Credential Stealer

🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives. ...

🗓️ Contexte Article publié le 1er juin 2026 par Ilyas Makari sur le blog d’Aikido Security. Il documente la compromission de 96 versions de 32 packages npm appartenant au scope officiel @redhat-cloud-services, détectée le jour même. 🎯 Nature de l’attaque Le vecteur d’intrusion est la compromission d’un compte GitHub d’un employé Red Hat, utilisé pour pousser des commits orphelins malveillants directement dans plusieurs dépôts, contournant toute revue de code. Ces commits contenaient un fichier de workflow (ci.yaml) et un script (_index.js). ...

🔍 Contexte En mai 2026, Arctic Wolf Labs a publié un rapport d’analyse technique documentant une campagne malveillante exploitant CVE-2026-35616, une vulnérabilité de contrôle d’accès inapproprié dans FortiClient EMS (Endpoint Management Server). La vulnérabilité avait été signalée à Fortinet le 31 mars 2026, après observation d’une exploitation active dans la nature. 🎯 Vecteur d’accès initial CVE-2026-35616 permet à des acteurs non authentifiés de contourner l’authentification API de FortiClient EMS en envoyant des requêtes HTTP spécialement forgées, traitées comme des actions administratives légitimes. Les attaquants ont ensuite effectué des connexions malveillantes depuis plusieurs adresses IP de nœuds de sortie Tor : ...

🔍 Contexte Source : BleepingComputer, publié le 23 mai 2026. Des firmes de sécurité StepSecurity, Aikido Security et Socket ont alerté simultanément d’une attaque de type supply chain ciblant les packages de localisation Laravel Lang, distribués via le gestionnaire de dépendances PHP Composer. ⚙️ Mécanisme d’attaque Les attaquants n’ont pas modifié le code source des projets, mais ont réécrit les tags Git existants dans quatre dépôts pour les faire pointer vers des commits malveillants hébergés dans un fork contrôlé par l’attaquant. Cette technique exploite une fonctionnalité GitHub permettant aux tags de référencer des commits dans des forks. ...

🔍 Contexte Source : StepSecurity (blog officiel), publié le 18 mai 2026. L’article constitue une analyse technique détaillée d’un incident de supply chain ayant ciblé l’extension nrwl.angular-console (Nx Console) pour Visual Studio Code, comptant plus de 2,2 millions d’installations. 🎯 Vecteur d’accès initial L’attaquant a obtenu un token GitHub personnel (PAT) d’un contributeur Nx lors d’un incident de supply chain antérieur non identifié publiquement. Ce token disposait d’un accès en écriture au dépôt nrwl/nx et, directement ou indirectement, aux credentials de publication VS Code Marketplace (VSCE_PAT). ...

🗓️ Contexte Le 11 mai 2026, Wiz publie une analyse technique détaillant une attaque coordonnée de supply chain menée par le groupe TeamPCP contre les écosystèmes npm et PyPI. Cette campagne, désignée Mini Shai-Hulud, représente une évolution des opérations précédentes du même acteur (SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy). 🎯 Packages compromis Les namespaces et packages impactés incluent : @tanstack : dont @tanstack/react-router (~12 millions de téléchargements hebdomadaires) @uipath : outils d’automatisation enterprise (apollo-core, CLI, agent SDKs) @mistralai/mistralai : client TypeScript officiel de Mistral AI guardrails-ai (PyPI) : package Python de guardrails LLM mistralai (PyPI) Plusieurs dizaines d’autres packages npm (voir liste complète) 🔓 Vecteur d’infection TanStack (chaîne de 3 vulnérabilités GitHub Actions) L’attaquant crée un fork renommé du dépôt TanStack/router (zblgg/configuration) pour échapper aux recherches de forks Ouverture d’une pull request déclenchant un workflow pull_request_target qui exécute le code du fork et empoisonne le cache GitHub Actions (pnpm store) Lors de la fusion de PRs légitimes, le workflow de release restaure le cache empoisonné ; des binaires contrôlés par l’attaquant extraient des tokens OIDC directement depuis la mémoire du runner (/proc/<pid>/mem) Publication de versions malveillantes sans vol de credentials npm 🐛 Vecteurs d’infection dans les packages @tanstack : entrée optionalDependencies pointant vers un commit orphelin + fichier obfusqué router_init.js (~2,3 Mo) dans le tarball @uipath : script preinstall (node setup.mjs) téléchargeant le runtime Bun pour exécuter le payload — même mécanisme que le compromis SAP précédent PyPI : 13 lignes de code téléchargeant et exécutant git-tanstack[.]com/tmp/transformers.pyz 💀 Comportement du payload Le payload est un credential stealer auto-propagant (worm) ciblant : ...

