Attaque supply chain npm : UNC1069 compromet Axios via ingénierie sociale et faux Teams

đŸ—“ïž Contexte Source : BleepingComputer, publiĂ© le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystĂšme JavaScript/npm, avec des milliards de tĂ©lĂ©chargements hebdomadaires. 🎯 DĂ©roulement de l’attaque L’attaque a dĂ©butĂ© par une campagne d’ingĂ©nierie sociale ciblĂ©e contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : UsurpĂ© l’identitĂ© d’une entreprise lĂ©gitime en clonant son branding et les profils de ses fondateurs InvitĂ© la victime dans un faux espace de travail Slack contenant des canaux rĂ©alistes, des profils fictifs d’employĂ©s et d’autres mainteneurs open-source PlanifiĂ© une rĂ©union sur Microsoft Teams avec de nombreux participants apparents AffichĂ© un faux message d’erreur technique pendant l’appel, incitant la victime Ă  installer une fausse mise Ă  jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, oĂč une fausse erreur pousse la victime Ă  exĂ©cuter un correctif malveillant. ...

7 avril 2026 Â· 3 min

Campagne malveillante via WhatsApp : scripts VBS et backdoors MSI en plusieurs étapes

🔍 Contexte Cette analyse technique a Ă©tĂ© publiĂ©e le 31 mars 2026 par la Microsoft Defender Security Research Team. Elle documente une campagne active observĂ©e depuis fin fĂ©vrier 2026, exploitant WhatsApp comme vecteur de distribution de fichiers VBScript (VBS) malveillants. 🎯 ChaĂźne d’infection La campagne se dĂ©roule en quatre Ă©tapes distinctes : Étape 1 – AccĂšs initial : Des fichiers VBS sont envoyĂ©s via WhatsApp. Une fois exĂ©cutĂ©s, ils crĂ©ent des dossiers cachĂ©s dans C:\ProgramData et y dĂ©posent des utilitaires Windows lĂ©gitimes renommĂ©s (curl.exe → netapi.dll, bitsadmin.exe → sc.exe) pour se fondre dans l’environnement systĂšme. Étape 2 – RĂ©cupĂ©ration de payloads : Les binaires renommĂ©s tĂ©lĂ©chargent des droppers secondaires (auxs.vbs, WinUpdate_KB5034231.vbs, 2009.vbs) depuis des services cloud lĂ©gitimes (AWS S3, Tencent Cloud, Backblaze B2), dans un dossier cachĂ© C:\ProgramData\EDS8738. Étape 3 – ÉlĂ©vation de privilĂšges et persistance : Le malware tente de contourner l’UAC en lançant cmd.exe avec des privilĂšges Ă©levĂ©s, modifie la valeur de registre ConsentPromptBehaviorAdmin sous HKLM\Software\Microsoft\Win, et installe des mĂ©canismes de persistance survivant aux redĂ©marrages. Étape 4 – Payload final : Des installeurs MSI non signĂ©s sont dĂ©ployĂ©s (Setup.msi, WinRAR.msi, LinkPoint.msi, AnyDesk.msi), permettant un accĂšs distant persistant aux systĂšmes compromis. đŸ› ïž Techniques notables Living-off-the-land (LOLBAS) : utilisation de curl.exe et bitsadmin.exe renommĂ©s HĂ©bergement cloud : payloads hĂ©bergĂ©s sur AWS S3, Tencent Cloud, Backblaze B2 Bypass UAC via modification du registre Discordance PE metadata : les binaires renommĂ©s conservent leur champ OriginalFileName d’origine, exploitable comme signal de dĂ©tection 📡 Infrastructure C2 Deux domaines de commande et contrĂŽle ont Ă©tĂ© identifiĂ©s : neescil.top et velthora.top. ...

7 avril 2026 Â· 4 min

Compromission AWS de la Commission européenne via la supply chain Trivy par TeamPCP

đŸ›ïž Contexte Le 2 avril 2026, CERT-EU publie un post-mortem dĂ©taillĂ© sur un incident de cybersĂ©curitĂ© majeur ayant affectĂ© la plateforme web publique de la Commission europĂ©enne (europa.eu), hĂ©bergĂ©e sur Amazon Web Services (AWS). L’incident a Ă©tĂ© notifiĂ© Ă  CERT-EU le 25 mars 2026, conformĂ©ment Ă  l’article 21 du RĂšglement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accĂšs initial L’accĂšs initial a Ă©tĂ© obtenu le 19 mars 2026 via la compromission de la chaĂźne d’approvisionnement de Trivy, un outil de scan de vulnĂ©rabilitĂ©s, attribuĂ©e avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission europĂ©enne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise Ă  jour logicielle. ...

