Neko : navigateur virtuel auto‑hĂ©bergĂ© (Docker + WebRTC) pour navigation isolĂ©e et collaborative

Cette publication prĂ©sente Neko, un navigateur virtuel auto‑hĂ©bergĂ© diffusant un environnement Linux via WebRTC, axĂ© sur la sĂ©curitĂ©, la confidentialitĂ© et la collaboration. ‱ Neko fournit un navigateur/desktop virtuel tournant dans Docker (ou sur l’hĂŽte), accessible depuis n’importe oĂč, avec multi‑accĂšs simultanĂ©, contrĂŽle partagĂ©, audio/vidĂ©o synchronisĂ©s et un flux WebRTC fluide. Il peut exĂ©cuter un navigateur, des applications Linux (ex. VLC) ou un desktop complet (XFCE, KDE). đŸ± ‱ Cas d’usage principaux: watch parties 🎬, prĂ©sentations interactives (contrĂŽle par d’autres), collaboration (co‑browsing, debug), support/enseignement, et intĂ©gration dans des apps web (alternative open source Ă  Hyperbeam API). Des rooms peuvent ĂȘtre gĂ©rĂ©es via « neko-rooms ». ...

8 mars 2026 Â· 2 min

NeuroGrid: des Ă©quipes augmentĂ©es par IA surpassent largement les humaines sur des dĂ©fis d’offensive

Selon Help Net Security, la compĂ©tition NeuroGrid (72h sur la plateforme Hack The Box) a comparĂ© des Ă©quipes IA-augmentĂ©es (via Model Context Protocol avec supervision humaine) Ă  des Ă©quipes 100% humaines sur 36 dĂ©fis couvrant 9 domaines et 4 niveaux de difficultĂ©. L’analyse porte sur 958 Ă©quipes humaines et 120 Ă©quipes IA ayant tentĂ© au moins un dĂ©fi, sur un total de 1 337 Ă©quipes humaines et 156 Ă©quipes IA inscrites. đŸ€–đŸ§‘â€đŸ’» ...

8 mars 2026 Â· 3 min

OpenAI lance Codex Security, un agent IA d’AppSec en prĂ©version de recherche

OpenAI annonce, dans une publication officielle, la mise Ă  disposition en « research preview » de Codex Security, un agent de sĂ©curitĂ© applicative conçu pour rĂ©duire le bruit, amĂ©liorer la prĂ©cision des dĂ©tections et proposer des correctifs alignĂ©s sur le contexte des projets. ‱ Codex Security s’appuie sur les modĂšles de pointe et l’agent Codex pour bĂątir un contexte profond du systĂšme, prioriser les vulnĂ©rabilitĂ©s selon leur impact rĂ©el, et valider les trouvailles dans des environnements sandbox ou directement dans le systĂšme en cours d’exĂ©cution. L’objectif est de diminuer les faux positifs et d’accĂ©lĂ©rer la remĂ©diation avec des correctifs plus sĂ»rs et mieux intĂ©grĂ©s. ...

8 mars 2026 Â· 2 min

Packages Packagist déguisés en utilitaires Laravel déploient un RAT PHP via dépendances Composer

Selon Socket (Ă©quipe de recherche sur les menaces), un acteur nommĂ© “nhattuanbl” a publiĂ© sur Packagist des packages Laravel malveillants qui installent un RAT PHP chiffrĂ© via les dĂ©pendances Composer, permettant un accĂšs Ă  distance et un canal C2. Packages concernĂ©s: nhattuanbl/lara-helper et nhattuanbl/simple-queue embarquent la charge utile dans src/helper.php (identiques byte‑à‑byte). nhattuanbl/lara-swagger est propre mais dĂ©pend de lara-helper, entraĂźnant l’installation silencieuse du RAT. Activation: dans lara-helper, inclusion via un service provider Laravel (auto-discovery) Ă  chaque boot; dans simple-queue, inclusion au chargement de la classe (autoload), dĂ©clenchĂ©e mĂȘme par class_exists(). Obfuscation: contrĂŽle par goto en spaghetti, chaĂźnes en hex/octal, identifiants alĂ©atoires. Auto‑persistance: au premier include, le script se relance en arriĂšre-plan (CLI arg helper) et utilise un lock file temp (wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock, expiration 15 min). đŸ•žïž C2 et capacitĂ©s ...

