Un pirate dĂ©tourne l’agent Cline (propulsĂ© par Claude) via prompt injection pour installer OpenClaw

Selon The Verge (19 fĂ©v. 2026), un hacker a exploitĂ© une vulnĂ©rabilitĂ© dans Cline, un agent de codage open source utilisant Claude (Anthropic), afin de pousser l’installation automatique d’OpenClaw 🩞 sur des ordinateurs. La technique s’appuie sur une prompt injection insĂ©rĂ©e dans le workflow, dĂ©jĂ  dĂ©montrĂ©e en preuve de concept par le chercheur Adnan Khan quelques jours plus tĂŽt. DĂ©tails de l’attaque et mĂ©canisme: l’attaquant a profitĂ© du fait que le workflow de Cline acceptait des instructions malicieuses destinĂ©es Ă  Claude, le conduisant Ă  exĂ©cuter des actions non prĂ©vues, notamment l’installation automatique de logiciels. L’installateur a ciblĂ© OpenClaw (agent viral open source qui « fait rĂ©ellement des choses »), mais les agents n’ont pas Ă©tĂ© activĂ©s aprĂšs installation. ...

22 fĂ©vrier 2026 Â· 2 min

Un rootkit Linux 'Singularity' détourne Magic SysRq pour masquer des processus

Dans une publication technique, l’auteur dissĂšque le module sysrq_hook.c du rootkit LKM Singularity (ciblant Linux 6.x) et montre comment il intercepte les routines de diagnostic du noyau — Magic SysRq et le chemin OOM — pour empĂȘcher l’affichage de processus cachĂ©s directement dans le buffer de logs kernel. Le texte rappelle que Magic SysRq (par /proc/sysrq-trigger ou Alt+SysRq+<touche>) exĂ©cute des diagnostics entiĂšrement cĂŽtĂ© noyau et Ă©crit via printk() dans le ring buffer, Ă©chappant aux hooks usuels sur /proc ou getdents. Les commandes SysRq-T (Ă©tat des tĂąches) et SysRq-F (chemin OOM) produisent des listes de processus directement depuis la mĂ©moire kernel. Des rootkits LKM connus comme Kovid ou diamorphine, qui se contentent d’intercepter filldir*/getdents et parfois des lectures de dmesg, se font contourner: des PIDs « cachĂ©s » rĂ©apparaissent dans les sorties SysRq-T et OOM, car les donnĂ©es sont dĂ©jĂ  imprimĂ©es dans le ring buffer avant toute filtration en espace utilisateur. ...

22 fĂ©vrier 2026 Â· 3 min

Unit 42 publie le Global Incident Response Report 2026 : IA, identité et supply chain redessinent la menace

Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (fĂ©vrier 2026). Dans plus de 750 interventions IR menĂ©es en 2025, le rapport met en Ă©vidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identitĂ© comme pĂ©rimĂštre effectif, l’extension du risque supply chain via connectivitĂ©s de confiance (SaaS, outils, dĂ©pendances), et l’adaptation des acteurs Ă©tatiques Ă  l’infrastructure et Ă  la virtualisation. Plus de 90% des brĂšches ont Ă©tĂ© permises par des expositions Ă©vitables (visibilitĂ© limitĂ©e, contrĂŽles inĂ©gaux, confiance d’identitĂ© excessive), et 87% des intrusions ont touchĂ© plusieurs surfaces d’attaque. ...

22 fĂ©vrier 2026 Â· 4 min

Wiz alerte : des failles à toutes les couches de l’infrastructure IA

Source et contexte : Dark Reading (article de Robert Lemos, 20 fĂ©v. 2026) rapporte les leçons de deux annĂ©es de recherches menĂ©es par Hillai Ben Sasson et Dan Segev (Wiz) sur les failles de l’infrastructure IA, avec une prĂ©sentation prĂ©vue Ă  RSAC en mars. Leur message clĂ© : se concentrer sur les vulnĂ©rabilitĂ©s d’infrastructure plutĂŽt que sur le seul prompt injection, alors que de nouveaux services (ex. MCP) arrivent avec de nombreuses failles sous-jacentes. ...

22 fĂ©vrier 2026 Â· 3 min

Massiv : nouveau malware Android de prise de contrÎle déguisé en appli IPTV

Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisĂ©e « Massiv » a Ă©tĂ© observĂ©e dans des campagnes ciblĂ©es, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrĂŽle des appareils et mener des fraudes bancaires. ‱ Nature de la menace. Massiv est un trojan bancaire Android axĂ© Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrĂŽle Ă  distance complet de l’appareil, avec un C2 en WebSocket et opĂ©rations en screen streaming (MediaProjection) ou en mode UI-tree (traversĂ©e Accessibility pour contourner les protections anti-capture). ...

