Infostealer

Selon Socket (socket.dev), une nouvelle attaque de chaîne d’approvisionnement visant l’écosystème Trivy a été détectée à partir d’environ 19:15 UTC, distincte du précédent incident OpenVSX/VS Code. L’attaque cible l’action GitHub officielle aquasecurity/trivy-action et transforme des références de versions largement utilisées en vecteur de distribution d’un infostealer. L’acteur a force-push 75 des 76 tags de version du dépôt aquasecurity/trivy-action afin de les faire pointer vers de nouveaux commits malveillants, tout en conservant une apparence légitime via des métadonnées spoofées. Plus de 10 000 workflows GitHub référencent ces tags, amplifiant le rayon d’impact. Les tags compromis « restent actifs » au moment de la rédaction. Le tag 0.35.0 est le seul non empoisonné, car il pointe déjà vers le commit parent utilisé par l’attaquant (57a97c7e). Des indices de fraude incluent l’absence de signatures GPG d’origine, des dates incohérentes (dates anciennes avec un parent de mars 2026) et des commits ne modifiant que entrypoint.sh. Des « releases immuables » ont été publiées lors du poisonnement, compliquant le rétablissement. Homebrew a déjà amorcé des retours arrière. ...

Source: tip-o-deincognito (write-up technique). Contexte: analyse statique et surveillance live (57 h) d’une variante GlassWorm macOS distribuée via des extensions Open VSX compromises, avec mise en évidence d’un C2 résilient (BitTorrent DHT + Solana), d’un stealer multi-cibles et d’un RAT persistant. • Infection supply chain via extensions VS Code (compte “oorzc” — ssh-tools, i18n-tools-plus, mind-map, scss-to-css-compile, 22k+ téléchargements). Le package npm injecte un preinstall.js contenant une stéganographie Unicode (sélecteurs de variation) pour dissimuler le blob AES-256-CBC menant au loader Stage 1. Exclusion CIS via détection de locale russe + fuseau/offset. Un kill switch base64 de 20 caractères est géré côté Stage 1 (eval), mais échoue côté RAT persistant. ...

Publié par Darknet.org.uk, cet article propose une analyse du credential stuffing en 2025, décrivant la chaîne allant des malwares infostealers à la revente de combolists, jusqu’aux attaques d’Account Takeover (ATO) automatisées à l’échelle industrielle. Credential stuffing : principal vecteur d’intrusion dans les entreprises Contexte Les identifiants compromis sont désormais le moyen d’accès initial le plus fiable pour pénétrer les réseaux d’entreprise. Selon le Verizon Data Breach Investigations Report (DBIR) 2025 : ...

Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisé depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dès 30 $, et présenté publiquement comme « logiciel de surveillance » alors qu’il est centré sur le vol d’identifiants à grande échelle. 🔐 Langage et évasion. DarkCloud est écrit en Visual Basic 6.0 et compilé en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait à réduire les détections par rapport à des équivalents C/C++ selon des scans VirusTotal effectués par les analystes. L’outil emploie une obfuscation/ chiffrement de chaînes en couches, fondée sur le PRNG VB6 (Rnd()) avec clés Base64, chaînes hex, calcul de seed custom, reset du PRNG à un état connu, puis itérations pour reconstruire les chaînes en clair — une approche visant à complexifier l’analyse sans recourir à une crypto innovante. 🧪 ...

Selon Securelist (Kaspersky), des chercheurs ont analysé « Arkanix Stealer », un infostealer en C++ et Python opéré en MaaS avec panneau de contrôle, modules configurables et programme de parrainage. Découvert via des annonces de forums en octobre 2025, il a fonctionné plusieurs mois avant que le panel et le Discord ne soient retirés vers décembre 2025. L’outil visait un large spectre de données, du système aux navigateurs, en passant par Telegram, Discord, VPN et fichiers sensibles. ...

Source: Hudson Rock — Analyse publiée en février 2026 détaillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employé IT de Conpet et le déploiement ultérieur du ransomware Qilin, revendiqué avec près de 1 To de données volées. Conpet, opérateur national roumain d’oléoducs, a confirmé une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de données (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommée DESKTOP-TCR5GQM utilisée par un employé IT de Conpet et infectée par un infostealer le 11 janvier 2026 (détectée le 12 janvier par Hudson Rock). 🔍 ...

Zscaler ThreatLabz publie une analyse technique d’« Marco Stealer », observé pour la première fois en juin 2025. Le malware cible prioritairement les données de navigateurs, les portefeuilles de cryptomonnaies et des fichiers sensibles, en chiffrant les exfiltrations et en employant de multiples mécanismes d’évasion. • Chaîne d’attaque et anti-analyse 🧪 Un téléchargeur (downloader) déchiffre des chaînes (AES-128 ECB) pour générer et exécuter une commande PowerShell téléchargeant l’exécutable de Marco Stealer depuis une URL externe vers %TEMP%. Mutex statique: Global\ItsMeRavenOnYourMachineed ; PDB: C:\Users\marco\Desktop\Builder\Builder\Client\Client\x64\Release\Client.pdb. Chaînes chiffrées par un algorithme ARX (proche de ChaCha20), déchiffrées à l’exécution. Détection/arrêt d’outils d’analyse (ex. x64dbg, Wireshark, Process Hacker, OllyDbg, et une longue liste en annexe) via inspection des métadonnées de version des exécutables. Vérification de connectivité (google.com) sinon auto-suppression; récupération IP et pays via ipinfo.io. • Collecte et périmètre visé 🕵️‍♂️ ...

Type d’article :* fuite massive de données / menace liée aux infostealers Source : WIRED Découverte : Jeremiah Fowler (chercheur en sécurité) Nature de l’incident : base de données publique non protégée Période d’observation : plusieurs semaines avant suppression 🎯 Faits clés Une base de données non sécurisée contenant 149 millions de paires identifiants/mots de passe a été découverte puis supprimée après signalement. Les données étaient librement accessibles via un simple navigateur web et continuaient de croître pendant la période d’observation. ...

Selon Daylight Security (équipe MDR), une campagne d’infostealer active cible des utilisateurs macOS et Windows via l’empoisonnement SEO et des dépôts GitHub frauduleux se faisant passer pour des outils légitimes (ex. PagerDuty), avec une infrastructure toujours active depuis 2025. • Les acteurs manipulent les résultats de recherche Google pour placer de faux dépôts GitHub en tête, contenant uniquement un README.md et renvoyant vers des pages GitHub Pages. Plus de 20+ dépôts malveillants sont actifs depuis septembre 2025; la campagne, déjà signalée par Jamf et LastPass, reste hautement active en janvier 2026. ...

Source: CyberArk Labs — Dans un billet de recherche publié le 15 janvier 2026, les chercheurs décrivent l’exploitation d’une vulnérabilité XSS dans le panneau web de l’infostealer StealC (MaaS) qui leur a permis d’observer les opérateurs, de détourner leurs sessions via cookies non protégés et de documenter une campagne active liée à YouTube. — Contexte et vulnérabilité — • StealC, vendu en modèle MaaS depuis 2023, a connu une fuite de son panneau web au printemps 2025, peu après le passage à StealC v2, suivie d’un teardown critique de TRAC Labs. • Les chercheurs de CyberArk ont trouvé une XSS « simple » dans le panneau et, en l’exploitant, ont pu récupérer des cookies de session (absence de HttpOnly) et prendre le contrôle de sessions opérateurs — ironique pour une opération dédiée au vol de cookies 🍪. ...