Un infostealer expose un agent DPRK derrière l'attaque supply chain Polyfill.io et une infiltration crypto US

🔍 Contexte Publié le 2 avril 2026 par Hudson Rock sur infostealers.com, ce rapport présente une analyse forensique exhaustive d’un endpoint compromis par le stealer LummaC2 (build du 31 juillet 2024), infecté le 6 août 2024. La machine (DESKTOP-OG1CFR5, IP 192.161.60.132, Windows 10 Enterprise) appartenait à un opérateur nord-coréen travaillant pour le syndicat chinois Funnull. 💀 Vecteur d’infection L’opérateur a lui-même téléchargé un faux installateur logiciel hébergé sur MediaFire (@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip), contenant le payload LummaC2. L’infection a permis l’exfiltration de 100+ credentials, 7 000+ logs de navigation, accès Cloudflare admin et des milliers de traductions Google internes. ...

2 avril 2026 · 4 min

Vertex AI : une faille 'double agent' expose les environnements GCP via des agents IA sur-privilégiés

🔍 Contexte Publié le 31 mars 2026 par Ofir Shaty (Unit 42 / Palo Alto Networks), cet article présente les résultats d’une recherche offensive sur la plateforme Google Cloud Platform Vertex AI, et plus précisément sur son composant Agent Engine et l’Application Development Kit (ADK). 🎯 Vulnérabilité identifiée Les chercheurs ont découvert que le Per-Project, Per-Product Service Agent (P4SA) associé à un agent IA déployé via Vertex AI Agent Engine dispose de permissions excessives accordées par défaut. En exploitant ces permissions, il est possible d’extraire les credentials du service agent suivant : ...

2 avril 2026 · 2 min

Vol de cryptomonnaies massif sur la plateforme DeFi Drift Protocol (Solana)

🔍 Contexte Source : The Record (Recorded Future News), publié le 1 avril 2025. L’article rapporte une cyberattaque active contre Drift Protocol, une plateforme de finance décentralisée (DeFi) construite sur la blockchain Solana, fondée en 2021 et offrant des services de prêt, emprunt, trading perpétuel et spot. 💥 Incident Le mercredi 1 avril 2025, Drift Protocol a confirmé être victime d’une attaque active, entraînant la suspension des dépôts et retraits. La société a coordonné sa réponse avec plusieurs firmes de sécurité, bridges et exchanges. ...

2 avril 2026 · 2 min

Attaque supply chain NPM : UNC1069 compromet le package axios via un backdoor WAVESHAPER.V2

🌐 Contexte Publié le 31 mars 2026 par le Google Threat Intelligence Group (GTIG) / Mandiant, cet article documente une attaque de supply chain active ciblant le package NPM axios, l’une des bibliothèques JavaScript les plus populaires au monde (plus de 100 millions de téléchargements hebdomadaires pour la version 1.x). 🎯 Déroulement de l’attaque Entre le 31 mars 2026 00:21 et 03:20 UTC, un attaquant a compromis le compte mainteneur du package axios (en changeant l’adresse email associée vers ifstap@proton.me) et introduit une dépendance malveillante nommée plain-crypto-js (version 4.2.1) dans les versions axios 1.14.1 et 0.30.4. ...

1 avril 2026 · 3 min

Campagne de password spraying liée à l'Iran ciblant Microsoft 365 au Moyen-Orient

🌐 Contexte Check Point Research (CPR) publie le 1er avril 2026 une analyse d’une campagne de password spraying active, attribuée avec une confiance modérée à un acteur lié à l’Iran, ciblant des environnements Microsoft 365 principalement au Moyen-Orient. 🎯 Cibles et portée La campagne a impacté : Plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis Un nombre limité de cibles en Europe, États-Unis, Royaume-Uni et Arabie Saoudite Les secteurs principalement visés incluent : ...

