Analyse technique d'un stealer macOS lié à la campagne AMOS : vecteur ClickFix et exfiltration complÚte

🔍 Contexte Article publiĂ© le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, Ă©tudiant chercheur en sĂ©curitĂ© macOS. L’analyse porte sur un Ă©chantillon de stealer macOS dĂ©couvert sur une machine physique remise Ă  l’analyste, probablement liĂ© Ă  la campagne AMOS Stealer. 🎯 Vecteur d’infection initial La compromission repose sur un vecteur ClickFix : une commande curl combinĂ©e Ă  un dĂ©codage base64 et une exĂ©cution zsh est copiĂ©e-collĂ©e par la victime. Le domaine initial est Mac-force.squarespace.com, dĂ©jĂ  observĂ© dans des campagnes AMOS antĂ©rieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisĂ© pour tĂ©lĂ©charger un fichier binaire /tmp/helper. ...

23 avril 2026 Â· 4 min

ConsentFix v3 : un nouveau toolkit criminel OAuth diffusé sur le forum XSS

🔍 Contexte PubliĂ© le 23 avril 2026 par Push Security, cet article analyse ConsentFix v3, un nouveau toolkit criminel diffusĂ© sur le forum XSS (suspectĂ© d’avoir des liens avec des acteurs Ă©tatiques russes). Il s’appuie sur une technique initialement attribuĂ©e Ă  APT29 en dĂ©cembre 2025, puis amĂ©liorĂ©e par le chercheur John Hammond (v2), et dĂ©sormais reprise par des cybercriminels. ⚙ Technique ConsentFix ConsentFix fusionne l’ingĂ©nierie sociale de type ClickFix avec le phishing de consentement OAuth. La victime est manipulĂ©e pour copier-coller (ou glisser-dĂ©poser) une URL Microsoft lĂ©gitime contenant un code d’autorisation OAuth dans une page de phishing. Ce code est ensuite utilisĂ© par l’attaquant pour s’authentifier sur une application Microsoft first-party (ex: Azure CLI) ciblant des apps avec des exclusions de Conditional Access connues. ...

23 avril 2026 Â· 3 min

CVE-2026-21445 : Exploitation active d'un bypass d'authentification critique dans Langflow

🔍 Contexte Source : CrowdSec VulnTracking Report, publiĂ© le 20 avril 2026. Le rĂ©seau CrowdSec suit l’exploitation active de CVE-2026-21445, une vulnĂ©rabilitĂ© critique affectant Langflow, un outil open-source populaire (147 000 Ă©toiles GitHub) pour la crĂ©ation et le dĂ©ploiement d’agents IA et d’automatisation de workflows. 🐛 VulnĂ©rabilitĂ© CVE-2026-21445 est un bypass d’authentification affectant plusieurs endpoints critiques de l’API Langflow. Des endpoints de monitoring Ă©taient accessibles sans authentification, exposant : L’historique des conversations utilisateurs L’historique des transactions Les donnĂ©es de sessions de messages (supprimables sans autorisation) Les versions antĂ©rieures Ă  1.7.0.dev45 sont affectĂ©es. La version corrigĂ©e est 1.7.1. ...

23 avril 2026 Â· 2 min

CVE-2026-41651 : ÉlĂ©vation de privilĂšges locale cross-distro via PackageKit (Pack2TheRoot)

🔍 Contexte PubliĂ© le 22 avril 2026 par l’équipe Red Team de Deutsche Telekom sur leur blog sĂ©curitĂ© GitHub, cet article divulgue de maniĂšre coordonnĂ©e une vulnĂ©rabilitĂ© haute sĂ©vĂ©ritĂ© baptisĂ©e Pack2TheRoot, rĂ©fĂ©rencĂ©e CVE-2026-41651 (CVSS 3.1 : 8.8). 🎯 Nature de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© rĂ©side dans le dĂ©mon PackageKit, une couche d’abstraction de gestion de paquets multi-distributions. Elle permet Ă  un attaquant local non privilĂ©giĂ© d’installer ou supprimer des paquets systĂšme sans autorisation, conduisant Ă  une Ă©lĂ©vation de privilĂšges complĂšte (root). ...

