Incident Response

Selon l’annonce du projet « witr » publiée le 4 janvier 2026, l’outil vise à répondre à la question « Why is this running? » en exposant la chaîne causale menant à l’existence d’un processus. Le projet open‑source witr fournit une vue causale, lisible et unifiée expliquant pourquoi un processus/service/port est actif, sur Linux et macOS. witr privilégie l’explication plutôt que l’énumération d’états. Il part d’une cible (nom de processus/service, PID ou port) et reconstruit la chaîne d’ascendance jusqu’à la source (ex. systemd, launchd, docker, pm2, cron, shell interactif). La sortie standard comprend la cible, les métadonnées du processus, la section clé « Why It Exists », la source principale unique, le contexte (répertoire, dépôt Git/branche, conteneur, exposition réseau) et des avertissements comme processus root, écoute sur 0.0.0.0, multiples redémarrages, mémoire élevée, uptime > 90 jours. ...

Source : Elcomsoft Blog — Dans un guide détaillé orienté forensique et réponse à incident, l’article explique l’exploitation de la base Windows SRUM pour retracer l’activité utilisateur et réseau sur une fenêtre glissante de 30 jours. 🔎 SRUM conserve des historiques sur l’usage d’applications et l’activité réseau utiles pour reconstruire des chronologies lors d’incidents. L’article présente ses capacités, ses limites et des méthodes pratiques d’accès/analyses adaptées aux enquêtes numériques. 🗂️ Sur le plan technique, la base SRUDB.dat repose sur le format ESE (Extensible Storage Engine) et journalise notamment : lancements de processus, connexions réseau, CPU, I/O disque, consommation énergétique. Les enregistrements incluent des noms de processus, emplacements de fichiers, comptes d’exécution, horodatages, ainsi que des métadonnées réseau (adresses IP, ports). ...

L’article publié le 28 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement qui a compromis la version 0.5.15 du package Python populaire num2words, potentiellement liée à l’acteur de menace connu sous le nom de Scavenger. Le package malveillant a été publié sur PyPI sans les balises de dépôt correspondantes, ce qui a immédiatement suscité des inquiétudes. Grâce à une réponse rapide de la communauté et à la suppression rapide par PyPI, des dommages plus importants ont été évités. Les organisations utilisant ce package sont invitées à vérifier immédiatement leurs environnements, à rétrograder à une version antérieure non compromise, et à mettre en œuvre des mesures de sécurité renforcées pour la chaîne d’approvisionnement. ...

L’article publié le 18 juillet 2025 par StepSecurity.io met en lumière un incident de sécurité de la chaîne d’approvisionnement impliquant le package npm populaire eslint-config-prettier. Plusieurs versions de ce package (10.1.6 à 10.1.9) ont été publiées avec des modifications malveillantes, sans changement de code correspondant dans le dépôt officiel. Les versions compromises contiennent un payload spécifique à Windows qui exécute un fichier DLL, ce qui pourrait affecter des milliers de projets mis à jour automatiquement par des outils de gestion de dépendances. Les organisations sont invitées à auditer immédiatement leurs dépendances et à revenir à des versions plus sûres pendant que l’enquête se poursuit. ...