Electron

🗓️ Contexte Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones. 🎣 Vecteur d’infection La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft. ...

🔍 Contexte Publié le 8 avril 2026 par Bobby Gould et Michael DePlante sur le blog de la Zero Day Initiative (ZDI), cet article détaille une vulnérabilité structurelle dans la résolution de modules Node.js sur Windows, initialement signalée en septembre 2024 par un chercheur anonyme. ⚙️ Cause racine Lorsqu’une application Node.js appelle require('bar'), le runtime parcourt une liste de chemins jusqu’à atteindre C:\node_modules. Sur Windows, tout utilisateur peu privilégié peut créer ce répertoire et y déposer un module malveillant. Si la dépendance légitime est absente (optionnelle, supprimée en production, ou non installée), Node.js charge et exécute le fichier malveillant dans le contexte de l’utilisateur courant. ...

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Source: Socket (équipe de recherche). Le billet détaille une campagne où un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de détourner des transactions vers des adresses contrôlées par l’attaquant. 🚨 Le paquet nodejs-smtp se fait passer pour un mailer légitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour décompresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injecté remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à réinstallation depuis la source officielle. ...

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...