Crypto

🔍 Contexte Article de recherche publié le 28 avril 2026 par Ax Sharma (Manifold Security). L’analyse porte sur 30 skills publiés sur la plateforme ClawHub par un auteur unique nommé imaflytok, totalisant environ 9 800 téléchargements. ⚙️ Mécanisme technique Les skills utilisent un protocole maison appelé Open Agent Discovery Protocol (OADP) dont tous les endpoints pointent vers onlyflies.buzz/clawswarm. Le vecteur d’infection repose sur : Un commentaire HTML caché dans un fichier AGENTS.md créé dans le workspace de l’agent au premier lancement L’agent lit ce fichier à chaque démarrage de session et envoie une requête d’enregistrement vers https://onlyflies.buzz/clawswarm/api/v1/agents/register Le serveur retourne un ID et un secret stockés dans ~/.config/clawswarm/credentials.json Un fichier HEARTBEAT.md déclenche un check-in toutes les 4 heures pour récupérer des tâches Le skill clawswarm-wallet génère une clé privée Hedera (HBAR) et l’envoie au serveur Le skill oadp-beacon propage les marqueurs OADP dans d’autres fichiers du workspace Le hostname de la machine est exfiltré lors du ping d’enregistrement 🎯 Objectif de la campagne Les skills fournissent une utilité réelle (gestion de cron, variables d’environnement, initialisation de workspace) pour passer les inspections superficielles. En réalité, ils constituent un funnel d’acquisition pour un réseau d’agents économiques centré sur le token $FLY (créé le 30 décembre 2024), avec un groupe Telegram de 32 membres publiant des rapports de suivi de baleines Hedera. ...

🔍 Contexte Analyse publiée le 30 mars 2026 par StepSecurity, portant sur une attaque de supply chain découverte sur le VS Code Marketplace. Trois extensions publiées par le compte IoliteLabs — solidity-macos, solidity-windows et solidity-linux — ont été simultanément mises à jour en version 0.1.8 le 25 mars 2026, après être restées dormantes depuis 2018. Ces extensions totalisaient environ 27 500 installations combinées. 🎯 Vecteur d’attaque L’attaquant a compromis le compte éditeur IoliteLabs sur le VS Code Marketplace (hijack de compte dormant), sans modifier le dépôt GitHub source. La version 0.1.8 a été publiée directement sur la marketplace sans commit correspondant. Le code malveillant n’est pas dans le point d’entrée de l’extension (extension.js) mais injecté dans une copie altérée de la dépendance npm légitime pako (node_modules/pako/index.js), dont le SHA-256 diffère de la version officielle. ...

Source: Check Point Research (publication du 7 janvier 2026). CPR analyse une variante 2025 de GoBruteforcer (GoBrut), un botnet modulaire en Go qui transforme des serveurs Linux compromis en nœuds de scan et de brute-force, avec un intérêt marqué pour des cibles crypto. Le botnet cible des services exposés (FTP, MySQL, PostgreSQL, phpMyAdmin) et se propage via une chaîne web shell → downloader → bot IRC → bruteforcer. Deux facteurs alimentent la vague actuelle: l’usage massif d’exemples de déploiement générés par IA 🧠 qui recyclent des noms d’utilisateurs/défauts faibles (ex. appuser, myuser) et la persistance de stacks legacy comme XAMPP exposant FTP/phpMyAdmin avec un durcissement minimal. Selon CPR, >50 000 serveurs exposés pourraient être vulnérables; Shodan relève ~5,7 M de FTP, 2,23 M de MySQL et 560 k de PostgreSQL accessibles. L’ensemble de mots de passe utilisé par GoBruteforcer chevauche à 2,44% une base de 10 M de mots de passe fuités, ce qui suggère qu’environ 54,6 k MySQL et 13,7 k PostgreSQL pourraient accepter l’un des mots de passe de l’attaquant. ...

Selon BleepingComputer, Trust Wallet pense que la compromission de son navigateur web, utilisée pour voler des fonds d’utilisateurs, est probablement liée à une attaque « industry‑wide » baptisée Sha1-Hulud survenue en novembre. L’incident a conduit au vol d’environ 8,5 millions de dollars depuis plus de 2 500 portefeuilles crypto. La compromission évoquée concerne le navigateur web associé à Trust Wallet. L’entreprise fait le lien avec l’attaque « Sha1-Hulud » qualifiée d’industry‑wide, suggérant une campagne plus large ayant touché plusieurs acteurs en novembre. ...

Source: Socket (Socket Threat Research Team). Contexte: publication détaillant une campagne npm où un acteur (« dino_reborn ») combine cloaking Adspect, anti‑analyse JavaScript et faux CAPTCHAs pour trier visiteurs/victimes et orchestrer des redirections vers des sites d’arnaques crypto. 🪤 Vue d’ensemble. Sept paquets npm sont impliqués: six contiennent un binaire JS (~39 kB) malveillant et un sert de page « blanche » (leurre). Le code s’exécute via IIFE, profile finement le visiteur, puis interroge l’API Adspect via des proxys PHP. Si le visiteur est jugé « chercheur », une page blanche (Offlido) s’affiche; sinon, une fausse CAPTCHA s’affiche puis ouvre un nouvel onglet vers une URL retournée dynamiquement par Adspect. Les marques affichées (standx.com, jup.ag, uniswap.org) servent à rendre la CAPTCHA crédible. ...

️ Résumé d’incident – Coinbase (15 mai 2025) Ce billet est une traduction et synthèse du post officiel publié par Coinbase intitulé “Protecting Our Customers - Standing Up to Extortionists”. Il détaille une tentative d’extorsion à 20 millions de dollars suite à une fuite de données clients impliquant des agents de support compromis à l’étranger. Coinbase refuse de céder au chantage et crée un fonds de récompense de 20 millions pour aider à identifier les criminels. Aucun mot de passe, clé privée ni fonds n’ont été compromis, et les clients touchés seront remboursés s’ils ont transféré des fonds suite à une escroquerie. ...