36 packages npm malveillants ciblant Strapi CMS déploient RCE Redis, vol de BDD et C2 persistant

🎯 Contexte PubliĂ© le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spĂ©cifiquement les dĂ©ploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiĂ©e comme Guardarian. La campagne s’est dĂ©roulĂ©e sur une fenĂȘtre de 13 heures le 3 avril 2026. 📩 Vecteur d’attaque Trente-six packages npm malveillants ont Ă©tĂ© publiĂ©s via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraĂźtre lĂ©gitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exĂ©cutant automatiquement via le hook postinstall sans interaction utilisateur. ...

4 avril 2026 Â· 4 min

Cifrat : analyse d'un RAT Android multi-stages distribué via phishing Booking.com

🔍 Contexte PubliĂ© le 4 avril 2026 par CERT Polska, cet article prĂ©sente une analyse technique approfondie d’un malware Android inĂ©dit baptisĂ© cifrat (dĂ©rivĂ© du nom de package io.cifnzm.utility67pu), distribuĂ© via une infrastructure d’hameçonnage imitant Booking.com. 🎣 Vecteur d’infection initial La chaĂźne d’infection dĂ©bute par un email de phishing incitant la victime Ă  cliquer sur un lien qui redirige successivement via : share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page prĂ©sente une fausse invite de mise Ă  jour de sĂ©curitĂ© Booking.com et dĂ©clenche le tĂ©lĂ©chargement d’un APK malveillant : com.pulsebookmanager.helper.apk. ...

4 avril 2026 Â· 4 min

DémantÚlement du botnet Kimwolf : 26 000 attaques DDoS via des proxies résidentiels compromis

đŸ—žïž Contexte Article publiĂ© le 2 avril 2026 par le Wall Street Journal, relatant l’investigation ayant conduit au dĂ©mantĂšlement du botnet Kimwolf, l’un des plus puissants jamais observĂ©s sur internet. L’opĂ©ration de police fĂ©dĂ©rale amĂ©ricaine a Ă©tĂ© annoncĂ©e le 19 mars 2026. 🎯 Le botnet Kimwolf Kimwolf est un botnet de type DDoS-as-a-service ayant lancĂ© plus de 26 000 attaques DDoS ciblant plus de 8 000 victimes. À son apogĂ©e, il comptait environ 2 millions d’appareils compromis, avec des dizaines de milliers de nouveaux appareils ajoutĂ©s quotidiennement. Les opĂ©rateurs dĂ©pensaient environ 30 000 dollars par mois pour les serveurs de commande et contrĂŽle. ...

4 avril 2026 Â· 3 min

Montée en puissance du device code phishing en 2026 : analyse des kits et campagnes

đŸ—“ïž Contexte Article publiĂ© le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montĂ©e en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observĂ©e Push Security a observĂ© une augmentation de 37,5x des pages de device code phishing dĂ©tectĂ©es en 2026 par rapport Ă  l’annĂ©e prĂ©cĂ©dente. Dix kits distincts ont Ă©tĂ© identifiĂ©s en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dĂ©diĂ© au device code phishing, lancĂ© en fĂ©vrier 2026. ...

4 avril 2026 Â· 4 min

Pentagram : outil automatisé d'acquisition de comptes VPN ciblant Fortinet, Cisco et autres

🔍 Contexte Article publiĂ© le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article prĂ©sente une analyse technique d’un outil offensif commercial nommĂ© Pentagram, commercialisĂ© comme solution automatisĂ©e d’acquisition de comptes VPN d’entreprise. đŸ› ïž Description de l’outil Pentagram est une plateforme modulaire composĂ©e d’un panel web centralisĂ© et de workers distribuĂ©s. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opĂ©rateur. Les binaires distribuĂ©s incluent pentagram.exe et i2pd.exe. ...

4 avril 2026 Â· 2 min

Analyse technique : fonctionnement des exit nodes Tailscale et modÚle de confiance réseau

📅 Source : tech.stonecharioteer.com, publiĂ© le 31 mars 2026. Article technique personnel dĂ©crivant une expĂ©rimentation approfondie des exit nodes Tailscale sur une infrastructure domestique (Proxmox LXC). 🔧 Architecture technique Tailscale repose sur WireGuard comme plan de donnĂ©es, auquel il ajoute un plan de contrĂŽle gĂ©rant : l’identitĂ©/SSO, la dĂ©couverte de pairs, la traversĂ©e NAT, la distribution des ACL et routes, MagicDNS, et la rĂ©vocation rapide de dispositifs. Le flux de connexion entre pairs : ...

3 avril 2026 Â· 2 min

BadAML : exécution de code arbitraire dans des VMs confidentielles via les tables ACPI

🔍 Contexte Article technique publiĂ© le 26 mars 2026 par Paul Meyer (Edgeless Systems) sur le blog katexochen.aro.bz. L’auteur dĂ©crit la reproduction complĂšte de l’attaque BadAML contre la plateforme Contrast (runtime Kubernetes basĂ© sur des CVMs) et la mise en place d’une mitigation. 🎯 Description de l’attaque BadAML BadAML est une attaque exploitant les tables ACPI fournies par l’hĂŽte pour obtenir une exĂ©cution de code arbitraire Ă  l’intĂ©rieur de VMs confidentielles (CVMs), contournant leurs garanties d’isolation mĂ©moire. ...

