International

🗓️ Contexte Le 11 mai 2026, Wiz publie une analyse technique détaillant une attaque coordonnée de supply chain menée par le groupe TeamPCP contre les écosystèmes npm et PyPI. Cette campagne, désignée Mini Shai-Hulud, représente une évolution des opérations précédentes du même acteur (SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy). 🎯 Packages compromis Les namespaces et packages impactés incluent : @tanstack : dont @tanstack/react-router (~12 millions de téléchargements hebdomadaires) @uipath : outils d’automatisation enterprise (apollo-core, CLI, agent SDKs) @mistralai/mistralai : client TypeScript officiel de Mistral AI guardrails-ai (PyPI) : package Python de guardrails LLM mistralai (PyPI) Plusieurs dizaines d’autres packages npm (voir liste complète) 🔓 Vecteur d’infection TanStack (chaîne de 3 vulnérabilités GitHub Actions) L’attaquant crée un fork renommé du dépôt TanStack/router (zblgg/configuration) pour échapper aux recherches de forks Ouverture d’une pull request déclenchant un workflow pull_request_target qui exécute le code du fork et empoisonne le cache GitHub Actions (pnpm store) Lors de la fusion de PRs légitimes, le workflow de release restaure le cache empoisonné ; des binaires contrôlés par l’attaquant extraient des tokens OIDC directement depuis la mémoire du runner (/proc/<pid>/mem) Publication de versions malveillantes sans vol de credentials npm 🐛 Vecteurs d’infection dans les packages @tanstack : entrée optionalDependencies pointant vers un commit orphelin + fichier obfusqué router_init.js (~2,3 Mo) dans le tarball @uipath : script preinstall (node setup.mjs) téléchargeant le runtime Bun pour exécuter le payload — même mécanisme que le compromis SAP précédent PyPI : 13 lignes de code téléchargeant et exécutant git-tanstack[.]com/tmp/transformers.pyz 💀 Comportement du payload Le payload est un credential stealer auto-propagant (worm) ciblant : ...

🔍 Contexte Publié le 11 mai 2026 par TrendAI Research (Trend Micro), cet article présente deux campagnes de cyberattaques émergentes exploitant des agents IA agentiques pour automatiser des opérations d’intrusion de bout en bout contre des cibles gouvernementales et financières en Amérique latine. 🎯 Campagne SHADOW-AETHER-040 Active depuis fin 2025, cette campagne a ciblé principalement des entités gouvernementales mexicaines (6 compromises entre le 27 décembre 2025 et le 4 janvier 2026), ainsi que des organisations des secteurs financier, aérien et retail en Amérique latine. ...

🗓️ Contexte Source : BleepingComputer, publié le 10 mai 2026. L’article rapporte une opération de police internationale ayant conduit au démantèlement d’une version relancée du marché cybercriminel Crimenetwork, quelques mois après la fermeture de la plateforme originale. 🏪 Historique de Crimenetwork Crimenetwork était le plus grand marché cybercriminel en ligne d’Allemagne, actif depuis 2012 avec 100 000 utilisateurs enregistrés. La plateforme permettait la vente de services illégaux, de substances et de données volées. ...

🔍 Contexte Publié le 7 mai 2026 par le chercheur Lukas Stefanko d’ESET Research, ce rapport documente la découverte d’une campagne de fraude Android baptisée CallPhantom, identifiée initialement en novembre 2025 via un post Reddit signalant une application suspecte sur Google Play. 📱 Description de la menace 28 applications frauduleuses ont été identifiées sur le Google Play Store, cumulant plus de 7,3 millions de téléchargements avant leur suppression. Ces apps prétendent fournir l’accès aux historiques d’appels, SMS et appels WhatsApp pour n’importe quel numéro de téléphone, en échange d’un paiement. Les données présentées aux victimes sont entièrement fabriquées : numéros générés aléatoirement, noms prédéfinis et horodatages codés en dur dans le code source. ...

🔍 Contexte Le 5 mai 2026, Panther Threat Research publie une analyse détaillée d’une campagne de supply chain attack coordonnée, identifiée fin avril 2026 sur le registre NPM. La campagne a été attribuée avec haute confiance à un acteur indonésien opérant sous l’alias “frank”. 🎯 Campagne et ciblage La campagne comprend 38 paquets NPM malveillants publiés entre le 2026-04-24 et le 2026-04-30 via quatre comptes NPM rotatifs : frengki0707 (getkontakfrank@gmail.com) — 11 paquets raya4321 (npmtpoc@gmail.com) — 12 paquets cketol (ipelapple@gmail.com) — 10 paquets frengki4321 (newtontrid@gmail.com) — 5 paquets Les cibles principales sont les développeurs et infrastructures CI/CD de Apple, Google/GCP, Alibaba/Aliyun, et un groupe générique multi-cibles incluant des environnements Microsoft 365/Azure. ...

