Un hacktiviste expose ~536 000 paiements de stalkerware via un bug trivial

TechCrunch relate qu’un hacktiviste a publiĂ© sur un forum de hacking des donnĂ©es de paiement massives issues d’un fournisseur de stalkerware, aprĂšs avoir exploitĂ© un bug « trivial » permettant d’accĂ©der aux informations clients sans mot de passe. Les donnĂ©es divulguĂ©es portent sur environ 536 000 lignes et comprennent des adresses e‑mail, l’app/brand achetĂ©, le montant payĂ©, le type de carte (Visa/Mastercard) et les quatre derniers chiffres de la carte 💳. Aucun date de paiement n’apparaĂźt. Les transactions concernent des services de tĂ©lĂ©phone-espion comme Geofinder et uMobix, ainsi que Peekviewer (ex‑Glassagram) pour l’accĂšs Ă  des comptes Instagram privĂ©s, et Xnspy. ...

11 fĂ©vrier 2026 Â· 2 min

VoidLink : analyse d’un implant Linux C2 multi‑cloud gĂ©nĂ©rĂ© par IA

Selon le blog d’Ontinue, cette recherche dissĂšque « VoidLink », un framework C2 Linux capable de gĂ©nĂ©rer des implants pour environnements cloud et entreprise. L’analyse se concentre sur l’agent (implant) et met en Ă©vidence des artefacts suggestifs d’un dĂ©veloppement via agent LLM (libellĂ©s « Phase X: », logs verbeux, documentation rĂ©siduelle), malgrĂ© des capacitĂ©s techniques avancĂ©es. VoidLink adopte une architecture modulaire avec registre de plugins et initialisation de composants clĂ©s (routeur de tĂąches, gestionnaire de furtivitĂ©, gestionnaire d’injection, dĂ©tecteur de dĂ©bogueur). Il rĂ©alise un profilage intelligent de l’environnement (clouds AWS/GCP/Azure/Alibaba/Tencent, conteneurs Docker/Podman/Kubernetes, posture sĂ©cu/EDR, version de noyau) afin d’activer des mĂ©canismes adaptatifs de furtivitĂ© et de persistance. 🧠 ...

11 fĂ©vrier 2026 Â· 3 min

Wardgate: une passerelle de sécurité pour agents IA avec isolation des identifiants et exécution en conclaves

Selon l’annonce du projet Wardgate (11 fĂ©vrier 2026), l’outil se place entre les agents IA et le monde extĂ©rieur pour isoler les identifiants, contrĂŽler l’accĂšs aux APIs et garder l’exĂ©cution de commandes Ă  distance dans des environnements dĂ©diĂ©s appelĂ©s conclaves. Wardgate rĂ©pond aux risques mis en avant par l’éditeur: fuite d’identifiants (via sorties de modĂšles, logs ou attaques), prompt injection entraĂźnant des actions non intentionnĂ©es (ex. ‘rm -rf /’, exfiltration via ‘curl’), et Ă©quivalence d’accĂšs entre agent compromis et permissions accordĂ©es. Il souligne que la conteneurisation seule ne suffit pas si les identifiants sont remis Ă  l’agent et que des projets existants exigent de faire confiance Ă  l’agent lui‑mĂȘme. ...

11 fĂ©vrier 2026 Â· 2 min

Wikipedia envisage de blacklister Archive.today aprĂšs un DDoS via sa page CAPTCHA

Selon Ars Technica, la communautĂ© Wikipedia dĂ©bat d’un possible blacklistage d’Archive.today (archive.is) aprĂšs qu’un JavaScript malveillant sur la page CAPTCHA du site a servi Ă  lancer un DDoS contre le blog Gyrovague de Jani Patokallio. Trois options sont discutĂ©es: A) suppression/masquage de tous les liens et ajout Ă  la spam blacklist, B) dĂ©prĂ©cier le service (pas de nouveaux liens) en conservant l’existant, C) statu quo. ⚠ DĂ©tails techniques de l’attaque: le code injectĂ© sur la page CAPTCHA dĂ©clenche, toutes les 300 ms, des requĂȘtes vers la fonction de recherche de gyrovague.com en ajoutant une chaĂźne alĂ©atoire pour Ă©viter le cache, avec referrerPolicy: no-referrer et mode: no-cors, transformant chaque visiteur en participant involontaire au DDoS. L’attaque a cessĂ© briĂšvement avant d’ĂȘtre rĂ©activĂ©e. La page de discussion de Wikipedia a averti: « Ne pas visiter l’archive sans bloquer les requĂȘtes vers gyrovague.com ». ...

11 fĂ©vrier 2026 Â· 3 min

Attaques de relecture DKIM : dĂ©tournement d’e-mails Apple et PayPal via factures lĂ©gitimes

Selon le blog de Kaseya, sur la base de dĂ©tections d’INKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows lĂ©gitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des e‑mails authentifiĂ©s. Les champs contrĂŽlĂ©s par l’utilisateur (nom du vendeur, notes) servent Ă  insĂ©rer des consignes frauduleuses et un numĂ©ro de tĂ©lĂ©phone, puis les messages signĂ©s sont rejouĂ©s vers des cibles. ‱ MĂ©canique de l’attaque ⚙: un e‑mail lĂ©gitime signĂ© DKIM est capturĂ© puis rejouĂ© Ă  d’autres destinataires sans modification des en‑tĂȘtes/body signĂ©s, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit l’intĂ©gritĂ© du contenu, pas l’identitĂ© du routeur/dĂ©livreur. MĂȘme si SPF Ă©choue au transfert, un DKIM alignĂ© suffit Ă  faire passer DMARC. ...

