macOS.Gaslight : backdoor Rust DPRK avec injection de prompt anti-LLM et C2 Telegram

🔍 Contexte PubliĂ© le 23 juin 2026 par SentinelLABS (Phil Stokes), cet article prĂ©sente l’analyse technique d’un implant macOS baptisĂ© macOS.Gaslight, dĂ©couvert aprĂšs une mise Ă  jour XProtect d’Apple dĂ©but juin 2026. L’échantillon avait Ă©tĂ© soumis sur VirusTotal le 22 mai 2026 et restait non dĂ©tectĂ© par les moteurs statiques au moment de la publication. 🎯 Attribution et cluster SentinelLABS attribue avec haute confiance cet implant Ă  un cluster d’activitĂ© macOS alignĂ© DPRK (CorĂ©e du Nord). Apple dĂ©tecte l’échantillon sous la rĂšgle XProtect MACOS_BONZAI_COBUCH, famille associĂ©e par SentinelLABS Ă  l’activitĂ© nord-corĂ©enne. Un Ă©chantillon BONZAI frĂšre est Ă©galement dĂ©tectĂ© par la rĂšgle AIRPIPE, Ă©galement liĂ©e Ă  la CorĂ©e du Nord. ...

26 juin 2026 Â· 4 min

Attaque supply chain via astro.config.mjs avec C2 blockchain sur dépÎt GitHub populaire

🔍 Contexte Analyse technique publiĂ©e le 12 juin 2026 par SafeDep, documentant une attaque de type supply chain ciblant le dĂ©pĂŽt open source Egonex-AI/Understand-Anything (outil code-to-knowledge-graph, 57 000+ Ă©toiles GitHub). L’article est une analyse post-mortem dĂ©taillĂ©e avec dĂ©obfuscation complĂšte du payload. 🎯 Vecteur d’attaque L’acteur AsimRaza10 a soumis trois pull requests frauduleuses (PR #198, #206, #261) entre le 24 et le 26 mai 2026, toutes pointant vers le mĂȘme commit malveillant (8d30be36). Chaque PR prĂ©sentait une description lĂ©gitime fictive (correction React, Ă©dition README, fichiers de santĂ© communautaire) ne correspondant pas au diff rĂ©el. Les deux seuls fichiers modifiĂ©s Ă©taient : ...

21 juin 2026 Â· 4 min

Grixba : Analyse technique approfondie de l'outil d'information du groupe Play Ransomware

🔍 Contexte PubliĂ© le 8 juin 2026 sur The Raven File, cet article constitue une analyse technique approfondie de Grixba, l’outil de reconnaissance interne dĂ©veloppĂ© par le groupe Play Ransomware (actif depuis 2022, 1200+ victimes). L’analyse couvre quatre Ă©chantillons compilĂ©s entre septembre 2022 et novembre 2024, soit une pĂ©riode de 26 mois. 🎯 PrĂ©sentation de Grixba Grixba est un infostealer/scanner rĂ©seau personnalisĂ© dĂ©veloppĂ© en .NET avec Costura pour l’intĂ©gration des dĂ©pendances. Il est utilisĂ© en phase de prĂ©-chiffrement pour cartographier l’environnement cible : ...

13 juin 2026 Â· 4 min

HexagonalRodent : le sous-groupe DPRK qui industrialise le vol de crypto via l'IA

🌐 Contexte PubliĂ© le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article prĂ©sente les rĂ©sultats d’une investigation approfondie sur un groupe APT nord-corĂ©en (DPRK) nouvellement nommĂ© Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et Ă©valuĂ© avec haute confiance comme Ă©tant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les dĂ©veloppeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaĂźne d’infection repose sur : ...

22 avril 2026 Â· 4 min

Infrastructure de faux travailleurs IT nord-coréens exposée via analyse réseau et VPN

🔍 Contexte PubliĂ© le 22 avril 2026 par Team Cymru, ce rapport fait suite Ă  une divulgation du chercheur en sĂ©curitĂ© crypto ZachXBT, qui a identifiĂ© le domaine luckyguys[.]site comme liĂ© Ă  des paiements associĂ©s Ă  des faux travailleurs IT nord-corĂ©ens (DPRK). L’analyse porte sur 30 jours d’activitĂ© rĂ©seau autour de cette infrastructure. 🌐 Infrastructure identifiĂ©e Le domaine luckyguys[.]site rĂ©solvait vers l’IP 163.245.219[.]19 au moment de l’analyse Une seconde IP, 216.158.225[.]144, a Ă©tĂ© dĂ©couverte via l’analyse de certificats X509 portant le mĂȘme nom de domaine Les deux IPs ont montrĂ© une chute brutale de trafic aprĂšs le 8 avril, date de l’exposition publique par ZachXBT, cohĂ©rente avec l’abandon rapide d’infrastructure post-attribution 🔒 Patterns VPN observĂ©s Les connexions VPN vers l’IP identifiĂ©e se rĂ©partissent ainsi : ...