🔍 Contexte Le 11 mai 2026, la CNIL (Commission Nationale de l’Informatique et des Libertés) publie sur son site officiel une alerte et un plan d’action concernant les lunettes connectées, dans un contexte de multiplication de ces dispositifs sur le marché grand public. 📡 Description des dispositifs concernés Les lunettes connectées sont des lunettes classiques (de vue ou de soleil) intégrant des capteurs (microphone, caméra) dans leur monture, connectées au smartphone de l’utilisateur via une application mobile. Leurs fonctionnalités incluent : ...

🔍 Contexte Cet article est publié le 11 mai 2026 par CrowdSec sur sa plateforme VulnTracking. Il documente l’exploitation active et persistante de CVE-2025-20362, une vulnérabilité de contournement d’authentification affectant les équipements Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD). 🛠️ Description technique de la vulnérabilité CVE-2025-20362 résulte d’une validation incorrecte des entrées utilisateur dans les requêtes HTTP(S) traitées par le serveur web VPN. Elle permet à un attaquant distant non authentifié d’accéder à des endpoints VPN restreints sans credentials valides. ...

🌐 Contexte Publié le 11 mai 2026 par le Google Threat Intelligence Group (GTIG), ce rapport constitue une mise à jour du rapport de février 2026 sur l’activité liée à l’IA. Il s’appuie sur des engagements Mandiant, des données Gemini et des recherches proactives de GTIG. 🤖 IA comme outil offensif Découverte de vulnérabilités et exploitation Premier cas documenté d’un acteur cybercriminel ayant utilisé l’IA pour développer un exploit zero-day : un bypass de 2FA dans un outil d’administration web open-source, implémenté en Python. L’exploitation de masse a été évitée grâce à la divulgation responsable de GTIG. UNC2814 (nexus PRC) a utilisé des prompts de persona experte pour rechercher des vulnérabilités dans des firmwares TP-Link et des implémentations OFTP. APT45 (nexus DPRK) a envoyé des milliers de prompts répétitifs pour analyser des CVEs et valider des PoC exploits de manière automatisée. Des acteurs expérimentent avec le dépôt wooyun-legacy (plugin Claude intégrant +85 000 cas de vulnérabilités réelles) pour l’apprentissage en contexte. Utilisation d’outils agentiques OpenClaw et OneClaw dans des environnements de test vulnérables. Obfuscation et évasion (malwares AI-augmentés) Malware Type d’obfuscation PROMPTFLUX Modification dynamique du code HONESTCUE Génération de payload d’évasion (VBScript via Gemini API) CANFAIL Logique de leurre (decoy logic) LONGSTREAM Logique de leurre (decoy logic) APT27 (nexus PRC) a utilisé Gemini pour développer une application de gestion de flotte pour un réseau ORB (Operational Relay Box), avec paramètre maxHops=3 et support de dispositifs MOBILE_WIFI/ROUTER. CANFAIL et LONGSTREAM (nexus Russie) ciblent des organisations ukrainiennes et intègrent du code leurre généré par LLM pour masquer leur fonctionnalité malveillante. 🦠 PROMPTSPY : Orchestration autonome d’attaques PROMPTSPY est un backdoor Android qui intègre un module agent autonome nommé GeminiAutomationAgent : ...

🔍 Contexte Publié le 7 mai 2026 par la Push Security Research Team, cet article présente les résultats d’une infiltration directe de panels de phishing criminels actifs, liés aux groupes ShinyHunters (UNC6240) et BlackFile (UNC6671), dans le cadre de campagnes hybrides de vishing et phishing AiTM actives depuis août 2025. 🎯 Campagnes et victimes confirmées Les attaques ciblent des centaines d’organisations dans les secteurs financier, technologique, crypto, santé, hôtellerie et aviation privée. Des violations publiquement confirmées incluent : ...

📅 Contexte : Le 7 mai 2026, Sasha Levin (sashal@kernel.org) a soumis un patch sur la liste de diffusion linux-kernel proposant l’ajout d’un nouveau sous-système nommé killswitch au noyau Linux. 🔧 Mécanisme technique : Le killswitch permet à un opérateur disposant de CAP_SYS_ADMIN de faire retourner à une fonction noyau une valeur fixe sans exécuter son corps, via l’installation d’un kprobe à l’entrée de la fonction cible. La commande s’effectue via l’interface securityfs : ...