7 avril 2026 Â· 3 min

CVE-2026-35616 : faille critique FortiClient EMS exploitée activement en zero-day

đŸ—“ïž Contexte Source : BleepingComputer — publiĂ© le 5 avril 2026. Fortinet a publiĂ© en urgence un correctif le week-end pour une nouvelle vulnĂ©rabilitĂ© critique affectant FortiClient Enterprise Management Server (EMS), confirmant son exploitation active dans la nature. 🔍 DĂ©tails de la vulnĂ©rabilitĂ© CVE : CVE-2026-35616 Type : ContrĂŽle d’accĂšs inappropriĂ© (improper access control) — contournement d’authentification et d’autorisation en prĂ©-authentification Impact : Permet Ă  des attaquants non authentifiĂ©s d’exĂ©cuter du code ou des commandes via des requĂȘtes spĂ©cialement forgĂ©es Versions affectĂ©es : FortiClient EMS 7.4.5 et 7.4.6 Versions non affectĂ©es : FortiClient EMS 7.2 Correctif disponible : Hotfix pour les versions 7.4.5 et 7.4.6 ; correction dĂ©finitive prĂ©vue dans FortiClientEMS 7.4.7 🚹 Exploitation La vulnĂ©rabilitĂ© a Ă©tĂ© exploitĂ©e en zero-day avant sa divulgation Ă  Fortinet. La sociĂ©tĂ© de cybersĂ©curitĂ© Defused a observĂ© l’exploitation active en dĂ©but de semaine avant de la signaler Ă  Fortinet via un processus de divulgation responsable. Fortinet crĂ©dite Ă©galement Nguyen Duc Anh pour la dĂ©couverte. ...

7 avril 2026 Â· 2 min

Cyberattaque contre le réseau C2K de l'Education Authority en Irlande du Nord

đŸ—“ïž Contexte Source : BBC News — Article publiĂ© le 3 avril 2026. L’Education Authority (EA) d’Irlande du Nord a annoncĂ© qu’une cyberattaque a ciblĂ© son systĂšme informatique centralisĂ©, le rĂ©seau C2K, qui fournit l’ensemble des services IT Ă  toutes les Ă©coles de la rĂ©gion. 🔍 DĂ©roulement de l’incident Les Ă©coles ont reçu un message de l’EA les informant d’un problĂšme de sĂ©curitĂ© IT en cours de gestion. En rĂ©ponse, l’EA a procĂ©dĂ© Ă  une rĂ©initialisation des mots de passe pour l’ensemble des utilisateurs du rĂ©seau. Des mesures immĂ©diates de confinement ont Ă©tĂ© prises dĂšs la dĂ©tection de l’incident. Une investigation complĂšte est en cours. đŸ’„ Impact Toutes les Ă©coles et tous les Ă©lĂšves d’Irlande du Nord ont Ă©tĂ© dĂ©connectĂ©s de leurs comptes. Les Ă©lĂšves ne peuvent plus accĂ©der aux ressources pĂ©dagogiques et travaux mis Ă  disposition par leurs enseignants. L’incident survient en pĂ©riode de prĂ©paration aux examens, aggravant les consĂ©quences opĂ©rationnelles. L’EA n’a pas confirmĂ© si des donnĂ©es personnelles ont Ă©tĂ© compromises. đŸ—ïž Infrastructure concernĂ©e L’ensemble des systĂšmes IT et en ligne des Ă©coles d’Irlande du Nord est fourni via le rĂ©seau C2K, gĂ©rĂ© par l’Education Authority. ...