23 avril 2026 Â· 3 min

EnquĂȘte française sur X : Musk absent Ă  sa convocation, CSAM et outil IA Grok en cause

đŸ—“ïž Contexte Source : The Record Media, publiĂ© le 20 avril 2026. L’article rapporte le dĂ©roulement d’une enquĂȘte pĂ©nale française visant la plateforme X (anciennement Twitter) et ses dirigeants, dans le cadre d’allĂ©gations de production et distribution de contenus pĂ©dopornographiques (CSAM). 🔍 Faits principaux Elon Musk, propriĂ©taire de X, et Linda Yaccarino, PDG de X, avaient Ă©tĂ© convoquĂ©s pour des auditions volontaires le 20 avril 2026 Ă  Paris. Musk ne s’est pas prĂ©sentĂ© ; le parquet de Paris a confirmĂ© que son absence ne bloquait pas la procĂ©dure. Les convocations font suite Ă  une perquisition des bureaux parisiens de X en fĂ©vrier, menĂ©e par des gendarmes français et Europol, sur des allĂ©gations de production et distribution de CSAM sur la plateforme. D’autres employĂ©s de X ont Ă©galement Ă©tĂ© convoquĂ©s comme tĂ©moins cette semaine. đŸ€– RĂŽle de l’IA Grok Les autoritĂ©s des États-Unis, du Royaume-Uni et de l’Union europĂ©enne ont critiquĂ© X aprĂšs que l’outil d’intelligence artificielle Grok a Ă©tĂ© utilisĂ© pour gĂ©nĂ©rer des images sexuelles de personnes non consentantes, y compris des enfants, en rĂ©ponse Ă  des requĂȘtes d’utilisateurs. ⚖ Dimension judiciaire et internationale Le parquet prĂ©cise que l’enquĂȘte vise Ă  mettre X en conformitĂ© avec le droit français, plutĂŽt qu’à sanctionner. Les Ă©lĂ©ments du dossier français ont Ă©tĂ© partagĂ©s avec le DOJ amĂ©ricain, ainsi qu’avec des procureurs des États de Californie et New York, et des parquets europĂ©ens. Le Wall Street Journal avait rapportĂ© que le DOJ amĂ©ricain avait refusĂ© d’assister l’enquĂȘte française, estimant qu’elle visait Ă  punir politiquement une entreprise amĂ©ricaine — ce que le parquet français a dĂ©menti, invoquant l’indĂ©pendance de la justice. 📌 Nature de l’article Article de presse spĂ©cialisĂ©e relatant une opĂ©ration judiciaire en cours impliquant une grande plateforme technologique, avec des dimensions de conformitĂ© lĂ©gale, de coopĂ©ration judiciaire internationale et d’abus d’outils IA pour la gĂ©nĂ©ration de CSAM. ...

23 avril 2026 Â· 2 min

Vol de 290 M$ sur Kelp : TraderTraitor (Lazarus) exploite une faille de configuration LayerZero

đŸ—“ïž Contexte Source : The Record Media, publiĂ© le 20 avril 2026. L’article couvre un incident majeur survenu le week-end prĂ©cĂ©dent, impliquant le vol de prĂšs de 290 millions de dollars en cryptomonnaies sur la plateforme Kelp, attribuĂ© au groupe nord-corĂ©en TraderTraitor, une composante de l’opĂ©ration Lazarus. 🎯 DĂ©roulement de l’attaque L’attaque a dĂ©butĂ© un samedi aprĂšs-midi, dĂ©tectĂ©e par des sociĂ©tĂ©s de sĂ©curitĂ© blockchain. La chaĂźne d’attaque est la suivante : ...