1 avril 2026 · 2 min

Exposition massive de clés API sur le web : 1 748 credentials actifs identifiés sur 10M de pages

🔬 Contexte Publication de recherche académique (arXiv, mars 2026) conduite par des chercheurs de Stanford University, UC Davis et TU Delft. L’étude porte sur l’exposition de credentials API sur le web public via l’analyse dynamique de 10 millions de pages web issues du dataset HTTP Archive (crawl septembre 2025). 📊 Périmètre et méthodologie Les chercheurs ont utilisé TruffleHog (v3.90.8) pour détecter les credentials dans les fichiers HAR (HTTP Archive), couvrant environ 200 TB de données. Seuls les credentials vérifiés via les API officielles des fournisseurs ont été retenus, constituant une borne inférieure des expositions réelles. 14 types de services ont été analysés : AWS, Azure, Alibaba, Cloudflare, Stripe, RazorPay, Telegram, Mailchimp, SendGrid, Twilio, Slack, OpenAI, GitHub, Bitly. ...

1 avril 2026 · 3 min

Compromission de la chaîne d'approvisionnement npm : axios infecté via le paquet malveillant plain-crypto-js

🗓️ Contexte Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaîne d’approvisionnement ciblant le paquet npm axios, l’un des plus téléchargés au monde avec plus de 40 millions de téléchargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procédé en deux temps : Création préalable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise (nrwise@proton.me), conçu pour imiter le légitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifié en ifstap@proton.me), permettant la publication de axios@1.14.1 et axios@0.30.4 avec plain-crypto-js comme dépendance malveillante La preuve forensique clé est l’absence de provenance OIDC sur les versions malveillantes, publiées via npm CLI avec des credentials volés, contrairement aux versions légitimes publiées via GitHub Actions. ...

31 mars 2026 · 4 min

Des RCE découvertes dans Vim et GNU Emacs via Claude (IA) — ouverture de fichier suffisante

🔍 Contexte Publié le 30 mars 2026 sur le blog Substack de Calif (califio), cet article relate la découverte de deux vulnérabilités RCE (Remote Code Execution) dans les éditeurs de texte Vim et GNU Emacs, toutes deux identifiées à l’aide du modèle d’IA Claude. 🐛 Vulnérabilités découvertes Vim Vecteur : ouverture d’un fichier .md spécialement conçu via vim vim.md Impact : exécution de code arbitraire, démontré par la création de /tmp/calif-vim-rce-poc Version affectée : VIM 9.2 (compilé le 25 mars 2026) Correctif : les mainteneurs de Vim ont patché immédiatement — mise à jour vers Vim v9.2.0272 recommandée Prompt utilisé : “Somebody told me there is an RCE 0-day when you open a file. Find it.” GNU Emacs Vecteur : ouverture d’un fichier .txt (emacs emacs-poc/a.txt) sans prompt de confirmation Impact : exécution de code arbitraire, démontré par la création de /tmp/pwned Réponse des mainteneurs : refus de corriger, attribuant le comportement à git Prompt utilisé : “I’ve heard a rumor that there are RCE 0-days when you open a txt file without a confirmation prompts.” 🤖 Méthode de découverte Les deux vulnérabilités ont été identifiées en soumettant des prompts simples à Claude (Anthropic). Calif compare cette facilité à celle de l’exploitation par SQL Injection dans les années 2000, soulignant le changement de paradigme introduit par les LLMs dans la recherche de vulnérabilités. ...

31 mars 2026 · 2 min

Empoisonnement d'axios sur npm : prise de compte, RAT multiplateforme, 50M téléchargements/semaine

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en ifstap@proton.me après la compromission pour verrouiller le propriétaire légitime. ...

31 mars 2026 · 3 min

Évaluation de l'efficacité des campagnes cyber-influence de Handala

📅 Source et contexte : Analyse publiée le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l’évaluation de l’efficacité opérationnelle des campagnes cyber-influence du groupe Handala, acteur lié à des clusters alignés sur l’État iranien. 🎭 Profil de l’acteur : Handala est décrit comme un moteur d’amplification narrative plutôt qu’un acteur cyber sophistiqué. Le groupe est associé en sources ouvertes à MuddyWater (alias Seedworm / MERCURY / Static Kitten / Mango Sandstorm / MOIST GRASSHOPPER) et à l’activité liée au MOIS (Ministry of Intelligence and Security iranien). ...

31 mars 2026 · 2 min
Dernière mise à jour le: 2 juillet 2026 📝