IOC

🎯 Contexte Source : Tenable Research Special Operations (RSO), publiée le 21 mai 2026. L’article présente une FAQ détaillée sur la campagne Mini Shai-Hulud, quatrième génération d’un ver auto-propagant opéré par le groupe TeamPCP, actif depuis septembre 2025 dans les écosystèmes npm et PyPI. 🐛 Évolution du ver Shai-Hulud Quatre générations ont été identifiées : Shai-Hulud (septembre 2025) : premier malware auto-réplicant observé dans npm, vol de tokens mainteneur SHA1-Hulud (novembre 2025) : fonctionnalité wiper et collecte de credentials améliorée SANDWORM_MODE (mars 2026) : ciblage adaptatif avec énumération des pipelines CI/CD Mini Shai-Hulud (avril 2026) : variante la plus destructrice, active au moment de la publication ⚙️ Capacités techniques de Mini Shai-Hulud Contournement des attestations SLSA Build Level 3 via Sigstore (première mondiale) Extraction de tokens OIDC depuis la mémoire du processus GitHub Actions runner Hooks de persistance ciblant les agents de codage IA et les IDEs développeurs Propagation cross-écosystème (npm et PyPI) Triple exfiltration redondante : serveur C2 dédié, réseau Session (décentralisé), dead drops via GitHub API 🔗 Trois chaînes d’attaque Vol de token + publication automatisée massive : hook preinstall téléchargeant le runtime Bun pour exécuter un payload obfusqué Hijack OIDC avec contournement de provenance (utilisé dans la vague TanStack) : extraction de token OIDC depuis la mémoire du runner, publication via le pipeline légitime avec attestation cryptographique valide Injection PyPI : dropper injecté dans le fichier d’initialisation du package, téléchargeant un payload depuis une infrastructure contrôlée par l’attaquant 🏛️ CVE associée CVE-2026-45321 (CVSSv3 : 9.6, VPR : 9.2) : injection de code malveillant dans 42 packages @tanstack via trois failles chaînées dans la configuration GitHub Actions de TanStack. L’attaquant a créé un fork sous un compte renommé, ouvert une PR déclenchant un workflow pull_request_target, empoisonné le cache GitHub Actions, puis extrait des tokens OIDC pour publier 84 versions malveillantes en moins de six minutes avec des attestations SLSA valides. ...

📡 Contexte Le 21 mai 2026, GreyNoise publie un signal d’alerte basé sur les données de son tag SonicWall SonicOS API Scanner, signalant une activité de scan anormalement élevée ciblant les interfaces de gestion SonicOS de SonicWall. 📊 Activité observée Entre le 9 et le 18 mai 2026, GreyNoise a enregistré un pic significatif de sessions de scan. Le 12 mai 2026 constitue le pic le plus élevé avec environ 597 000 sessions en une seule journée, soit environ 46 fois le volume quotidien habituel sur ce tag dans les 30 jours précédents. ...

🔍 Contexte Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées. 🎯 Vecteur d’infection et leurres Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape : ...

🔍 Contexte Source : StepSecurity (blog officiel), publié le 18 mai 2026. L’article constitue une analyse technique détaillée d’un incident de supply chain ayant ciblé l’extension nrwl.angular-console (Nx Console) pour Visual Studio Code, comptant plus de 2,2 millions d’installations. 🎯 Vecteur d’accès initial L’attaquant a obtenu un token GitHub personnel (PAT) d’un contributeur Nx lors d’un incident de supply chain antérieur non identifié publiquement. Ce token disposait d’un accès en écriture au dépôt nrwl/nx et, directement ou indirectement, aux credentials de publication VS Code Marketplace (VSCE_PAT). ...

🗓️ Contexte Article publié le 20 mai 2026 par Picus Security (picussecurity.com), rédigé par Umut Bayram. Il s’agit d’une analyse technique approfondie de la classe de vulnérabilités Dirty Frag, découverte et rapportée par Hyunwoo Kim (@v4bel), divulguée le 7 mai 2026. 🔍 Description de Dirty Frag Dirty Frag est une classe de vulnérabilités du noyau Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux. Elle repose sur l’enchaînement de deux vulnérabilités distinctes qui exploitent le mécanisme de zero-copy via splice() pour injecter une référence à une page du page cache en lecture seule dans un fragment (frag) d’un sk_buff, que le noyau modifie ensuite lors du traitement cryptographique en place. ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe LAT61 Threat Intelligence de Point Wild (Kedar Shashikant Pandit, Prathamesh Shingare, Amol Swami), cet article présente une analyse technique approfondie d’un échantillon Python packagé via PyInstaller, identifié comme un loader multi-étapes déployant le RAT XWorm V7.4. 🧩 Chaîne d’infection L’exécutable initial est détecté comme PyInstaller [modified], suggérant une altération délibérée pour entraver l’analyse statique. Après extraction, le fichier .pyc malveillant principal est identifié : BA4Q6ACPMNrd980FwZn9iEbEqkjvRmw7FhW.pyc. ...