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🎯 Contexte L’article est publié le 25 avril 2026 par StepSecurity, société spécialisée en sécurité de la chaîne d’approvisionnement logicielle. Il documente la compromission du package Python elementary-data (outil de data observability pour dbt) via une attaque de supply chain ciblant l’infrastructure CI/CD du projet. 🔓 Vecteur d’attaque : injection de script GitHub Actions L’attaquant, opérant depuis le compte GitHub realtungtungtungsahur (créé le 22 avril 2026), a exploité une vulnérabilité d’injection de script dans le workflow .github/workflows/update_pylon_issue.yml. Ce workflow interpolait directement ${{ github.event.comment.body }} dans un bloc run:, permettant l’exécution de code arbitraire via un simple commentaire sur la PR #2147. ...

🗓️ Contexte Publié le 28 mars 2026 par BleepingComputer, cet article rapporte une attaque de la chaîne d’approvisionnement ciblant le package PyPI officiel Telnyx SDK, détecté par les firmes Aikido, Socket et Endor Labs, et attribué au groupe TeamPCP. 🎯 Déroulement de l’attaque Les attaquants ont compromis le compte de publication PyPI de Telnyx via des credentials volés Version 4.87.1 publiée à 03:51 UTC avec un payload malveillant non fonctionnel Version 4.87.2 publiée à 04:07 UTC avec le payload corrigé et opérationnel Le code malveillant est injecté dans telnyx/_client.py, s’exécutant automatiquement à l’import du module 🦠 Comportement du malware Sur Linux/macOS : ...

🎯 Contexte Source : Wiz Research, publié le 20 mars 2026. Le 19 mars 2026, des acteurs malveillants se désignant sous le nom TeamPCP ont mené une attaque de supply chain ciblant Aqua Security’s Trivy, un scanner de vulnérabilités open source largement utilisé dans les environnements DevSecOps et CI/CD. 🔍 Déroulement de l’attaque L’attaque s’est déroulée en plusieurs étapes : Commits impersonateurs : TeamPCP a poussé des commits malveillants en usurpant l’identité des utilisateurs rauchg (sur actions/checkout) et DmitriyLewen (sur aquasecurity/trivy). Tag v0.69.4 malveillant : À 17:43:37 UTC, le tag v0.69.4 a été poussé, déclenchant la publication de binaires backdoorés sur GitHub Releases, Docker Hub, GHCR et ECR. Domaine typosquatté : Le code malveillant contactait scan.aquasecurtiy[.]org (résolvant vers 45.148.10.212) pour l’exfiltration. Compromission du compte aqua-bot : L’attaquant a abusé de ce compte pour pousser des workflows malveillants vers tfsec, traceeshark et trivy-action, volant des clés GPG, credentials Docker Hub, Twitter et Slack. Force-push de tags : 75 sur 76 tags de trivy-action et 7 tags de setup-trivy ont été écrasés par des versions malveillantes. Expansion vers npm : Le 22 mars, TeamPCP a étendu ses opérations à l’écosystème npm via un worm nommé CanisterWorm exploitant des tokens de publication volés. Images Docker malveillantes : Les versions 0.69.5 et 0.69.6 de Trivy ont été publiées sur Docker Hub le 22 mars vers 16:00 UTC. 🦠 Comportement du malware Dans les GitHub Actions (trivy-action / setup-trivy) Payload en 3 étapes : ...