations. 🎯 Vecteur d’accès initial L’attaquant a obtenu un token GitHub personnel (PAT) d’un contributeur Nx lors d’un incident de supply chain antérieur non identifié publiquement. Ce token disposait d’un accès en écriture au dépôt nrwl/nx et, directement ou indirectement, aux credentials de publication VS Code Marketplace (VSCE_PAT). ...

🗓️ Contexte Article publié le 20 mai 2026 par Picus Security (picussecurity.com), rédigé par Umut Bayram. Il s’agit d’une analyse technique approfondie de la classe de vulnérabilités Dirty Frag, découverte et rapportée par Hyunwoo Kim (@v4bel), divulguée le 7 mai 2026. 🔍 Description de Dirty Frag Dirty Frag est une classe de vulnérabilités du noyau Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux. Elle repose sur l’enchaînement de deux vulnérabilités distinctes qui exploitent le mécanisme de zero-copy via splice() pour injecter une référence à une page du page cache en lecture seule dans un fragment (frag) d’un sk_buff, que le noyau modifie ensuite lors du traitement cryptographique en place. ...

🌐 Contexte Publié le 14 mai 2026 sur le blog Krypt3ia, ce rapport de threat intelligence analyse l’évolution du paysage offensif autour de la prolifération des systèmes d’IA en entreprise entre 2025 et 2026. Il s’appuie sur des frameworks reconnus (MITRE ATT&CK, MITRE ATLAS, OWASP LLM Top 10) et des rapports publics de Google, Microsoft, OpenAI et Anthropic. 🎯 Évolution de la surface d’attaque Les systèmes d’IA (LLM, RAG, agents autonomes, copilotes développeurs) sont désormais intégrés dans les opérations critiques des entreprises. Ils constituent ce que le rapport nomme une “soft privileged infrastructure” : accès à des données sensibles, autorité déléguée, positionnement de confiance dans les workflows, sans les contrôles de sécurité équivalents à un opérateur humain privilégié. ...

🗓️ Contexte Article publié le 19 mai 2026 par Pieter Arntz sur le blog Malwarebytes. Il documente une campagne d’arnaque active sur Facebook ciblant des consommateurs en Australie, aux États-Unis et dans d’autres pays, en usurpant l’identité de la marque de supermarché Aldi. 🎣 Mécanisme de l’arnaque Des publications Facebook provenant de comptes compromis ou fictifs proposent des boîtes de viande Aldi à moins de 10 $, en utilisant une histoire personnelle fictive pour paraître crédibles. Le lien malveillant est posté en commentaire (et non dans le post principal) pour contourner la détection automatique de la plateforme, via le service de raccourcissement d’URL cutt[.]ly. ...

🎯 Contexte Article publié le 19 mai 2026 par Snyk (blog.snyk.io), rédigé par Liran Tal. Il documente une attaque de supply chain active sur le registre npm, ciblant l’écosystème de visualisation de données @antv (suite originaire d’Alibaba). 🔥 Incident Le 19 mai 2026 entre 01:39 et 02:06 UTC, le groupe TeamPCP (alias : DeadCatx3, PCPcat) a publié 637 versions malveillantes sur 323 packages npm en deux vagues automatisées de 22 minutes. Le vecteur initial est la compromission du compte npm atool, qui maintient 547 packages représentant environ 16 millions de téléchargements hebdomadaires. ...

🗓️ Contexte Article publié le 16 mai 2026 sur BleepingComputer. Il relate le cas du chercheur en sécurité Justin O’Leary, qui a découvert en mars 2026 une vulnérabilité critique dans Azure Backup for AKS (Azure Kubernetes Service) et dont le rapport a été rejeté par Microsoft, sans émission de CVE ni d’advisory public. 🔍 Détail de la vulnérabilité La faille, classifiée comme Confused Deputy (CWE-441), exploite l’interaction entre Azure RBAC et Kubernetes RBAC : ...

🌐 Contexte Darktrace a publié le 14 mai 2026 une analyse technique détaillée d’une campagne d’intrusion attribuée avec confiance modérée à Twill Typhoon, un acteur de menace à nexus chinois. La campagne cible principalement des environnements clients dans la région Asie-Pacifique & Japon (APJ), avec une activité observée depuis fin septembre 2025 jusqu’en avril 2026. 🎯 Vecteurs et méthodes d’attaque La chaîne d’infection repose sur plusieurs techniques combinées : Usurpation de CDN : les hôtes compromis émettent des requêtes HTTP GET vers des domaines imitant Yahoo et Apple (ex: yahoo-cdn.it.com) DLL sideloading : un binaire légitime (ex: biz_render.exe de Sogou Pinyin IME) charge une DLL malveillante (browser_host.dll) portant le même nom que la DLL légitime attendue AppDomain hijacking via ClickOnce : dfsvc.exe (moteur ClickOnce Windows) est utilisé avec un fichier .config malveillant pour forcer le chargement de dnscfg.dll Exécution en mémoire : le loader utilise le CLR Windows pour exécuter des assemblies .NET directement en mémoire 🔧 Payload principal : FDMTP v3.2.5 Le payload central est dnscfg.dll (alias Client.TcpDmtp.dll), identifié comme une version mise à jour (3.2.5) du backdoor FDMTP. Il s’agit d’un RAT .NET modulaire fortement obfusqué qui : ...