Failles critiques dans des extensions VS Code exposent 128 millions d’environnements dĂ©veloppeurs

Selon CyberSecurityNews.com (20 fĂ©vrier 2026), l’équipe OX Security Research a identifiĂ© trois vulnĂ©rabilitĂ©s critiques dans quatre extensions Visual Studio Code trĂšs rĂ©pandues, confirmĂ©es aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de tĂ©lĂ©chargements, rĂ©vĂ©lant un angle mort de la chaĂźne d’approvisionnement logicielle: la machine du dĂ©veloppeur. ‱ Extensions et vulnĂ©rabilitĂ©s clĂ©s CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ tĂ©lĂ©chargements) : exfiltration de fichiers Ă  distance via la fonctionnalitĂ© localhost. Versions affectĂ©es: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ tĂ©lĂ©chargements) : exĂ©cution de code Ă  distance (RCE). Versions affectĂ©es: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ tĂ©lĂ©chargements) : exĂ©cution JavaScript menant Ă  scan de ports locaux et exfiltration de donnĂ©es. Versions affectĂ©es: toutes. (Sans CVE) Microsoft Live Preview (11M+ tĂ©lĂ©chargements) : XSS en un clic permettant exfiltration complĂšte des fichiers de l’IDE, corrigĂ©e discrĂštement en v0.4.16+ sans attribution publique Ă  OX Security. ‱ Contexte et impact Les extensions d’IDE opĂšrent avec des permissions proches de l’administrateur, pouvant exĂ©cuter du code, lire/modifier des fichiers et communiquer sur le rĂ©seau local sans alerter les contrĂŽles classiques. Selon OX Security, une seule extension malveillante ou vulnĂ©rable peut suffire Ă  permettre des mouvements latĂ©raux et compromettre une organisation entiĂšre. ...

22 fĂ©vrier 2026 Â· 3 min

Faux DMG de plugins audio sur macOS : loader multi‑étapes (ClickFix, PPI) livrant MacSyncStealer

Selon Iru Threat Intelligence (Calvin So), publiĂ© le 19 fĂ©vrier 2026, des chercheurs ont analysĂ© une campagne de « loader » macOS diffusĂ©e massivement via des DMG se faisant passer pour des plugins audio crackĂ©s. La campagne met en Ɠuvre un loader multi‑étapes livrĂ© par des DMG non signĂ©s contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour rĂ©cupĂ©rer des charges utiles. Pour contourner Gatekeeper/XProtect, les opĂ©rateurs recourent Ă  des chaĂźnes en plusieurs Ă©tapes avec des scripts obfusquĂ©s et des leurres ClickFix (fenĂȘtre navigateur incitant l’utilisateur Ă  copier/coller des commandes), transformant l’utilisateur en exĂ©cuteur du code malveillant. ...

22 fĂ©vrier 2026 Â· 3 min

Filippo Valsorda appelle à désactiver Dependabot au profit de govulncheck pour des alertes vulnérabilités pertinentes

Source: billet de blog de Filippo Valsorda (filippo.io), publiĂ© le 20 fĂ©vrier 2026. Contexte: retour d’expĂ©rience sur la gestion des vulnĂ©rabilitĂ©s et des mises Ă  jour de dĂ©pendances dans l’écosystĂšme Go, avec un cas concret liĂ© Ă  un correctif cryptographique. — ‱ L’auteur affirme que Dependabot gĂ©nĂšre une forte charge d’alertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilitĂ© » alarmiste), en particulier pour Go. Exemple Ă  l’appui: aprĂšs un correctif de sĂ©curitĂ© publiĂ© pour filippo.io/edwards25519 (mĂ©thode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dĂ©pĂŽts non affectĂ©s, y compris un faux avertissement pour le dĂ©pĂŽt Wycheproof qui n’importait que le sous-paquet non concernĂ© (filippo.io/edwards25519/field). ...

22 fĂ©vrier 2026 Â· 2 min

LSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă  LSASS

Selon l’annonce du projet « LSA Whisperer BOF » (port de l’outil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s d’accĂšs aux paquets d’authentification Windows via l’API lĂ©gitime LsaCallAuthenticationPackage, sans lecture mĂ©moire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activĂ©s. 🔧 CapacitĂ©s principales par module: MSV1_0: rĂ©cupĂ©ration de clĂ©s DPAPI (classiques et « strong »), gĂ©nĂ©ration de rĂ©ponses NTLMv1 avec dĂ©fi choisi. Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clĂ©s de session), purge sĂ©lective par nom de serveur. CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI). đŸ› ïž Architecture et intĂ©gration: ...

22 fĂ©vrier 2026 Â· 2 min

Malvertising Facebook : faux site Windows 11 diffuse un voleur d’informations via GitHub

Selon la publication de la sociĂ©tĂ© Malwarebytes, une campagne de malvertising utilise des publicitĂ©s Facebook imitant Microsoft pour rediriger vers des clones quasi parfaits de la page de tĂ©lĂ©chargement Windows 11, afin de distribuer un voleur d’informations. ‱ Le leurre repose sur des annonces Facebook professionnelles, brandĂ©es Microsoft, renvoyant vers des domaines lookalike en « 25H2 » (mimant la nomenclature des versions Windows). Les pages contrefaites copient logo, mise en page et mentions lĂ©gales, la diffĂ©rence notable Ă©tant l’URL (ex. ms-25h2-download[.]pro). ➜ En cliquant sur « Download now », la victime rĂ©cupĂšre un exĂ©cutable trompeur au lieu d’une mise Ă  jour Windows. ...

