Malware

Source : Varonis — Le billet met en lumière « Stanley », un nouveau toolkit malveillant qui se distingue par sa capacité à usurper des sites web tout en gardant la barre d’adresse intacte, et par sa promesse d’obtenir l’approbation du Chrome Web Store pour ses composants. Le cœur de l’information est la présentation de capacités d’usurpation avancées permettant d’afficher de fausses pages sans altérer l’URL visible par l’utilisateur, un élément généralement rassurant pour les victimes 🎭. ...

Selon un billet publié sur blog.popey.com (21 janvier 2026), un ex-employé de Canonical et mainteneur de nombreux snaps alerte sur une campagne persistante visant le Snap Store, avec une nouvelle méthode d’escalade: le détournement de comptes éditeurs via des domaines expirés. L’auteur décrit une campagne continue où des acteurs publient des malwares sur le Snap Store géré par Canonical. Après des vagues de faux wallets (Exodus, Ledger Live, Trust Wallet), les attaquants ont adopté une tactique plus préoccupante: racheter des domaines appartenant à d’anciens éditeurs (une fois expirés), lancer une réinitialisation de mot de passe sur le compte Snap associé, puis pousser des mises à jour malveillantes sur des applications jusque-là de confiance. Deux domaines affectés sont cités: storewise.tech et vagueentertainment.com. 🛑 ...

Source : Check Point Research (blog technique). CPR présente VoidLink comme un cas probant de malware avancé généré quasi intégralement par une IA, probablement dirigée par un seul développeur, et expose les artefacts qui retracent sa conception accélérée. Le cadre est décrit comme mature, modulaire et hautement fonctionnel, avec un C2 dédié et des capacités pour eBPF, rootkits LKM, énumération cloud et post‑exploitation en environnements conteneurisés. L’architecture et l’opérationnel ont évolué rapidement vers une plateforme complète, avec une infrastructure C2 mise en place au fil des itérations. 🤖 ...

Contexte: annonce institutionnelle de l’ANSSI en collaboration avec Glimps (16 janvier 2026). ANSSI, avec la start-up bretonne Glimps, propose “JeCliqueOuPas” (JCOP), un service d’analyse automatisé de fichiers conçu pour détecter des fichiers malveillants. La plateforme permet aux agents publics de soumettre un fichier et d’obtenir un diagnostic sur son caractère malveillant, avec la garantie que les données ne sont pas réutilisées par des tiers. D’après la Dinum, le service traite environ 80 000 fichiers par jour. ...

Selon 9to5Mac, Mosyle a partagé en exclusivité la découverte de « SimpleStealth », une campagne de malware macOS qui intègre du code provenant de modèles d’IA générative — une première observée « dans la nature ». Au moment de l’analyse, la menace n’était détectée par aucun des principaux antivirus. La diffusion s’appuie sur un site factice imitant l’application d’IA populaire Grok, hébergé sur un domaine ressemblant à l’original. Les victimes téléchargent un installateur macOS nommé « Grok.dmg ». Une fois lancé, l’utilisateur voit une app qui semble pleinement fonctionnelle et fidèle au vrai Grok, tandis que les activités malveillantes s’exécutent discrètement en arrière-plan. ...

Selon un article publié le 14 janvier 2026, un framework malveillant avancé et cloud-native pour Linux nommé VoidLink a été découvert, orienté vers les environnements cloud modernes. Des chercheurs de Check Point ont identifié un nouveau framework malware cloud-native pour Linux, baptisé VoidLink, conçu spécifiquement pour les environnements cloud et conteneurisés modernes. VoidLink se distingue par : une architecture modulaire très avancée, une compatibilité native avec Docker et Kubernetes, l’intégration de loaders, implants, rootkits et plugins, et un fort accent mis sur la furtivité et l’évasion automatisée. Le framework est développé en Zig, Go et C, avec une documentation riche et une structure suggérant un produit commercial ou un framework sur mesure pour un client, plutôt qu’un malware opportuniste. Aucune infection active n’a été observée à ce stade. ...

Contexte: The Register publie une interview de Kate Middagh (Palo Alto Networks, Unit 42) décrivant l’usage croissant des LLM dans le développement de malware et introduisant le cadre « SHIELD » pour sécuriser le « vibe coding ». • Constats clés 🧠🤖: Des criminels utilisent « très probablement » des plateformes de vibe coding/LLM pour écrire du malware ou orchestrer des attaques, avec un humain toujours dans la boucle. Des erreurs/hallucinations des modèles mènent à des attaques ratées (ex. nom de fichier de rançon incorrect), et à de la « sécurité théâtrale » où du code d’évasion apparaît pour la forme sans effet réel. ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Security Affairs (par Pierluigi Paganini) relaie un rapport de Koi Security sur le package NPM malveillant “Lotusbail”, un fork de la librairie Baileys pour l’API WhatsApp Web, actif depuis six mois et totalisant plus de 56 000 téléchargements. Le package fonctionne comme une API WhatsApp pleinement opérationnelle, en enveloppant le client WebSocket légitime afin que tous les messages y transitent d’abord. Il intercepte identifiants, messages, contacts et médias tout en maintenant le fonctionnement normal, rendant la détection difficile. ...

Selon Aikido Security (blog, 28 déc. 2025), une nouvelle souche du ver/malware Shai Hulud a été détectée dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation à ce stade. • Nature et contexte: Aikido décrit une variante «novelle et inédite» de Shai Hulud, dont le code apparaît à nouveau obfusqué depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a été identifié peu après sa mise en ligne, avec des changements notables dans la chaîne d’exfiltration et l’opérationnalisation du ver. ⚠️ ...