7 avril 2026 Â· 2 min

Exploitation active de CVE-2026-3502 dans TrueConf par des acteurs chinois ciblant l'Asie du Sud-Est

đŸ—“ïž Contexte Source : The Record Media, publiĂ© le 3 avril 2026. La CISA (Cybersecurity and Infrastructure Security Agency) a ordonnĂ© aux agences fĂ©dĂ©rales amĂ©ricaines de corriger CVE-2026-3502 avant le 16 avril 2026, confirmant l’exploitation active de cette vulnĂ©rabilitĂ© dans le logiciel de visioconfĂ©rence TrueConf. 🎯 Campagne TrueChaos Les chercheurs de Check Point Research ont documentĂ© une campagne baptisĂ©e TrueChaos, attribuĂ©e Ă  des acteurs chinois, active depuis dĂ©but 2026 et ciblant des entitĂ©s gouvernementales en Asie du Sud-Est. L’objectif prĂ©sumĂ© est l’espionnage. ...

7 avril 2026 Â· 3 min

Fuite publique de l'exploit BlueHammer : zero-day LPE non patché sur Windows

📰 Contexte PubliĂ© le 6 avril 2026 par BleepingComputer, cet article rapporte la divulgation publique non coordonnĂ©e d’un exploit zero-day Windows par un chercheur en sĂ©curitĂ© opĂ©rant sous les alias Chaotic Eclipse et Nightmare-Eclipse, en rĂ©action Ă  la gestion jugĂ©e insatisfaisante de son signalement par le Microsoft Security Response Center (MSRC). 🔍 DĂ©tails de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ©, baptisĂ©e BlueHammer, est une Ă©lĂ©vation de privilĂšges locale (LPE) sur Windows. Elle combine deux techniques : ...

7 avril 2026 Â· 2 min

La Commission européenne ferme un groupe Signal de hauts fonctionnaires face aux cybermenaces

📰 Source : Politico.eu — Article de presse, publiĂ© le 1er avril 2026, par Zoya Sheftalovich, Sam Clark et Sebastian Starcevic. 🔍 Contexte gĂ©nĂ©ral La Commission europĂ©enne a demandĂ© Ă  certains de ses hauts fonctionnaires (chefs de dĂ©partement et leurs adjoints) de supprimer un groupe Signal qu’ils utilisaient pour Ă©changer des informations. Cette dĂ©cision intervient dans un contexte de sĂ©rie de cyberattaques visant les communications internes de l’institution. ⚠ Incidents identifiĂ©s ...

7 avril 2026 Â· 2 min

LinkedIn utilise un script JavaScript pour scanner plus de 6 000 extensions Chrome et collecter des données

🔍 Contexte PubliĂ© le 3 avril 2026 par BleepingComputer, cet article rapporte les conclusions d’un rapport baptisĂ© “BrowserGate” (https://browsergate.eu/), produit par l’association Fairlinked e.V., affirmant que LinkedIn (Microsoft) injecte des scripts JavaScript cachĂ©s dans les sessions utilisateurs pour scanner les extensions de navigateur installĂ©es et collecter des donnĂ©es systĂšme. đŸ› ïž MĂ©canisme technique observĂ© BleepingComputer a confirmĂ© indĂ©pendamment la prĂ©sence d’un fichier JavaScript au nom de fichier alĂ©atoire chargĂ© par le site LinkedIn. Ce script : ...

7 avril 2026 Â· 3 min

Storm : un nouvel infostealer avec déchiffrement serveur et restauration de sessions

đŸ•”ïž Contexte PubliĂ© le 1er avril 2026 par Daniel Kelley (Varonis Threat Labs), cet article prĂ©sente une analyse technique d’un nouvel infostealer nommĂ© Storm, apparu sur des forums cybercriminels clandestins en dĂ©but d’annĂ©e 2026. 🩠 Description du malware Storm est un infostealer vendu sous forme d’abonnement, dĂ©veloppĂ© en C++ (MSVC/msbuild), pesant environ 460 Ko, fonctionnant uniquement sous Windows. Sa version actuelle est v0.0.2.0 (Gunnar). Il se distingue par une approche de dĂ©chiffrement cĂŽtĂ© serveur des credentials navigateur, contournant ainsi les outils de sĂ©curitĂ© endpoint qui surveillent les accĂšs locaux aux bases de donnĂ©es de credentials. ...

7 avril 2026 Â· 3 min
Derniùre mise à jour le: 2 juillet 2026 📝