International

Source: Infoblox (blog Threat Intelligence). Contexte: publication détaillant des campagnes de phishing qui exploitent le TLD .arpa via IPv6 et d’autres tactiques pour contourner les défenses, avec IOCs et schémas techniques. — Les acteurs abusent du TLD .arpa (réservé aux usages d’infrastructure DNS, notamment les reverse DNS en ip6.arpa) en créant, chez certains fournisseurs DNS, des enregistrements A sur des noms de reverse IPv6, ce qui ne devrait pas être possible. En obtenant un espace d’adresses IPv6 (souvent via des tunnels IPv6 gratuits) et la délégation du sous-domaine ip6.arpa correspondant, ils évitent d’ajouter des PTR et créent des A records qui pointent vers du contenu hébergé (souvent derrière l’edge Cloudflare), tirant parti de la confiance implicite accordée au TLD .arpa. ...

Selon un avis de sécurité GitHub (dépôt QwikDev/qwik) publié le 2 mars 2026, le package npm @builder.io/qwik est affecté par une faille critique permettant une exécution de code à distance non authentifiée. • Nature de la vulnérabilité : désérialisation de données non fiables (CWE-502) au sein du mécanisme RPC server$, ouvrant la voie à l’exécution de code arbitraire sur le serveur via une seule requête HTTP. L’impact sur le système vulnérable est évalué élevé en confidentialité, intégrité et disponibilité. ...

Source : non précisée — Contexte : annonce d’un nouvel outil qui intègre CyberChef au sein d’IDA Pro pour accélérer les workflows d’analyse de malware et de rétro‑ingénierie. • Qu’est‑ce que c’est ? 🧩 Un plugin Qt (« IDA CyberChef ») qui embarque le moteur CyberChef dans l’interface d’IDA Pro afin d’éviter les allers‑retours avec l’UI web de CyberChef. Il s’intègre avec des fonctions d’IDA (lecture du curseur/sélection, ajout de commentaires, patching d’octets) et permet de composer/chaîner des opérations (ex. Base64, XOR) directement dans l’outil. ...

Source: GitHub (aquasecurity/trivy). Les mainteneurs annoncent qu’un workflow GitHub Actions vulnérable a été exploité (cf. billet StepSecurity), entraînant des actions malveillantes sur le dépôt Trivy et des artefacts associés; le workflow en cause a été corrigé et la restauration est en cours. Impact observé (confirmé par les mainteneurs): Le dépôt public a été rendu privé et renommé (aquasecurity/private-trivy), puis un dépôt vide a été poussé à la place. Suppression des Releases 0.27.0 à 0.69.1, ainsi que des Discussions et Assets liés à ces releases. Publication d’un artefact malveillant pour l’extension VSCode de Trivy sur l’Open VSIX Marketplace; l’artefact a été retiré et le jeton de publication révoqué. Les autres assets Trivy ont été examinés; pas d’autres impacts observés à ce stade. L’usage via images container ou gestionnaires de paquets ne devrait pas être affecté. Les téléchargements directs (binaire GitHub, get.trivy.dev, script d’installation, Action Trivy) sont dégradés. v0.69.2 a été republiée. Chronologie (UTC) fournie par les mainteneurs 🚨: ...

Source: Wiki du projet LineageOS for microG (GitHub), mise à jour par l’équipe de maintenance; annonce initiale autour du 8 décembre 2025, clôture indiquée le 15 février 2026. — L’incident porte sur une exposition de clés privées du projet dans un dépôt git public depuis janvier 2025. Deux types de clés ont été compromis: une clé rsync utilisée pour uploader les artefacts de build vers le serveur de téléchargement/OTA, et des clés de signature de builds (LineageOS for microG « L4M » et builds non officiels LOS; ainsi que des builds non officiels IodéOS pour Sony et autres appareils; les builds non officiels pour Google Pixel sur une autre machine n’étaient pas signés avec ces clés). ...