8 mars 2026 Â· 3 min

Radware: flambĂ©e de DDoS hacktivistes au Moyen‑Orient aprĂšs « Operation Epic Fury »

Source et contexte — Radware. Dans un rapport couvrant la pĂ©riode du 28 fĂ©vrier au 2 mars 2026, Radware relie une vague coordonnĂ©e d’attaques DDoS hacktivistes Ă  l’offensive militaire « Operation Epic Fury » (États‑Unis/IsraĂ«l, dite « Roaring Lion » en IsraĂ«l). Les collectifs pro‑iraniens et alliĂ©s se sont mobilisĂ©s en moins de neuf heures, dĂ©clenchant une campagne de perturbation numĂ©rique Ă  grande Ă©chelle. Points clĂ©s et volumĂ©trie. Entre le 28 fĂ©vrier et le 2 mars, neuf groupes ont revendiquĂ© 107 attaques contre 81 organisations dans huit pays du Moyen‑Orient. Le paysage est trĂšs concentré : Keymous+ (35,5%) et DieNet (32,7%) totalisent prĂšs de 70% des revendications, suivis par Conquerors Electronic Army (11,2%), 313 Team (6,5%), NoName057(16) (6,5%) et Nation of Saviors (3,7%). À l’échelle mondiale sur la mĂȘme fenĂȘtre (149 revendications, 110 organisations, 16 pays, 12 groupes), Keymous+ (26,8%), DieNet (25,5%) et NoName057(16) (22,2%) cumulent 74,6% des revendications. ...

8 mars 2026 Â· 3 min

Seedworm (Iran) actif depuis févrierxa02026xa0: backdoors Dindoor/Fakeset, exfiltration cloud et IOCs publiés

SECURITY.COM, dans un contexte d’escalade militaire entre les États‑Unis/IsraĂ«l et l’Iran fin fĂ©vrier 2026, dĂ©taille une campagne en cours depuis dĂ©but fĂ©vrier attribuĂ©e Ă  l’APT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activitĂ©s ont Ă©tĂ© observĂ©es sur les rĂ©seaux d’une banque amĂ©ricaine, d’un aĂ©roport amĂ©ricain, d’ONG aux US et au Canada, et de la filiale israĂ©lienne d’un Ă©diteur logiciel US. 🚹 DĂ©tails techniques et artifacts clĂ©s Backdoor inconnue baptisĂ©e Dindoor, basĂ©e sur le runtime Deno (JavaScript/TypeScript), repĂ©rĂ©e chez l’éditeur (cible en IsraĂ«l), une banque US et une ONG canadienne; signĂ©e avec un certificat au nom « Amy Cherne ». Tentative d’exfiltration chez l’éditeur via Rclone vers un bucket Wasabi (commande observĂ©e: rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). Autre backdoor Python nommĂ©e Fakeset sur les rĂ©seaux de l’aĂ©roport US et d’une ONG US; signĂ©e avec « Amy Cherne » et « Donald Gay » (ce dernier dĂ©jĂ  liĂ© Ă  Seedworm). TĂ©lĂ©chargements depuis Backblaze B2: gitempire.s3.us-east-005.backblazeb2.com et elvenforest.s3.us-east-005.backblazeb2.com. Le certificat « Donald Gay » a aussi servi Ă  signer Stagecomp (loader) qui dĂ©ploie Darkcomp; ces familles sont associĂ©es Ă  Seedworm (Google, Microsoft, Kaspersky). 🌍 Paysage de menace Ă©largi et contexte ...

8 mars 2026 Â· 3 min

Sicarii redirige ses affiliés vers le RaaS BQTLock; exploitation de React2Shell (CVE-2025-55182)