20 fĂ©vrier 2026 Â· 3 min

Campagne d’extensions Chrome se faisant passer pour des assistants IA : iframes distantes, exfiltration et 260 000 victimes

Source: LayerX — Publication de recherche dĂ©taillant une campagne d’extensions Chrome malveillantes se faisant passer pour des assistants IA grand public et des outils Gmail. 🚹 Des chercheurs de LayerX ont mis au jour une campagne coordonnĂ©e impliquant 30 extensions Chrome (dont certaines « Featured » sur le Chrome Web Store) usurpant Claude, ChatGPT, Gemini, Grok et divers outils « AI Gmail ». Ces extensions partagent le mĂȘme code, les mĂȘmes permissions et la mĂȘme infrastructure backend (tapnetic[.]pro), totalisant 260 000+ installations. Leur architecture dĂ©lĂšgue les fonctions clĂ©s Ă  des iframes distantes contrĂŽlĂ©es cĂŽtĂ© serveur, permettant de modifier le comportement sans mise Ă  jour du Store. ...

19 fĂ©vrier 2026 Â· 4 min

DEF CON bannit Pablos Holman, Vincenzo Iozzo et Joichi Ito pour leurs liens présumés avec Jeffrey Epstein

Selon TechCrunch, dans le contexte de la communautĂ© du hacking et des Ă©vĂ©nements de cybersĂ©curitĂ©, la confĂ©rence DEF CON a dĂ©cidĂ© de bannir plusieurs personnalitĂ©s liĂ©es au milieu technologique. DĂ©cision : La confĂ©rence de hacking DEF CON a prononcĂ© un bannissement Ă  l’encontre de trois personnes, leur interdisant d’assister Ă  la confĂ©rence annuelle. đŸš« Personnes concernĂ©es : Pablos Holman et Vincenzo Iozzo (hackers), ainsi que Joichi Ito (ancien directeur du MIT Media Lab). ...

19 fĂ©vrier 2026 Â· 1 min

Des assistants IA avec navigation web détournés en relais C2 furtifs

Selon Check Point Research (blog.checkpoint.com), une recherche publiĂ©e le 19/02/2026 dĂ©crit une technique potentielle oĂč des assistants IA avec capacitĂ© de navigation web pourraient ĂȘtre exploitĂ©s comme relais de commande‑et‑contrĂŽle (C2) furtifs ; cette approche a Ă©tĂ© dĂ©montrĂ©e en environnement contrĂŽlĂ© contre Grok et Microsoft Copilot, sans preuve d’exploitation active Ă  ce stade. ‱ Technique dĂ©montrĂ©e (C2 via assistants IA) đŸ€–: en incitant un assistant IA Ă  « fetch » et rĂ©sumer une URL contrĂŽlĂ©e par l’attaquant, un malware peut exfiltrer des donnĂ©es et rĂ©cupĂ©rer des commandes sans contacter directement un serveur C2 traditionnel. L’interaction peut se faire sans clĂ©s API ni comptes authentifiĂ©s, rendant moins efficaces les mĂ©canismes de takedown classiques. Du point de vue rĂ©seau, le trafic ressemble Ă  un usage IA lĂ©gitime, l’AI servant de proxy/relai furtif au sein des communications autorisĂ©es en entreprise. ...

19 fĂ©vrier 2026 Â· 3 min

Failles critiques dans des extensions VSCode populaires permettent vol de fichiers et exécution de code

Selon un article publiĂ© le 19 fĂ©vrier 2026, des vulnĂ©rabilitĂ©s graves touchent plusieurs extensions populaires de Visual Studio Code (VSCode). Des vulnĂ©rabilitĂ©s hautes Ă  critiques affectant plusieurs extensions Visual Studio Code (et IDE compatibles comme Cursor et Windsurf) pourraient permettre Ă  un attaquant de voler des fichiers locaux et/ou d’exĂ©cuter du code Ă  distance. Les extensions concernĂ©es totalisent plus de 128 millions de tĂ©lĂ©chargements. Source : BleepingComputer — Flaws in popular VSCode extensions expose developers to attacks https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/ ...

19 fĂ©vrier 2026 Â· 3 min

Firefox 147.0.4 corrige la faille Ă  haut risque CVE-2026-2447 dans libvpx (RCE)

Selon The Cyber Express, Firefox v147.0.4 corrige la vulnĂ©rabilitĂ© CVE-2026-2447, dĂ©crite comme un dĂ©bordement de tampon du tas dans la bibliothĂšque libvpx, avec un risque Ă©levĂ© d’exĂ©cution de code Ă  distance. đŸ› ïž Correctif: Firefox v147.0.4 đŸ§© Composant affectĂ©: libvpx ⚠ VulnĂ©rabilitĂ©: CVE-2026-2447 — dĂ©bordement de tampon du tas (heap buffer overflow) đŸ’„ Impact potentiel: exĂ©cution de code Ă  distance (RCE) 📈 SĂ©vĂ©ritĂ©: haut risque Firefox (libvpx) – Correctif hors cycle pour une faille critique : CVE-2026-2447 RĂ©sumĂ© Mozilla a publiĂ© une mise Ă  jour de sĂ©curitĂ© hors cycle pour corriger une vulnĂ©rabilitĂ© critique (heap buffer overflow) dans la bibliothĂšque libvpx utilisĂ©e pour dĂ©coder les vidĂ©os VP8/VP9. Une exploitation via du contenu multimĂ©dia/piĂ©gĂ© peut provoquer de la corruption mĂ©moire et potentiellement mener Ă  de l’exĂ©cution de code dans le contexte de l’utilisateur. ...

19 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