IOC

Selon un billet de blog publié par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dépôt GitLab contenant une application Node.js trojanisée, conçue pour déployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusqué dissimulé en fin de fichier (server/controllers/userController.js) décode des variables d’environnement en Base64, récupère un payload distant hébergé sur jsonkeeper.com et l’exécute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-têtes HTTP dédiés. ...

Source et contexte: Proofpoint (Threat Insight) publie une analyse détaillée de l’activité 2025 de TA584, un broker d’accès initial (IAB) très actif, montrant une forte hausse du rythme opérationnel, des chaînes d’attaque en constante évolution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe présente un chevauchement avec Storm-0900. • Activité et cadence: En 2025, TA584 a triplé ses campagnes mensuelles (mars → décembre), privilégiant des opérations courtes et à fort turnover (heures à jours), avec des thèmes, marques et pages d’atterrissage fréquemment renouvelés. Cette variabilité soutenue vise à contourner les détections statiques et illustre une adaptation continue face à la pression défensive. ...

Source : Aphyr (blog). Dans un billet daté du 26 janvier 2026, l’auteur explique qu’une « chaîne magique » utilisée pour tester le comportement « cette conversation viole nos politiques et doit s’arrêter » de Claude peut être intégrée dans des fichiers ou pages web pour amener le modèle à interrompre une conversation lorsqu’il en lit le contenu. 🧪 Comportement observé Claude peut indiquer qu’il « télécharge » une page, mais consulte souvent à la place un cache interne partagé avec d’autres utilisateurs. Un contournement consiste à utiliser des URLs inédites (ex. test1.html, test2.html) pour éviter le cache. Dans les tests décrits, la chaîne est ignorée dans les en-têtes HTML ou les balises ordinaires (comme ) et doit être placée dans une balise pour déclencher le refus. Exemple donné : ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_1FAEFB6177B4672DEE07F9D3AFC62588CCD2631EDCF22E8CCC1FB35B501C9C86. 🛑 Mise en pratique ...

Selon Team82, une faille critique dans IDIS Cloud Manager Viewer (ICM) permet une exécution de code à distance en un clic (CVE-2025-12556, CVSS v4 8.7) sur Windows, affectant les écosystèmes de vidéosurveillance cloud d’IDIS. • Contexte: La transition des systèmes de vidéosurveillance IP vers des architectures cloud apporte de nouvelles surfaces d’attaque. IDIS, fabricant sud-coréen, propose ICM (cloud) et un Viewer Windows lancé via un service local (CWGService.exe) après authentification sur le portail web. ...

Source et contexte — Center for Security Studies (CSS), ETH Zürich. Le rapport “The ‘Red Hackers’ Who Shaped China’s Cyber Ecosystem” (juillet 2025) d’Eugenio Benincasa analyse l’évolution des groupes de hacktivistes patriotiques (« Honkers ») des années 1990‑2000 vers un écosystème moderne mêlant industrie privée, universités et intérêts étatiques. Le rapport décrit l’émergence des groupes historiques (Green Army, China Eagle Union, Honker Union of China, Xfocus, Ph4nt0m Security Team, 0x557, NCPH) dans un contexte de patriotisme, de défense par l’attaque et d’apprentissage « live-fire » (défacements, DDoS, Trojans). Malgré des communautés massives, l’activité reposait sur de petits noyaux d’experts. Des figures clés (« Red 40 ») ont durablement influencé la culture et les capacités offensives. ...

Selon Socket (Threat Research Team), cinq extensions Chrome malveillantes, atteignant plus de 2 300 utilisateurs, ciblent des plateformes RH/ERP (Workday, NetSuite, SAP SuccessFactors) afin de voler des jetons d’authentification, bloquer l’accès aux pages de sécurité et permettre le détournement de sessions. Les extensions sont publiées sous les identités « databycloud1104 » et « softwareaccess » et restent en cours d’investigation, avec des demandes de retrait soumises au Chrome Web Store. ...

Source et contexte: Okta Threat Intelligence publie une analyse décrivant plusieurs kits de phishing personnalisés, conçus pour soutenir des opérations de vishing en orchestrant en temps réel les sessions d’authentification côté victime. Les kits, proposés en modèle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisé avec le script du caller pour amener la victime à approuver des défis MFA ou à exécuter d’autres actions au profit de l’attaquant. 🎣☎️ ...

Selon Daylight Security (équipe MDR), une campagne d’infostealer active cible des utilisateurs macOS et Windows via l’empoisonnement SEO et des dépôts GitHub frauduleux se faisant passer pour des outils légitimes (ex. PagerDuty), avec une infrastructure toujours active depuis 2025. • Les acteurs manipulent les résultats de recherche Google pour placer de faux dépôts GitHub en tête, contenant uniquement un README.md et renvoyant vers des pages GitHub Pages. Plus de 20+ dépôts malveillants sont actifs depuis septembre 2025; la campagne, déjà signalée par Jamf et LastPass, reste hautement active en janvier 2026. ...

Selon l’enquête de Symantec et de la Carbon Black Threat Hunter Team, une nouvelle famille de ransomware baptisée Osiris a été observée lors d’une attaque en novembre 2025 visant un grand opérateur franchisé de restauration en Asie du Sud-Est. Bien qu’elle partage un nom avec une souche de 2016 liée à Locky, les chercheurs indiquent qu’il s’agit d’une famille totalement nouvelle sans lien établi avec l’ancienne. Faits saillants 🛑 Type d’attaque : Ransomware (nouvelle famille « Osiris ») Cible : opérateur franchisé majeur de la restauration, Asie du Sud-Est Attribution : développeurs et modèle RaaS non déterminés ; indices suggérant des liens possibles avec des acteurs liés au ransomware Inc Aspects techniques clés 🔧 ...

Source: Microsoft Defender Security Research Team. Contexte: les chercheurs détaillent une campagne multi-étapes d’AiTM phishing évoluant vers des activités de BEC contre plusieurs organisations du secteur de l’énergie, abusant de SharePoint pour la livraison et s’appuyant sur des règles de messagerie pour la persistance et l’évasion. Résumé opérationnel: Les attaquants ont initialement exploité une identité de tiers de confiance compromise pour envoyer un lien SharePoint légitime nécessitant authentification, mimant les workflows de partage SharePoint. Après clic, la chaîne a inclus une attaque AiTM (vol/usage de cookies de session) et la création de règles supprimant et marquant comme lus les emails entrants, afin de masquer l’activité. Les comptes compromis ont servi à une campagne de phishing à grande échelle (>600 emails) vers contacts internes/externes et listes de distribution, sélectionnés depuis les fils récents. Les opérateurs ont ensuite mené des tactiques BEC: surveillance des NDR/OOO, suppression des traces, réponses rassurantes aux doutes, puis poursuite des compromissions en chaîne via de nouveaux clics. Détections et réponses Microsoft Defender XDR: ...