22 avril 2026 Â· 2 min

Omnistealer : un malware nord-coréen persistant dans la blockchain vole 300 000 credentials

đŸ—žïž Contexte Article de presse spĂ©cialisĂ©e publiĂ© le 11 avril 2026 par PCMag, basĂ© sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquĂȘte a dĂ©butĂ© lorsque le vice-prĂ©sident ingĂ©nierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, rĂ©vĂ©lant une campagne d’attaque d’envergure mondiale. 🎯 Description de l’attaque La chaĂźne d’attaque repose sur plusieurs Ă©tapes : Vecteur initial : fausses offres d’emploi diffusĂ©es via LinkedIn, Upwork, Telegram et Discord, ciblant des dĂ©veloppeurs freelance (notamment en Inde et en Asie du Sud) Infection : les cibles sont invitĂ©es Ă  exĂ©cuter du code depuis des dĂ©pĂŽts GitHub infectĂ©s Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour rĂ©cupĂ©rer un pointeur vers la Binance Smart Chain, qui hĂ©berge le payload final Persistance : le malware est encodĂ© dans des transactions blockchain, le rendant impossible Ă  supprimer et de plus en plus difficile Ă  tracer 🩠 Malware : Omnistealer Le malware baptisĂ© Omnistealer est compatible avec : ...

19 avril 2026 Â· 3 min

Campagne d'ingénierie sociale sur Slack ciblant les développeurs open source via usurpation d'identité

🎯 Contexte Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publiĂ© une alerte de haute sĂ©vĂ©ritĂ© concernant une campagne active ciblant les dĂ©veloppeurs open source via Slack. L’analyse dĂ©taillĂ©e a Ă©tĂ© publiĂ©e par Socket le 8 avril 2026. đŸ•”ïž MĂ©canisme d’attaque L’attaque se dĂ©roule en quatre Ă©tapes : Usurpation d’identitĂ© : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dĂ©diĂ© aux OSPO). Phishing : la victime reçoit un message direct avec un lien vers https://sites.google.com/view/workspace-business/join, hĂ©bergĂ© sur l’infrastructure lĂ©gitime Google Sites pour contourner les filtres de sĂ©curitĂ©. Collecte de credentials : un faux flux d’authentification rĂ©colte l’adresse email et un code de vĂ©rification. Livraison de malware : la victime est invitĂ©e Ă  installer un faux « certificat Google » (certificat racine malveillant). đŸ’» Divergence par plateforme macOS : un script tĂ©lĂ©charge et exĂ©cute un binaire nommĂ© gapi depuis l’IP distante 2.26.97.61, pouvant mener Ă  une compromission totale du systĂšme. Windows : installation du certificat malveillant via une boĂźte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffrĂ©. 🎣 Leurre utilisĂ© L’attaquant a utilisĂ© le prĂ©texte d’un outil d’IA privĂ© censĂ© analyser les dynamiques de projets open source et prĂ©dire les contributions acceptĂ©es. Le message insistait sur l’exclusivitĂ© de l’accĂšs. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clĂ© d’accĂšs (CDRX-NM71E8T). ...

8 avril 2026 Â· 3 min

TasksJacker : campagne DPRK compromet 400+ dépÎts GitHub via VS Code tasks.json et C2 blockchain

🔍 Contexte Rapport publiĂ© le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation dĂ©butĂ©e le 31 janvier 2026. L’analyse documente une campagne active baptisĂ©e TasksJacker, attribuĂ©e avec un niveau de confiance MEDIUM-HIGH Ă  des acteurs liĂ©s Ă  la CorĂ©e du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dĂ©pĂŽts GitHub compromis. La fonctionnalitĂ© "runOn": "folderOpen" de VS Code dĂ©clenche automatiquement l’exĂ©cution d’une commande shell dĂšs qu’un dĂ©veloppeur ouvre le dossier clonĂ© — sans interaction utilisateur supplĂ©mentaire. ...

2 avril 2026 Â· 4 min

FlexibleFerret cible macOS via de faux tests de recrutement et installe un backdoor multi‑étapes

Source: Jamf Threat Labs (blog Jamf). Contexte: poursuite de la campagne « Contagious Interview » attribuĂ©e Ă  des opĂ©rateurs alignĂ©s DPRK et dĂ©jĂ  signalĂ©e par SentinelOne et Validin, avec de nouveaux leurres et une chaĂźne d’infection remaniĂ©e ciblant macOS. ‱ Social engineering (phase 1) 🎣: des sites de faux recrutements comme evaluza[.]com et proficiencycert[.]com guident les victimes Ă  travers un « hiring assessment » puis leur demandent d’exĂ©cuter une commande Terminal prĂ©tendument nĂ©cessaire pour dĂ©bloquer camĂ©ra/micro. Le JavaScript assemble une commande curl qui tĂ©lĂ©charge un chargeur vers /var/tmp/macpatch.sh, le rend exĂ©cutable et l’exĂ©cute en arriĂšre‑plan. ...

27 novembre 2025 Â· 3 min

DPRKxa0: des «xa0IT workersxa0» deviennent recruteurs pour industrialiser l’usurpation d’identitĂ©s sur les plateformes freelance

Source et contexte: SEAL Intel publie une analyse dĂ©taillĂ©e dĂ©crivant une Ă©volution des tactiques des « IT Workers » liĂ©s Ă  la DPRK, qui agissent dĂ©sormais comme recruteurs pour scaler l’accĂšs Ă  des comptes vĂ©rifiĂ©s sur des plateformes freelance et opĂ©rer sous des identitĂ©s lĂ©gitimes. ‱ Le rapport met en Ă©vidence l’émergence d’un modĂšle opĂ©rationnel en 8 Ă©tapes, partagĂ© depuis 2024, oĂč des profils DPRK passent du simple job-seeking au recrutement coordonnĂ© de « collaborateurs ». Objectif: obtenir des comptes vĂ©rifiĂ©s et des IP propres pour contourner les contrĂŽles, tout en obscurcissant l’attribution et en maximisant les revenus. ...

15 novembre 2025 Â· 3 min
Derniùre mise à jour le: 2 juillet 2026 📝