IOC

📌 Contexte Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de son SDK Python sur PyPI, survenue le 27 mars 2026. Cet incident s’inscrit dans une campagne supply chain multi-semaines ayant également ciblé Trivy (19 mars 2026), LiteLLM (24 mars 2026) et Checkmarx. 🎯 Déroulement de l’incident Deux versions non autorisées du package telnyx ont été publiées sur PyPI : telnyx==4.87.1 : publiée à 03:51:28 UTC le 27 mars 2026 telnyx==4.87.2 : publiée peu après Les deux versions contenaient du code malveillant. Elles ont été mises en quarantaine à 10:13 UTC le même jour, soit environ 6h22 après la première publication. Les deux packages ont depuis été retirés de PyPI. ...

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing. ...

🔍 Contexte Publié le 28 mars 2026 sur le blog de recherche QriouSec, cet article présente une analyse technique approfondie de la vulnérabilité CVE-2025-14325, découverte dans le moteur JavaScript SpiderMonkey de Mozilla Firefox. La découverte a été facilitée par du fuzzing assisté par IA (Claude Code) ciblant la fonctionnalité TypedArray resizable. 🐛 Vulnérabilité : Type Confusion dans le JIT Baseline La vulnérabilité réside dans le mécanisme des inline caches (IC) du tier Baseline JIT de SpiderMonkey. Le flux d’exploitation repose sur une fenêtre de ré-entrance : ...

🔍 Contexte Article publié le 29 mars 2026 sur le blog personnel de la chercheuse Persephone Karnstein, adapté d’une présentation donnée avec Mitchell Marasch à BSides Seattle 2026, pour le compte de Bureau Veritas Cybersecurity North America (anciennement Security Innovation). L’évaluation a été conduite fin 2025 / début 2026. 🎯 Périmètre de l’évaluation Les chercheurs ont évalué trois surfaces d’attaque : Le hardware physique (PCB/MBB de la moto Zero Motorcycles) L’application Android com.zeromotorcycles.nextgen Le firmware embarqué distribué via OTA (Over-The-Air) 🔓 Vulnérabilités identifiées 1. Secrets hardcodés dans l’application Android L’analyse de l’APK via JADX révèle dans com.zeromotorcycles.nextgen.BuildConfig : ...

🗓️ Contexte L’article est publié le 27 mars 2026 par TechCrunch (auteur : Zack Whittaker). Il rapporte la confirmation officielle par la Commission européenne d’une cyberattaque ayant ciblé son infrastructure cloud. 🎯 Nature de l’incident Des hackers ont compromis le compte Amazon Web Services (AWS) de la Commission européenne, hébergeant la présence web de l’institution sur la plateforme Europa.eu. Selon Bleeping Computer, qui a rapporté l’incident en premier, des centaines de gigaoctets de données ont été dérobés, incluant plusieurs bases de données. ...

🔍 Contexte Article publié le 26 mars 2026 par Patrick Wardle (Objective-See Foundation) sur son blog technique. L’article documente une analyse par rétro-ingénierie des nouveaux événements Endpoint Security (ES) introduits dans macOS 26.4, laissés sans documentation publique par Apple sous la forme ES_EVENT_TYPE_RESERVED_*. 🧩 Découverte des événements réservés Avec la sortie du MacOSX26.4.sdk, Apple a ajouté 7 nouveaux types d’événements ES (RESERVED_0 à RESERVED_6) sans les documenter ni les nommer. Wardle tente de s’y abonner via es_subscribe : ...

🎵 Contexte Article publié le 26 mars 2026 sur Ars Technica, relatant les développements judiciaires aux États-Unis (SDNY) opposant Spotify et les majors musicales (Sony, Universal Music Group, Warner) à la bibliothèque fantôme Anna’s Archive. ⚖️ Procédure judiciaire Les plaignants ont déposé une demande de jugement par défaut après qu’Anna’s Archive n’a jamais répondu aux procédures judiciaires. Le montant réclamé s’élève à 322 millions de dollars : 300 M$ à Spotify (violations DMCA, $2 500 par acte de contournement) 7,5 M$ à Sony 7,5 M$ à Universal Music Group 7,2 M$ à Warner 22,2 M$ en dommages pour violation du copyright (150 000 $/œuvre) 🔓 Nature de l’incident Anna’s Archive a scrapé 86 millions de fichiers musicaux depuis Spotify en contournant ses mesures de protection technologiques. Le 9 février 2026, 2,8 millions de fichiers ont été publiés sous forme de torrents, constituant selon les plaignants une violation flagrante d’une injonction préliminaire déjà en vigueur. ...

🔍 Contexte Publié le 26 mars 2026 sur GitHub par l’utilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour s’intégrer à Cobalt Strike et permettre une élévation de privilèges avancée sur les systèmes Windows. 🎯 Objectif L’outil élève un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clés de registre et objets protégés par TrustedInstaller, inaccessibles même avec les droits SYSTEM classiques. ...

🔍 Contexte Le 26 mars 2026, la Cyber Security Agency of Singapore (CSA) a publié une alerte de sécurité (AL-2026-028) relayant les correctifs publiés par TP-Link pour plusieurs vulnérabilités critiques affectant ses routeurs de la gamme Archer NX200, NX210, NX500 et NX600. 🚨 Vulnérabilités identifiées Quatre CVE sont concernées : CVE-2025-15517 : Contournement d’authentification via des endpoints HTTP exposés, permettant à un attaquant non authentifié d’effectuer des actions administratives privilégiées (upload de firmware, modification de configuration). CVE-2025-15518 & CVE-2025-15519 : Exécution de commandes arbitraires sur le système d’exploitation par un attaquant authentifié avec des privilèges administratifs, impactant la confidentialité, l’intégrité et la disponibilité. CVE-2025-15605 : Faille permettant à un attaquant non authentifié de déchiffrer, modifier et rechiffrer les fichiers de configuration, compromettant leur confidentialité et intégrité. 📦 Produits et versions affectés Archer NX600 : v3.0 < 1.3.0 Build 260309 / v2.0 < 1.3.0 Build 260311 / v1.0 < 1.4.0 Build 260311 Archer NX500 : v2.0 < 1.5.0 Build 260309 / v1.0 < 1.3.0 Build 260311 Archer NX210 : v3.0 < 1.3.0 Build 260309 / v2.0 & v2.20 < 1.3.0 Build 260311 Archer NX200 : v3.0 < 1.3.0 Build 260309 / v2.20 < 1.3.0 Build 260311 / v2.0 < 1.3.0 Build 260311 / v1.0 < 1.8.0 Build 260311 📋 Type d’article Il s’agit d’une alerte de sécurité officielle émise par la CSA Singapour, dont le but principal est d’informer les utilisateurs et administrateurs de l’existence de correctifs critiques et de les inciter à mettre à jour leurs équipements immédiatement. ...

🗓️ Contexte Publié le 28 mars 2026 par BleepingComputer, cet article rapporte une attaque de la chaîne d’approvisionnement ciblant le package PyPI officiel Telnyx SDK, détecté par les firmes Aikido, Socket et Endor Labs, et attribué au groupe TeamPCP. 🎯 Déroulement de l’attaque Les attaquants ont compromis le compte de publication PyPI de Telnyx via des credentials volés Version 4.87.1 publiée à 03:51 UTC avec un payload malveillant non fonctionnel Version 4.87.2 publiée à 04:07 UTC avec le payload corrigé et opérationnel Le code malveillant est injecté dans telnyx/_client.py, s’exécutant automatiquement à l’import du module 🦠 Comportement du malware Sur Linux/macOS : ...