9 fĂ©vrier 2026 Â· 3 min

Fuite de données chez Substack: 663 000 comptes exposés

Selon Have I Been Pwned (HIBP), la plateforme d’édition Substack a subi une fuite de donnĂ©es en octobre 2025, dont les informations ont Ă©tĂ© diffusĂ©es plus largement en fĂ©vrier 2026. L’incident correspond Ă  une fuite de donnĂ©es touchant 663 000 comptes. Les enregistrements exposĂ©s incluent principalement des adresses e-mail et des informations de profil publiques provenant des comptes Substack (par exemple des noms de publication et des biographies). Un sous-ensemble des enregistrements comprend Ă©galement des numĂ©ros de tĂ©lĂ©phone. Aucune autre catĂ©gorie de donnĂ©es n’est mentionnĂ©e dans l’extrait. ...

9 fĂ©vrier 2026 Â· 1 min

GreyNoise signale une reconnaissance coordonnée visant Citrix Gateway via proxys résidentiels et AWS

Selon GreyNoise Labs, une campagne coordonnĂ©e de reconnaissance a visĂ© les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 fĂ©vrier 2026, combinant dĂ©couverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opĂ©ration comprend deux volets complĂ©mentaires: 1) une dĂ©couverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys rĂ©sidentiels, et 2) une divulgation de versions (1 892 requĂȘtes) depuis 10 IP AWS sur une fenĂȘtre concentrĂ©e de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposĂ©es et Ă©numĂ©rer les versions pour de potentielles Ă©tapes ultĂ©rieures. ...

9 fĂ©vrier 2026 Â· 3 min

Ivanti EPMM : une campagne déploie des backdoors dormantes via un chargeur Java en mémoire sur /mifs/403.jsp

Selon Defused, une nouvelle vague d’exploitation visant Ivanti Endpoint Manager Mobile (EPMM) a dĂ©marrĂ© le 4 fĂ©vrier 2026 avec une approche discrĂšte : plutĂŽt que d’installer des webshells classiques et d’exĂ©cuter des commandes, l’opĂ©rateur a uniquement dĂ©posĂ© un implant et vĂ©rifiĂ© sa prĂ©sence, sans activitĂ© post-exploitation. L’accĂšs ainsi Ă©tabli est restĂ© en sommeil, un mode opĂ©ratoire cohĂ©rent avec celui d’un Initial Access Broker (IAB). ‱ VulnĂ©rabilitĂ©s exploitĂ©es: Ivanti a divulguĂ© deux failles critiques, CVE-2026-1281 et CVE-2026-1340, couvrant contournement d’authentification et exĂ©cution de code Ă  distance sur des paquets distincts (aftstore et appstore), menant Ă  un accĂšs non authentifiĂ© aux endpoints applicatifs. Les premiĂšres exploitations observĂ©es incluaient du scanning opportuniste et des dĂ©pĂŽts de webshells « commoditĂ© ». ...

9 fĂ©vrier 2026 Â· 4 min

Paquets dYdX compromis sur npm et PyPI : vol de seed phrases et RAT

Source : Socket (blog de recherche sĂ©curitĂ©), 6 fĂ©vrier 2026. Le Threat Research Team de Socket dĂ©crit une compromission de mainteneur ayant permis la publication de versions malveillantes des clients dYdX v4 sur npm et PyPI, dĂ©tectĂ©es le 27 janvier 2026 et signalĂ©es Ă  dYdX le 28 janvier (reconnaissance publique le mĂȘme jour). ‱ ÉcosystĂšmes touchĂ©s et vecteurs: des versions spĂ©cifiques des paquets dYdX ont Ă©tĂ© modifiĂ©es pour intĂ©grer du code malveillant au cƓur des fichiers (registry.ts/js, account.py). Le code exfiltre des seed phrases et des empreintes d’appareil vers un domaine typosquattĂ© (dydx[.]priceoracle[.]site), imitant le service lĂ©gitime dydx[.]xyz. Le mode opĂ©ratoire et la connaissance interne du projet suggĂšrent une compromission de compte dĂ©veloppeur. ...

9 fĂ©vrier 2026 Â· 2 min

Tirith : un outil open-source pour détecter les attaques par homoglyphes en ligne de commande

Selon BleepingComputer, un nouvel outil open-source et multiplateforme, nommĂ© Tirith, a Ă©tĂ© publiĂ© pour contrer les attaques par homoglyphes dans les environnements en ligne de commande. đŸ›Ąïž Tirith vise les attaques par homoglyphes consistant Ă  utiliser des caractĂšres visuellement similaires pour tromper l’utilisateur L’outil analyse les URL prĂ©sentes dans les commandes tapĂ©es et empĂȘche leur exĂ©cution lorsqu’une tentative malveillante est dĂ©tectĂ©e. L’annonce met l’accent sur le caractĂšre multiplateforme et l’intĂ©gration en CLI, ciblant les scĂ©narios oĂč des URL trompeuses pourraient ĂȘtre exĂ©cutĂ©es par inadvertance. A new open-source and cross-platform tool called Tirith can detect homoglyph attacks over command-line environments by analyzing URLs in typed commands and stopping their execution. ...

9 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