Code JavaScript malveillant dans le SDK Web d’AppsFlyer dĂ©tourne des cryptomonnaies

Selon BleepingComputer, un code JavaScript malveillant distribuĂ© par le SDK Web d’AppsFlyer a servi Ă  dĂ©tourner des cryptomonnaies, dans ce qui pourrait ĂȘtre une attaque de chaĂźne d’approvisionnement. Nature de l’incident : injection et livraison de JavaScript malveillant via un SDK tiers. Impact : dĂ©tournement de cryptomonnaies (hijacking) depuis des utilisateurs exposĂ©s. HypothĂšse d’origine : attaque de supply chain impliquant la chaĂźne de distribution du SDK. ÉlĂ©ments clĂ©s Type d’attaque : Code malveillant / Supply chain 🚹 Vecteur : AppsFlyer Web SDK Impact : Vol/dĂ©tournement de fonds en cryptomonnaies IOCs et TTPs ...

15 mars 2026 Â· 1 min

CTI pour l’IA : sources, IoC, TTP et mesures de similaritĂ© pour protĂ©ger les modĂšles

Selon une publication de recherche d’Orange Innovation Poland, ce travail examine comment la cyber threat intelligence (CTI) doit Ă©voluer pour couvrir les menaces propres aux systĂšmes d’IA, en structurant les sources (vulnĂ©rabilitĂ©s, incidents, TTP), en dĂ©finissant des IoC spĂ©cifiques Ă  l’IA et en proposant des mĂ©thodes de similaritĂ© pour dĂ©tecter modĂšles/datasets malveillants. Le papier compare la CTI « classique » et la CTI pour l’IA, en listant des actifs et vulnĂ©rabilitĂ©s propres Ă  l’IA (ex. empoisonnement de donnĂ©es, backdoors dans les modĂšles, adversarial examples, inversion de modĂšle, prompt injection). Il cartographie les phases d’attaque adaptĂ©es au cycle ML (reconnaissance des artefacts ML, accĂšs initial via API/produit, exĂ©cution, persistance via backdoor, Ă©lĂ©vation de privilĂšges notamment sur LLMs, Ă©vasion, exfiltration et impact). ...

15 mars 2026 Â· 3 min

GlassWorm sur macOS : infostealer avec C2 décentralisé, RAT persistant et IoCs détaillés

Source: tip-o-deincognito (write-up technique). Contexte: analyse statique et surveillance live (57 h) d’une variante GlassWorm macOS distribuĂ©e via des extensions Open VSX compromises, avec mise en Ă©vidence d’un C2 rĂ©silient (BitTorrent DHT + Solana), d’un stealer multi-cibles et d’un RAT persistant. ‱ Infection supply chain via extensions VS Code (compte “oorzc” — ssh-tools, i18n-tools-plus, mind-map, scss-to-css-compile, 22k+ tĂ©lĂ©chargements). Le package npm injecte un preinstall.js contenant une stĂ©ganographie Unicode (sĂ©lecteurs de variation) pour dissimuler le blob AES-256-CBC menant au loader Stage 1. Exclusion CIS via dĂ©tection de locale russe + fuseau/offset. Un kill switch base64 de 20 caractĂšres est gĂ©rĂ© cĂŽtĂ© Stage 1 (eval), mais Ă©choue cĂŽtĂ© RAT persistant. ...