Selon le Halcyon Ransomware Research Center, l’administrateur de Sicarii a appelĂ© les opĂ©rateurs pro-palestiniens et pro-rĂ©gime iranien Ă  migrer vers Baqiyat 313 Locker (BQTLock), faute de capacitĂ© Ă  traiter l’afflux d’affiliĂ©s. BQTLock ouvre un accĂšs RaaS gratuit via Telegram pour des actions idĂ©ologiques pro-palestiniennes, tandis que Sicarii annonce se recentrer sur l’influence hacktiviste. Analyse des acteurs et cibles: BQTLock, divulguĂ© publiquement en juillet 2025, serait dĂ©veloppĂ© par les hacktivistes pro-palestiniens Liwaa Mohammad et Karim Fayad (ZeroDayX/ZeroDayX1), sous l’ombrelle Cyber Islamic Resistance. BQTLock et Sicarii sont des RaaS distincts; Sicarii redirige dĂ©sormais ses affiliĂ©s vers BQTLock pour des attaques motivĂ©es idĂ©ologiquement. BQTLock pratique la double extorsion et a publiĂ© des donnĂ©es d’entitĂ©s des secteurs hĂŽtellerie et Ă©ducation aux Émirats arabes unis, États-Unis et IsraĂ«l. Des messages rĂ©cents sur les canaux Cyber Islamic Resistance montrent un intĂ©rĂȘt pour des cibles d’infrastructures critiques et militaires, incluant des assertions de fuites d’une base de donnĂ©es militaire israĂ©lienne et d’une liste d’agents du Mossad. ...

8 mars 2026 Â· 3 min

TP-Link Tapo C260 : divulgation de fichiers, RCE invité et élévation de privilÚges (CVE-2026-0651 à -0653)

Sur un billet de blog technique datĂ© du 6 mars 2026, l’auteur dĂ©crit le processus ayant menĂ© Ă  l’obtention d’un shell sur la camĂ©ra TP-Link Tapo C260, en documentant trois vulnĂ©rabilitĂ©s liĂ©es (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653). Un avis de TP-Link couvre les bases, tandis que l’article expose le cheminement de dĂ©couverte et l’enchaĂźnement d’exploits. DĂ©couverte LFD (CVE-2026-0651) 🔓 L’analyse statique de /bin/main (serveur HTTP intĂ©grĂ© avec gestion SOAP/ONVIF) rĂ©vĂšle un gestionnaire GET qui concatĂšne le chemin demandĂ© Ă  « /www » aprĂšs un simple dĂ©codage d’URL, sans aucune sanitisation. Le dĂ©codage de « ../ » permet une traversĂ©e de rĂ©pertoires conduisant Ă  une divulgation de fichiers locaux (LFD). L’accĂšs nĂ©cessite une session authentifiĂ©e, mais un compte invitĂ© suffit. ...

8 mars 2026 Â· 3 min

Velvet Tempest exploite ClickFix et des utilitaires Windows pour déployer DonutLoader et CastleRAT

Selon BleepingComputer, des acteurs de la menace liés au rançongiciel, suivis sous le nom Velvet Tempest, emploient la technique ClickFix et des utilitaires Windows légitimes pour déployer le malware DonutLoader et la porte dérobée CastleRAT. Velvet Tempest utilise ClickFix pour déployer DonutLoader et CastleRAT Contexte Le groupe cybercriminel Velvet Tempest (également suivi sous DEV-0504) a été observé utilisant la technique ClickFix et des outils Windows légitimes pour déployer les malwares DonutLoader et CastleRAT. ...

8 mars 2026 Â· 3 min

Wikimedia: un ver JavaScript auto-propagatif a modifiĂ© des scripts et vandalisĂ© Meta‑Wiki (23 min)

Source: BleepingComputer (Lawrence Abrams, 5 mars 2026). La Wikimedia Foundation a fait face Ă  un incident de sĂ©curitĂ© impliquant un ver JavaScript auto‑propagatif qui a modifiĂ© des scripts utilisateurs et vandalisĂ© des pages sur Meta‑Wiki, entraĂźnant une restriction temporaire des Ă©ditions puis un retour Ă  la normale une fois le code malicieux supprimĂ©. 🐛 Le ver aurait Ă©tĂ© dĂ©clenchĂ© aprĂšs l’exĂ©cution d’un script malveillant hĂ©bergĂ© sur la WikipĂ©dia en russe (User:Ololoshka562/test.js, mis en ligne en mars 2024). Selon l’historique, il a Ă©tĂ© exĂ©cutĂ© pour la premiĂšre fois par un compte employĂ© Wikimedia lors de tests de fonctionnalitĂ©s de scripts utilisateurs (intention inconnue). Le code injectait un « loader » dans les fichiers User:/common.js (persistance utilisateur) et, si les droits le permettaient, dans MediaWiki:Common.js (persistance globale), assurant une auto‑propagation Ă  chaque chargement du script global. ⚙ ...

8 mars 2026 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