3 avril 2026 Â· 2 min

BPFDoor : Rapid7 identifie 7 nouveaux variants furtifs avec balises actives et ciblage HPE ProLiant

🔍 Contexte PubliĂ© le 2 avril 2026 par Rapid7, cet article accompagne la sortie d’un whitepaper technique dĂ©diĂ© Ă  de nouveaux variants du backdoor BPFDoor, un implant Linux furtif utilisĂ© dans des campagnes d’espionnage attribuĂ©es Ă  des acteurs chinois. L’analyse couvre sept variants inĂ©dits (dĂ©signĂ©s F Ă  L) identifiĂ©s lors de recherches en cours. 🧬 Variants identifiĂ©s Variant F : Se dissimule sous /var/run/user/0 pour Ă©viter les logs auditd liĂ©s Ă  chmod Effectue un wipe complet des file descriptors et du timestomping Utilise un filtre BPF de 26 instructions avec de nouveaux magic bytes Deux ensembles de magic bytes distincts selon les samples Variant G : ...

3 avril 2026 Â· 4 min

ChatGPT : exfiltration silencieuse de données via un canal DNS caché dans le runtime d'exécution

🔍 Contexte PubliĂ© le 30 mars 2026 par Check Point Research, cet article dĂ©taille la dĂ©couverte d’une vulnĂ©rabilitĂ© d’exfiltration de donnĂ©es dans l’environnement d’exĂ©cution de code de ChatGPT (OpenAI). La faille a Ă©tĂ© corrigĂ©e par OpenAI le 20 fĂ©vrier 2026 aprĂšs signalement par CPR. đŸ§© MĂ©canisme de la vulnĂ©rabilitĂ© L’environnement d’exĂ©cution Python de ChatGPT (Data Analysis / Code Execution) est censĂ© ĂȘtre isolĂ© d’internet. Cependant, CPR a dĂ©couvert que la rĂ©solution DNS restait disponible malgrĂ© le blocage des connexions sortantes directes. Cette caractĂ©ristique a permis de construire un tunnel DNS entre le runtime isolĂ© et un serveur contrĂŽlĂ© par l’attaquant : ...

3 avril 2026 Â· 3 min

Hack de Drift Protocol : 285 M$ volés par des hackers nord-coréens via manipulation d'oracle et ingénierie sociale

đŸ—“ïž Contexte Source : TRM Labs, publiĂ©e le 3 avril 2026. Cet article couvre l’attaque survenue le 1er avril 2026 contre Drift Protocol, le plus grand exchange dĂ©centralisĂ© de contrats perpĂ©tuels sur la blockchain Solana. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l’attaque Ă  des hackers nord-corĂ©ens. 🎯 Nature de l’attaque L’attaque repose sur une combinaison de trois vecteurs : IngĂ©nierie sociale : manipulation des signataires du multisig du Security Council de Drift pour leur faire prĂ©-signer des transactions apparemment routiniĂšres mais contenant des autorisations administratives cachĂ©es Manipulation d’oracle : crĂ©ation d’un token fictif — CarbonVote Token (CVT) — avec 750 millions d’unitĂ©s mintĂ©es, quelques milliers de dollars de liquiditĂ© sur Raydium, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift Exploit de gouvernance : exploitation d’une migration du Security Council vers une configuration 2/5 sans timelock, rĂ©alisĂ©e le 27 mars 2026, supprimant la derniĂšre ligne de dĂ©fense du protocole 📅 Chronologie 11 mars 2026 : dĂ©but du staging on-chain ; retrait de 10 ETH depuis Tornado Cash 12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang) : dĂ©placement des ETH et dĂ©ploiement du token CVT 23-30 mars 2026 : crĂ©ation de comptes « durable nonce » sur Solana pour prĂ©-signer des transactions 27 mars 2026 : migration du Security Council vers une configuration zero-timelock 1er avril 2026 : exĂ©cution de l’exploit en 12 minutes via 31 transactions de retrait drainant USDC et JLP 2 avril 2026 : confirmation officielle par Drift Protocol ; la majoritĂ© des fonds bridgĂ©s vers Ethereum en quelques heures 💰 Impact 285 millions USD de fonds utilisateurs dĂ©robĂ©s Plus grand hack DeFi de 2026 DeuxiĂšme plus grand exploit de l’histoire de Solana (derriĂšre le hack Wormhole de 2022 : 326 M$) Le token DRIFT a chutĂ© de plus de 40% DĂ©pĂŽts et retraits suspendus par le protocole Vitesse et volume de blanchiment supĂ©rieurs Ă  ceux de l’exploit Bybit de 2025 🔍 Attribution TRM Labs attribue l’attaque Ă  des hackers nord-corĂ©ens sur la base d’indicateurs on-chain, notamment l’heure d’activitĂ© initiale (09h00 heure de Pyongyang) et les mĂ©thodes employĂ©es. L’enquĂȘte est en cours. ...

3 avril 2026 Â· 3 min
Derniùre mise à jour le: 2 juillet 2026 📝