15 mars 2026 Â· 4 min

IA en cyberconflit: un écart d'automatisation qui avantage la défense

Source et contexte — International Security (MIT Press/Harvard), mars 2026: Lennart Maschmeyer analyse pourquoi l’IA, malgrĂ© les prĂ©dictions d’une rĂ©volution offensive, renforce surtout la dĂ©fense en cybersĂ©curitĂ©. En s’appuyant sur des donnĂ©es expĂ©rimentales et des observations in-the-wild, l’auteur avance la thĂšse d’un « Ă©cart d’automatisation »: l’IA excelle en dĂ©tection (đŸ›ĄïžđŸ”) mais peine en tromperie crĂ©ative requise par l’offensive (âš”ïžđŸ€–), ce qui abaisse l’efficacitĂ© des attaques automatisĂ©es. ThĂšse centrale: en cyberconflit, l’offense repose sur la crĂ©ativitĂ© et la dĂ©ception (se cacher, manipuler sans ĂȘtre dĂ©tectĂ©), alors que la dĂ©fense vise la dĂ©tection rapide et prĂ©cise. Les modĂšles d’IA (ML, deep learning, LLMs) sont taillĂ©s pour la reconnaissance de motifs et la classification (dĂ©fense), mais Ă©chouent sur la crĂ©ation originale et la duperie contextuelle (offense). L’indicateur de Mandiant (Google Cloud) montre une baisse du dwell time mĂ©dian de 205 jours (2014) Ă  11 jours (2024), sans renversement malgrĂ© les progrĂšs rĂ©cents de l’IA, ce qui n’accrĂ©dite pas une supĂ©rioritĂ© offensive automatisĂ©e. ...

15 mars 2026 Â· 3 min

IBM X-Force révÚle Slopoly, un C2 généré par IA utilisé par Hive0163 dans une attaque ransomware

Contexte: IBM X-Force publie une analyse dĂ©taillĂ©e d’un nouveau backdoor/C2 baptisĂ© “Slopoly”, vraisemblablement gĂ©nĂ©rĂ© par un LLM et observĂ© lors d’une attaque ransomware opĂ©rĂ©e par le cluster financier Hive0163. – DĂ©couverte et portĂ©e IBM X-Force a identifiĂ© un script PowerShell client d’un framework C2 inĂ©dit, nommĂ© Slopoly, dĂ©ployĂ© en phase tardive d’une intrusion ransomware attribuĂ©e Ă  Hive0163 (acteur financier dĂ©jĂ  liĂ© Ă  InterlockRAT, NodeSnake, JunkFiction, Interlock ransomware). Slopoly a permis une persistance > 1 semaine sur un serveur compromis. L’analyse souligne l’adoption croissante de l’IA par les cybercriminels, ouvrant une phase d’« armes Ă©phĂ©mĂšres » oĂč du malware gĂ©nĂ©rĂ© rapidement abaisse fortement les barriĂšres Ă  l’entrĂ©e. ...

15 mars 2026 Â· 4 min

INTERPOL dĂ©mantĂšle plus de 45 000 IP et serveurs malveillants lors d’Operation Synergia III (94 arrestations)

Source : INTERPOL — Dans le cadre de l’Operation Synergia III (18 juillet 2025 – 31 janvier 2026), coordonnĂ©e par INTERPOL depuis Lyon et impliquant 72 pays et territoires, les forces de l’ordre ont dĂ©mantelĂ© plus de 45 000 adresses IP et serveurs malveillants, procĂ©dĂ© Ă  94 arrestations (110 personnes toujours sous enquĂȘte) et saisi 212 appareils Ă©lectroniques et serveurs. 🚔🌐 L’opĂ©ration visait des activitĂ©s de phishing, malware et ransomware. INTERPOL a transformĂ© des donnĂ©es en renseignements opĂ©rationnels, facilitĂ© la collaboration transfrontaliĂšre et apportĂ© un appui tactique, conduisant Ă  des perquisitions ciblĂ©es et Ă  la perturbation d’activitĂ©s cybercriminelles. Le directeur de la Cybercrime d’INTERPOL, Neal Jetton, a soulignĂ© l’escalade de la sophistication de la cybercriminalitĂ© en 2026 et l’efficacitĂ© de la coopĂ©ration mondiale. ...

