Indirect Prompt Injection

🔍 Contexte Publié le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (écosystème OpenClaw) pour la livraison de malwares déguisés en modèles, datasets et extensions légitimes. 🎯 Vecteurs d’attaque principaux ClawHub / OpenClaw 575 skills malveillants identifiés, distribués par 13 comptes développeurs Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%) Ciblage cross-platform : Windows et macOS Technique clé : indirect prompt injection — des instructions malveillantes cachées dans des fichiers SKILL.md ou README poussent les agents IA à exécuter des actions malveillantes Les skills instruisent les utilisateurs à télécharger des archives protégées par mot de passe et des binaires non vérifiés depuis GitHub Hugging Face Utilisé comme infrastructure de staging dans des chaînes d’infection multi-étapes Campagne ITHKRPAW : ciblage du secteur financier et d’entités au Vietnam, usage de Cloudflare Workers pour déployer un script PowerShell dropper, payload omni-agent-v4.exe déguisé en microsoft-update-assist.exe Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodé, dropper multi-étapes avec injection de processus dans explorer.exe, payload final déguisé en Windows Defender 🛠️ Techniques observées Social engineering via des noms de dépôts attractifs et README bien rédigés Obfuscation : encodage base64, XOR (clé 30 octets, clé 0xF1), chaînes déchiffrées à l’exécution In-memory execution et process injection dans explorer.exe Persistence : tâches planifiées (WindowsSystemService, RuntimeBrokerService), clés Run registry Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex C2 chiffré : canal AES-CBC sur HTTPS vers velvet-parrot.com:443 Dead-drop resolver via bot Telegram (t.me/dusty_vintage) Payload macOS : script shell téléchargé depuis IP 91.92.242.30, suppression des attributs étendus (xattr -c) 🦠 Payloads identifiés AMOS Stealer : infostealer macOS vendu en MaaS via Telegram Trojan (binaire Windows packé avec VMProtect) Cryptominer : déposé comme svchost.exe / RuntimeBroker.exe Loader : ClawHub-DependencyInstaller.exe avec déchiffrement AES-CBC en mémoire RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android) 📌 Type d’article Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant à documenter et quantifier l’abus des écosystèmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables. ...

Source : Varonis — Dans une publication axée « Threats and Vulnerabilities », Varonis décrit « ForcedLeak », une chaîne de vulnérabilités critique affectant la plateforme AI Agentforce de Salesforce. L’attaque permet l’exfiltration discrète de données CRM via des injections de prompts indirectes au sein des formulaires Web‑to‑Lead, en tirant parti de défauts de frontières de contexte d’agents et d’une politique CSP mal configurée. Le vecteur principal est une injection de prompt indirecte dans les soumissions Web‑to‑Lead : des instructions malveillantes sont dissimulées dans le champ Description (jusqu’à 42 000 caractères) et exécutées par des agents AI autonomes lors du traitement des leads, ce qui aboutit à l’envoi de données sensibles vers des domaines contrôlés par l’attaquant, en contournant les contrôles de sécurité. Les organisations utilisant Salesforce Agentforce avec Web‑to‑Lead sont exposées immédiatement ⚠️. ...

Johann Rehberger, un chercheur en sécurité, a découvert une vulnérabilité critique (CVE-2025-54132) dans l’éditeur de code Cursor AI. Cette faille permet aux attaquants de voler des informations sensibles à travers des diagrammes Mermaid malveillants. L’attaque repose sur des injections de commande qui peuvent exfiltrer des mémoires utilisateur, des clés API et d’autres données confidentielles vers des serveurs externes sans le consentement des utilisateurs. La vulnérabilité a été divulguée de manière responsable et corrigée dans la version Cursor v1.3. ...