Security Blog publie un retour d’expérience détaillé sur l’usage d’LLMs (GPT‑5.1/mini, Claude Sonnet 4.6/Opus) dans un labo d’analyse de malwares, basé sur des tests concrets (dont CVE‑2017‑11882) et l’intégration d’outils via MCP. 🧪 Mise en place et premiers essais L’auteur déploie deux VMs (Remnux et Windows 10) et connecte des serveurs MCP (remnux, remnux-docs, x64dbg, virustotal, ssh-mcp, ghidra-mcp) pour piloter analyse statique/dynamique. Sur un document Office exploitant CVE‑2017‑11882 (Equation Editor), GPT‑5.1‑mini échoue (faux positifs, mauvaise lecture d’oletools “decalage.info”, échecs avec Unicorn/Speakeasy). GPT‑5.1 et Claude Sonnet 4.6 réussissent avec guidage : extraction du shellcode, émulation Speakeasy et récupération de l’URL du stage suivant. Sonnet 4.6 identifie seul l’exploit et la zone du shellcode, mais requiert l’émulation pour obtenir l’URL. 🚀 Efficacité vs fiabilité ...

Selon Help Net Security, la compétition NeuroGrid (72h sur la plateforme Hack The Box) a comparé des équipes IA-augmentées (via Model Context Protocol avec supervision humaine) à des équipes 100% humaines sur 36 défis couvrant 9 domaines et 4 niveaux de difficulté. L’analyse porte sur 958 équipes humaines et 120 équipes IA ayant tenté au moins un défi, sur un total de 1 337 équipes humaines et 156 équipes IA inscrites. 🤖🧑‍💻 ...

OpenAI annonce, dans une publication officielle, la mise à disposition en « research preview » de Codex Security, un agent de sécurité applicative conçu pour réduire le bruit, améliorer la précision des détections et proposer des correctifs alignés sur le contexte des projets. • Codex Security s’appuie sur les modèles de pointe et l’agent Codex pour bâtir un contexte profond du système, prioriser les vulnérabilités selon leur impact réel, et valider les trouvailles dans des environnements sandbox ou directement dans le système en cours d’exécution. L’objectif est de diminuer les faux positifs et d’accélérer la remédiation avec des correctifs plus sûrs et mieux intégrés. ...

Sur un billet de blog technique daté du 6 mars 2026, l’auteur décrit le processus ayant mené à l’obtention d’un shell sur la caméra TP-Link Tapo C260, en documentant trois vulnérabilités liées (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653). Un avis de TP-Link couvre les bases, tandis que l’article expose le cheminement de découverte et l’enchaînement d’exploits. Découverte LFD (CVE-2026-0651) 🔓 L’analyse statique de /bin/main (serveur HTTP intégré avec gestion SOAP/ONVIF) révèle un gestionnaire GET qui concatène le chemin demandé à « /www » après un simple décodage d’URL, sans aucune sanitisation. Le décodage de « ../ » permet une traversée de répertoires conduisant à une divulgation de fichiers locaux (LFD). L’accès nécessite une session authentifiée, mais un compte invité suffit. ...

Source: BleepingComputer (Lawrence Abrams, 5 mars 2026). La Wikimedia Foundation a fait face à un incident de sécurité impliquant un ver JavaScript auto‑propagatif qui a modifié des scripts utilisateurs et vandalisé des pages sur Meta‑Wiki, entraînant une restriction temporaire des éditions puis un retour à la normale une fois le code malicieux supprimé. 🐛 Le ver aurait été déclenché après l’exécution d’un script malveillant hébergé sur la Wikipédia en russe (User:Ololoshka562/test.js, mis en ligne en mars 2024). Selon l’historique, il a été exécuté pour la première fois par un compte employé Wikimedia lors de tests de fonctionnalités de scripts utilisateurs (intention inconnue). Le code injectait un « loader » dans les fichiers User:/common.js (persistance utilisateur) et, si les droits le permettaient, dans MediaWiki:Common.js (persistance globale), assurant une auto‑propagation à chaque chargement du script global. ⚙️ ...