15 mars 2026 Â· 2 min

Microsoft publie un hotpatch hors bande pour corriger des failles RCE dans RRAS sous Windows 11

Selon Cyber Security News, Microsoft a publiĂ© le 13 mars 2026 un hotpatch hors bande (KB5084597) visant des vulnĂ©rabilitĂ©s critiques dans l’outil de gestion Windows RRAS sur Windows 11 versions 24H2 et 25H2, appliquĂ© en mĂ©moire et sans redĂ©marrage. 🔧 Ce hotpatch cible trois failles activement prĂ©occupantes dans l’outil de gestion RRAS susceptibles de provoquer une exĂ©cution de code Ă  distance (RCE) ou un dĂ©ni de service (DoS) lorsqu’un utilisateur se connecte Ă  un serveur contrĂŽlĂ© par un attaquant. Microsoft prĂ©cise qu’aucun problĂšme connu n’est signalĂ© Ă  la date de publication et que seules les nouvelles modifications seront tĂ©lĂ©chargĂ©es si des mises Ă  jour antĂ©rieures sont dĂ©jĂ  installĂ©es. ...

15 mars 2026 Â· 2 min

Retour de PhantomRaven : 88 paquets npm malveillants (vagues 2–4) via dĂ©pendances URL

Endor Labs publie une analyse dĂ©taillĂ©e du retour de la campagne PhantomRaven, rĂ©vĂ©lant trois nouvelles vagues (2, 3 et 4) rĂ©parties entre novembre 2025 et fĂ©vrier 2026, totalisant 88 paquets npm malveillants, dont 81 encore disponibles au moment de l’écriture, et 2 C2 sur 3 toujours actifs. Une mise Ă  jour prĂ©cise que l’opĂ©rateur a modifiĂ© l’infrastructure et les charges utiles servies Ă  distance (ex. un script minimal « Hello, world! » dĂ©sormais renvoyĂ© par le domaine de la vague 2), illustrant le risque des dĂ©pendances URL qui permettent de changer silencieusement le code sans nouvelle version publiĂ©e. ...

15 mars 2026 Â· 4 min

Salt Typhoon : vaste campagne d’espionnage contre les tĂ©lĂ©coms via des routeurs Cisco

TechCrunch rapporte une campagne mondiale attribuĂ©e au groupe chinois Salt Typhoon visant des opĂ©rateurs tĂ©lĂ©coms et fournisseurs d’accĂšs, avec un accent sur les routeurs Cisco et les dispositifs d’interception lĂ©gale, afin de collecter massivement des donnĂ©es de communications. Le groupe aurait menĂ© l’une des campagnes de piratage les plus Ă©tendues de ces derniĂšres annĂ©es, ciblant des gĂ©ants des tĂ©lĂ©coms et d’Internet pour voler des dizaines de millions d’enregistrements d’appels, des SMS et de l’audio de responsables amĂ©ricains de haut niveau. À la suite de ces intrusions, le FBI a encouragĂ© l’usage d’applications de messagerie chiffrĂ©es de bout en bout. ...

15 mars 2026 Â· 3 min

Un chercheur boote un iPhone virtuel via le firmware PCC d’Apple (vphone600ap) et documente les contournements de sĂ©curitĂ©

Source: GitHub (wh1te4ever). Contexte: l’auteur analyse l’apparition de composants « vphone600ap » dans les firmwares PCC (cloudOS 26) d’Apple fin 2025 et publie un write-up dĂ©taillant la construction d’un iPhone virtuel, en s’appuyant sur des outils de virtualisation Apple et des patchs du firmware pour la recherche sĂ©curitĂ©. L’auteur adapte super-tart en s’appuyant sur Virtualization.framework et des binaires AVPBooter/AVPSEPBooter de recherche, force un modĂšle matĂ©riel spĂ©cifique (VRESEARCH101), configure le SEP, le NVRAM/auxiliary storage et un Ă©cran iPhone (rĂ©solution d’un 14 Pro Max/15 Plus/15 Pro Max/16 Plus). Le VM expose clavier, multi-touch et graphiques via VZMacGraphicsDevice. ...

15 mars 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