🗓️ Contexte Article publié le 19 mai 2026 par Pieter Arntz sur le blog Malwarebytes. Il documente une campagne d’arnaque active sur Facebook ciblant des consommateurs en Australie, aux États-Unis et dans d’autres pays, en usurpant l’identité de la marque de supermarché Aldi. 🎣 Mécanisme de l’arnaque Des publications Facebook provenant de comptes compromis ou fictifs proposent des boîtes de viande Aldi à moins de 10 $, en utilisant une histoire personnelle fictive pour paraître crédibles. Le lien malveillant est posté en commentaire (et non dans le post principal) pour contourner la détection automatique de la plateforme, via le service de raccourcissement d’URL cutt[.]ly. ...

🎯 Contexte Article publié le 19 mai 2026 par Snyk (blog.snyk.io), rédigé par Liran Tal. Il documente une attaque de supply chain active sur le registre npm, ciblant l’écosystème de visualisation de données @antv (suite originaire d’Alibaba). 🔥 Incident Le 19 mai 2026 entre 01:39 et 02:06 UTC, le groupe TeamPCP (alias : DeadCatx3, PCPcat) a publié 637 versions malveillantes sur 323 packages npm en deux vagues automatisées de 22 minutes. Le vecteur initial est la compromission du compte npm atool, qui maintient 547 packages représentant environ 16 millions de téléchargements hebdomadaires. ...

🌐 Contexte Darktrace a publié le 14 mai 2026 une analyse technique détaillée d’une campagne d’intrusion attribuée avec confiance modérée à Twill Typhoon, un acteur de menace à nexus chinois. La campagne cible principalement des environnements clients dans la région Asie-Pacifique & Japon (APJ), avec une activité observée depuis fin septembre 2025 jusqu’en avril 2026. 🎯 Vecteurs et méthodes d’attaque La chaîne d’infection repose sur plusieurs techniques combinées : Usurpation de CDN : les hôtes compromis émettent des requêtes HTTP GET vers des domaines imitant Yahoo et Apple (ex: yahoo-cdn.it.com) DLL sideloading : un binaire légitime (ex: biz_render.exe de Sogou Pinyin IME) charge une DLL malveillante (browser_host.dll) portant le même nom que la DLL légitime attendue AppDomain hijacking via ClickOnce : dfsvc.exe (moteur ClickOnce Windows) est utilisé avec un fichier .config malveillant pour forcer le chargement de dnscfg.dll Exécution en mémoire : le loader utilise le CLR Windows pour exécuter des assemblies .NET directement en mémoire 🔧 Payload principal : FDMTP v3.2.5 Le payload central est dnscfg.dll (alias Client.TcpDmtp.dll), identifié comme une version mise à jour (3.2.5) du backdoor FDMTP. Il s’agit d’un RAT .NET modulaire fortement obfusqué qui : ...

🗓️ Contexte Source : The Register — Publié le 15 mai 2026. Cisco a publié un avis de sécurité d’urgence concernant une vulnérabilité de sévérité maximale affectant ses produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). 🔴 Vulnérabilité CVE-2026-20182 — Score CVSS : 10.0 (critique) Affecte tous les types de déploiement des deux composants Cause : mécanisme d’authentification par peering défaillant Permet à un attaquant non authentifié à distance de contourner l’authentification et d’obtenir des privilèges administrateur sur le système affecté Une fois authentifié, l’attaquant peut émettre des commandes NETCONF arbitraires, permettant : vol de données, interception de trafic, manipulation des règles de pare-feu, mise hors service du réseau 🕵️ Découverte et exploitation Vulnérabilité découverte par Stephen Fewer et Jonah Burgess de Rapid7, signalée début mars 2026 Cisco a confirmé en mai 2026 que CVE-2026-20182 avait été exploitée en zero-day Aucune attribution de l’activité d’exploitation n’a été communiquée Aucune exploitation dans le cadre d’attaques ransomware n’a été signalée La découverte fait suite à l’investigation d’un précédent zero-day : CVE-2026-20127 (CVSS 10.0, février 2026), également un contournement d’authentification dans Cisco Catalyst SD-WAN Controller 🏛️ Réponse institutionnelle La CISA a ajouté CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities (KEV) Les agences fédérales civiles (FCEB) ont 3 jours pour appliquer les correctifs — délai exceptionnellement court Cisco indique qu’aucun contournement (workaround) n’est disponible et recommande fortement l’application des correctifs 🔍 Indicateurs de compromission Cisco recommande d’auditer le fichier /var/log/auth.log pour détecter des entrées du type : ...