https://cyberveille.ch/tags/cve-2025-54068/ Recent content in CVE-2025-54068 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-des-hackers-utilisent-claude-et-codex-comme-agents-autonomes-pour-compromettre-des-entreprises/ Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-des-hackers-utilisent-claude-et-codex-comme-agents-autonomes-pour-compromettre-des-entreprises/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 16 juin 2026 par OALABS (OpenAnalysis), cet article présente une analyse forensique inédite de plus de 1 000 sessions d&rsquo;agents IA récupérées sur un serveur compromis ayant servi de pivot à un attaquant. La source primaire est le répertoire de travail de l&rsquo;attaquant, copié avant nettoyage du serveur.</p> <h2 id="-vecteur-initial-et-chaîne-de-compromission">🧩 Vecteur initial et chaîne de compromission</h2> <p>L&rsquo;attaquant a <strong>volé une instance Claude Code</strong> appartenant à un développeur tchèque hébergée sur un serveur <strong>Hetzner</strong>. Ce développeur avait des pratiques de sécurité défaillantes (credentials collés dans les prompts, services exposés sur internet, mots de passe simples). Le <strong>2 février 2026</strong>, le serveur du développeur est compromis ; le <strong>16 février 2026</strong>, l&rsquo;intégralité de l&rsquo;instance Claude (avec tout l&rsquo;historique de sessions) est copiée sur un hôte <strong>Vultr</strong> contrôlé par l&rsquo;attaquant.</p>