Malware

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystème des « skills » ClawdBot/Moltbot, avec des paquets publiés sur ClawHub et GitHub entre fin janvier et début février 2026. – Des dizaines puis des centaines de « skills » thématisés crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingénierie sociale sophistiquée (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur à télécharger et exécuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliqués, avec une première salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 février. ...

Selon CrowdStrike Intelligence, LABYRINTH CHOLLIMA s’est scindé en trois unités distinctes — GOLDEN CHOLLIMA, PRESSURE CHOLLIMA et LABYRINTH CHOLLIMA — aux malwares, objectifs et modes opératoires spécialisés, tout en partageant une base tactique et une infrastructure commune. 🎯 GOLDEN CHOLLIMA: cible des régions économiquement développées à forte activité cryptomonnaie/fintech (U.S., Canada, Corée du Sud, Inde, Europe occidentale). Opère à un tempo régulier avec des vols de moindre valeur, suggérant une mission de génération de revenus. Outillage issu de Jeus/AppleJeus (depuis 2018) et d’un « toolkit » fintech (recouvrements avec PipeDown, DevobRAT, HTTPHelper, Anycon). En 2024, livraisons de packages Python malveillants via fraude au recrutement, pivot cloud vers les IAM et détournement d’actifs crypto. Observée aussi l’exploitation de zero-days Chromium et des déploiements de SnakeBaker et sa variante JS NodalBaker (juin 2025) chez des fintechs. ...

Selon Sucuri (blog), dans un billet publié le 31 janvier 2026, une nouvelle technique de malware ciblant WordPress crée de faux « répertoires » pour contourner et remplacer les permaliens, afin de diffuser du contenu de spam destiné aux moteurs de recherche. L’article met en avant une technique de malware inédite sur WordPress qui exploite des répertoires factices pour outrepasser les permaliens. L’objectif est la diffusion de spam aux moteurs de recherche, avec un impact direct sur la visibilité et l’intégrité des sites affectés. ...

Selon le gouvernement municipal de Sanxenxo (Pontevedra), un malware a infiltré le réseau municipal lundi matin, provoquant une paralysie quasi totale du fonctionnement de la mairie. 🚨 La mairie de Sanxenxo (Pontevedra, Galice) a été victime d’une cyberattaque de type ransomware ayant fortement perturbé ses opérations administratives. L’incident, détecté lundi matin, a entraîné une chiffrement massif des fichiers stockés sur les serveurs municipaux, rendant l’accès à des milliers de documents impossible pour les agents communaux. ...

Selon une actualité publiée le 26 janvier 2026, la Verkehrsgesellschaft Main-Tauber (VGMT) et la Mobilitätszentrale de Lauda ont été la cible d’une cyberattaque. Les autorités de l’entreprise ont constaté l’incident mercredi matin. L’attaque, menée via un logiciel malveillant, a entraîné le chiffrement des serveurs et des fichiers 🔒 au sein du réseau de la société de transport. Les entités touchées sont spécifiquement la VGMT (siège) et la Mobilitätszentrale à Lauda. ...

Source : Varonis — Le billet met en lumière « Stanley », un nouveau toolkit malveillant qui se distingue par sa capacité à usurper des sites web tout en gardant la barre d’adresse intacte, et par sa promesse d’obtenir l’approbation du Chrome Web Store pour ses composants. Le cœur de l’information est la présentation de capacités d’usurpation avancées permettant d’afficher de fausses pages sans altérer l’URL visible par l’utilisateur, un élément généralement rassurant pour les victimes 🎭. ...

Selon un billet publié sur blog.popey.com (21 janvier 2026), un ex-employé de Canonical et mainteneur de nombreux snaps alerte sur une campagne persistante visant le Snap Store, avec une nouvelle méthode d’escalade: le détournement de comptes éditeurs via des domaines expirés. L’auteur décrit une campagne continue où des acteurs publient des malwares sur le Snap Store géré par Canonical. Après des vagues de faux wallets (Exodus, Ledger Live, Trust Wallet), les attaquants ont adopté une tactique plus préoccupante: racheter des domaines appartenant à d’anciens éditeurs (une fois expirés), lancer une réinitialisation de mot de passe sur le compte Snap associé, puis pousser des mises à jour malveillantes sur des applications jusque-là de confiance. Deux domaines affectés sont cités: storewise.tech et vagueentertainment.com. 🛑 ...

Source : Check Point Research (blog technique). CPR présente VoidLink comme un cas probant de malware avancé généré quasi intégralement par une IA, probablement dirigée par un seul développeur, et expose les artefacts qui retracent sa conception accélérée. Le cadre est décrit comme mature, modulaire et hautement fonctionnel, avec un C2 dédié et des capacités pour eBPF, rootkits LKM, énumération cloud et post‑exploitation en environnements conteneurisés. L’architecture et l’opérationnel ont évolué rapidement vers une plateforme complète, avec une infrastructure C2 mise en place au fil des itérations. 🤖 ...

Contexte: annonce institutionnelle de l’ANSSI en collaboration avec Glimps (16 janvier 2026). ANSSI, avec la start-up bretonne Glimps, propose “JeCliqueOuPas” (JCOP), un service d’analyse automatisé de fichiers conçu pour détecter des fichiers malveillants. La plateforme permet aux agents publics de soumettre un fichier et d’obtenir un diagnostic sur son caractère malveillant, avec la garantie que les données ne sont pas réutilisées par des tiers. D’après la Dinum, le service traite environ 80 000 fichiers par jour. ...

Selon 9to5Mac, Mosyle a partagé en exclusivité la découverte de « SimpleStealth », une campagne de malware macOS qui intègre du code provenant de modèles d’IA générative — une première observée « dans la nature ». Au moment de l’analyse, la menace n’était détectée par aucun des principaux antivirus. La diffusion s’appuie sur un site factice imitant l’application d’IA populaire Grok, hébergé sur un domaine ressemblant à l’original. Les victimes téléchargent un installateur macOS nommé « Grok.dmg ». Une fois lancé, l’utilisateur voit une app qui semble pleinement fonctionnelle et fidèle au vrai Grok, tandis que les activités malveillantes s’exécutent discrètement en arrière-plan. ...