23 avril 2026 Â· 3 min

Bissa Scanner : exploitation de masse assistée par IA et collecte de credentials à grande échelle

🔍 Contexte Rapport publiĂ© le 22 avril 2026 par The DFIR Report, basĂ© sur l’analyse d’un serveur exposĂ© appartenant Ă  un opĂ©rateur malveillant. Le serveur contenait plus de 13 000 fichiers rĂ©partis dans 150+ rĂ©pertoires liĂ©s Ă  l’exploitation, la collecte de credentials et la gestion de workflow. 🎯 Nature de l’opĂ©ration L’opĂ©ration repose sur la plateforme modulaire Bissa Scanner, un outil d’exploitation Ă  grande Ă©chelle intĂ©grant des capacitĂ©s d’IA (Claude Code et OpenClaw) pour l’orchestration, le dĂ©pannage et le raffinement du pipeline de collecte. L’opĂ©rateur est identifiĂ© via Telegram sous le pseudonyme @BonJoviGoesHard (display name “Dr. Tube”, user ID 1609309278). ...

22 avril 2026 Â· 3 min

Claude Desktop installe silencieusement un pont Native Messaging dans tous les navigateurs Chromium

🔍 Contexte Article publiĂ© le 18 avril 2026 par Alexander Hanff sur thatprivacyguy.com. L’auteur, analyste en vie privĂ©e et sĂ©curitĂ©, documente une dĂ©couverte forensique rĂ©alisĂ©e sur son MacBook lors d’un audit de son environnement navigateur. đŸ› ïž Comportement technique documentĂ© L’installation de Claude Desktop (application Electron macOS, bundle ID com.anthropic.claudefordesktop) dĂ©pose automatiquement et silencieusement un manifeste Native Messaging (com.anthropic.claude_browser_extension.json) dans les rĂ©pertoires de configuration de sept navigateurs Chromium : Arc, Brave, Chromium, Google Chrome, Microsoft Edge, Vivaldi et Opera. ...

22 avril 2026 Â· 3 min

CVE-2026-33626 : exploitation de LMDeploy en 12h via SSRF sur endpoint vision-LLM

đŸ—“ïž Contexte Le 22 avril 2026, la Sysdig Threat Research Team (TRT) publie une analyse d’incident documentant l’exploitation de CVE-2026-33626, une vulnĂ©rabilitĂ© Server-Side Request Forgery (SSRF) affectant LMDeploy, un toolkit d’infĂ©rence pour modĂšles de langage vision-language (VLM) dĂ©veloppĂ© par Shanghai AI Laboratory / InternLM. 🔍 VulnĂ©rabilitĂ© La faille rĂ©side dans le traitement du champ image_url lors des requĂȘtes de complĂ©tion de chat. Le serveur dĂ©rĂ©fĂ©rence l’URL fournie sans vĂ©rification de rĂ©solution de nom d’hĂŽte, sans liste de blocage des adresses privĂ©es, ni protection des adresses link-local. Tout schĂ©ma http:// ou https:// est acceptĂ©, y compris http://169.254.169.254/, http://127.0.0.1:3306 ou toute adresse RFC 1918. ...

22 avril 2026 Â· 3 min

Des surges d'activité réseau précÚdent les divulgations CVE jusqu'à 39 jours à l'avance

🔍 Contexte PubliĂ© le 20 avril 2026 par GreyNoise Intelligence, cet article prĂ©sente les rĂ©sultats d’une Ă©tude empirique sur la corrĂ©lation entre les surges d’activitĂ© rĂ©seau observĂ©es par leurs capteurs et les divulgations ultĂ©rieures de vulnĂ©rabilitĂ©s CVE. 📊 MĂ©thodologie et donnĂ©es Sur une pĂ©riode de 103 jours, GreyNoise a analysĂ© 147,8 millions de sessions rĂ©parties sur 276 tags spĂ©cifiques Ă  des vendeurs, couvrant 18 fabricants d’équipements rĂ©seau. Parmi 104 Ă©vĂ©nements de surge dĂ©tectĂ©s, 68 ont prĂ©cĂ©dĂ© une CVE correspondant au vendeur ciblĂ©, couvrant 33 vulnĂ©rabilitĂ©s sur 16 familles de vendeurs. La validation statistique confirme que ce pattern n’est pas le fruit du hasard. ...

22 avril 2026 Â· 3 min
Derniùre mise à jour le: 1 juillet 2026 📝