22 fĂ©vrier 2026 Â· 3 min

Phishing via fausses invitations Microsoft et Google Calendar détecté par Cofense

Selon Cofense Phishing Defense Center (PDC), des acteurs menaçants mĂšnent de nouvelles campagnes de phishing en usurpant des invitations Microsoft et Google Calendar afin de dĂ©rober des identifiants, avec redirections vers de faux portails Microsoft et des indicateurs de compromission listĂ©s. Les attaquants recourent Ă  l’usurpation d’adresse e-mail (spoofing) et Ă  des invitations de calendrier factices imitant les designs Microsoft/Google (couleurs, boutons Outlook, format d’invitation). Des diffĂ©rences lĂ©gĂšres dans le domaine (ex. « Micr0soft ») ou un expĂ©diteur « postmaster@ » falsifiĂ© sont utilisĂ©es pour paraĂźtre lĂ©gitimes. Des Ă©lĂ©ments d’ingĂ©nierie sociale comme l’urgence (mot « deadline ») et des adresses expĂ©diteur alĂ©atoires servent Ă  contourner les filtres et pousser au clic. ⚠ ...

22 fĂ©vrier 2026 Â· 3 min

Predator neutralise les indicateurs micro/camĂ©ra d’iOS via un unique hook post‑compromis

Source: Jamf Threat Labs (19 fĂ©vrier 2026). Contexte: publication d’une analyse technique d’un Ă©chantillon iOS de Predator (Intellexa/Cytrox) dĂ©crivant des mĂ©canismes post‑compromis pour neutraliser les indicateurs d’enregistrement; il ne s’agit pas d’une nouvelle vulnĂ©rabilitĂ© ni d’un correctif, mais d’un Ă©clairage destinĂ© aux dĂ©fenseurs. Jamf explique que depuis iOS 14, les pastilles vertes/oranges signalent l’usage de la camĂ©ra/micro. Contrairement Ă  la technique « NoReboot » (2022) qui simulait une extinction complĂšte, Predator garde l’iPhone pleinement opĂ©rationnel et supprime sĂ©lectivement les indicateurs d’enregistrement 🔮🟱, rendant la surveillance plus discrĂšte. ...

22 fĂ©vrier 2026 Â· 3 min

Radware 2026xa0: DDoS record Ă  29,7xa0Tbps, recentrage vers l’applicatif et montĂ©e des bots/IA

Source : Radware — Dans son « 2026 Global Threat Analysis Report », l’éditeur analyse les tendances d’attaque 2025 Ă  l’échelle mondiale (rĂ©seau, applicatif/API, bots, hacktivisme, IA) et appelle Ă  des dĂ©fenses automatisĂ©es, scalables et intelligentes. ‱ Panorama 2025 et « Five‑Minute Problem » Retour en force des DDoS rĂ©seau avec des records Ă  29,7 Tbps (botnets Aisuru, Kimwolf) et une forte compression temporelle : la majoritĂ© des attaques volumĂ©triques durent ≀5 min, les plus gros Web DDoS <60 s. Les campagnes sont multi‑vecteurs et orchestrĂ©es algorithmiquement, rendant obsolĂštes les runbooks manuels. Les attaques de 100–500 Gbps durent en moyenne 10,2 h, les multi‑Tbps 35 min. ‱ DDoS : rĂ©seau vs applicatif (Web DDoS) ...

22 fĂ©vrier 2026 Â· 4 min

Recorded Future alerte sur la fragmentation gĂ©opolitique et l’évolution des cybermenaces en 2025-2026

Source : LeMagIT. Dans un article publiĂ© le 18 fĂ©vrier 2026, LeMagIT relaie le rapport du groupe Insikt (Recorded Future), prĂ©sentĂ© Ă  la ConfĂ©rence sur la sĂ©curitĂ© de Munich, qui dĂ©crit un paysage cyber mondialisĂ© fragmentĂ© en 2025 et des dynamiques appelĂ©es Ă  s’intensifier en 2026. Le rapport lie la fragmentation gĂ©opolitique (tensions transatlantiques, ambiguĂŻtĂ©s juridiques des actions amĂ©ricaines, ex. CaraĂŻbes/Venezuela, et mĂȘme l’hypothĂšse d’une prise de contrĂŽle du Groenland) Ă  un affaiblissement des cadres de sĂ©curitĂ© et Ă  des restrictions de partage de renseignement (jusqu’au Royaume-Uni). Les pressions des forces de l’ordre ont certes abouti Ă  des dĂ©mantĂšlements d’infrastructures criminelles, mais ont poussĂ© l’écosystĂšme Ă  devenir plus dĂ©centralisĂ©, modulaire et rĂ©silient đŸ§©. ...

22 fĂ©vrier 2026 Â· 3 min

Un acteur appuyĂ© par l’IA compromet plus de 600 FortiGate via interfaces exposĂ©es et identifiants faibles

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observĂ©e du 11 janvier au 18 fĂ©vrier 2026 : un acteur russophone Ă  motivation financiĂšre a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnĂ©rabilitĂ© FortiGate n’a Ă©tĂ© exploitĂ©e ; les intrusions reposent sur des interfaces de gestion exposĂ©es, des identifiants faibles et l’absence de MFA, avec une forte dĂ©pendance Ă  des services d’IA gĂ©nĂ©rative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltrĂ© des bases d’identifiants et ciblĂ© les infrastructures de sauvegarde (prĂ©-ransomware). L’infrastructure AWS n’a pas Ă©tĂ© impliquĂ©e. ...

22 fĂ©vrier 2026 Â· 5 min
Derniùre mise à jour le: 5 juillet 2026 📝