Open Source

📰 Source : infostealers.com (Hudson Rock) — Date : 1er juillet 2024 L’article analyse une évolution structurelle dans l’écosystème des infostealers : le passage du modèle traditionnel de location (Malware-as-a-Service) vers des variantes open source librement accessibles. 🔄 Modèle traditionnel vs open source Historiquement, les infostealers comme Redline, Lumma, Raccoon ou Poseidon (macOS) sont développés par des équipes criminelles organisées et loués à d’autres acteurs malveillants pour plusieurs centaines à plusieurs milliers de dollars par mois (ex : Poseidon à 3 000 $/mois). Ce modèle maintient une barrière financière limitant l’accès. ...

📰 Source : LinuxFR — Article publié le 20 juin 2026 par Mehdi, édité par Benoît Sibaud. 🔍 Contexte général DarkMoon est un moteur de pentest automatisé open source publié sous licence GNU GPLv3. Le projet est récent : premier commit en novembre 2025, dépôt rendu public en mai 2026, avec environ 500 clonages et 1300 téléchargements d’images Docker au moment de la publication. ⚙️ Architecture et fonctionnement L’outil repose sur trois composants principaux : ...

📰 Contexte Article publié le 18 juin 2026 par CyberScoop (Matt Kapko). Il s’agit d’une analyse approfondie de la campagne du groupe TeamPCP, actif depuis fin 2025, qui mène une attaque de grande envergure contre l’écosystème open-source. 🎯 Acteur de la menace TeamPCP est attribué par Google à un opérateur principal unique, dont les connexions IP résidentielles et mobiles ont été tracées en Afrique du Sud. Palo Alto Networks identifie le handle principal : ResoluteXBF, ainsi que deux membres supplémentaires : diencracked et Shinigami. Le groupe a collaboré ponctuellement avec des entités telles que Lapsus$, ShinyHunters, DragonForce, BreachForums et HasanBroker. La motivation principale est la notoriété underground et le chaos, non le gain financier (environ 90 000 USD d’extorsions revendiquées). ⚙️ Méthodes d’attaque Injection de code malveillant dans des packages open-source sur npm, PyPI, GitHub et d’autres registres. Ciblage des pipelines CI/CD (CI runners) pour propager le malware à tous les utilisateurs en aval qui tirent automatiquement les dernières versions. Vol de credentials pour des environnements Kubernetes, AWS, Microsoft Azure, Google Cloud. Développement de payloads en JavaScript et Python, extension vers les APIs Kubernetes et les SDKs. Vol de credentials via protocoles personnalisés. Infections récurrentes dues à une rotation insuffisante des secrets par les victimes. 📦 Packages et victimes notables Première attaque documentée : Trivy (février 2026). Victimes revendiquées : Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat, Nx Console. Volume combiné : environ 500 millions de téléchargements hebdomadaires pour l’ensemble des packages compromis. Plus de 10 000 victimes revendiquées par TeamPCP. Environ 4 000 dépôts de code privés mis en vente sur un forum darkweb pour 95 000 USD. 🦠 Malware notable Mini Shai-Hulud : malware auto-répliquant ayant infecté des centaines de packages open-source. Son code source complet a été publié sur GitHub par un affilié de TeamPCP pour encourager d’autres cybercriminels à l’utiliser. 📊 Facteurs aggravants Utilisation croissante de l’IA par les développeurs réduisant la supervision humaine sur les packages installés. Confiance aveugle dans les registres open-source sans vérification de l’intégrité du code. Délai de détection variable : certains packages compromis ont été actifs jusqu’à 13 heures, d’autres retirés en 15 minutes. Le groupe infecte de nouveaux packages quasi quotidiennement et valide les compromissions en moins de 24 heures. 📌 Type d’article Analyse de menace approfondie à destination des professionnels de la cybersécurité et de la threat intelligence, visant à documenter les TTPs, l’attribution et l’impact de la campagne TeamPCP sur l’écosystème open-source. ...

🔍 Contexte Source : BleepingComputer, publié le 10 juin 2026. L’article s’appuie sur un rapport de SafeDep concernant la fuite du code source du framework Miasma sur GitHub. 🦠 Description du malware Miasma est un framework de vol de credentials évoluant à partir du ver Shai-Hulud, dont le code avait également été précédemment leaké sur GitHub. Il partage avec son prédécesseur de nombreuses fonctionnalités, techniques et portions de code. Le malware opère selon un cycle autonome de propagation de type ver : ...

🗓️ Contexte Article publié le 8 juin 2026 par Nigel Douglas (Cloudsmith), analysant la campagne du ver Miasma qui a frappé l’écosystème open-source au cours de la semaine précédente. La source est le blog officiel de Cloudsmith, spécialisé en sécurité de la supply chain. 🦠 Description du malware Miasma est une variante évoluée et auto-réplicante du ver Mini Shai-Hulud, open-sourcé par le groupe TeamPCP. Le dépôt malveillant était décrit comme « Miasma: The Spreading Blight » et « Hades - The End for the Damned ». Le ver génère un payload chiffré de manière unique pour chaque infection, rendant les IOCs basés sur les hachages inutilisables pour la détection. ...

🗓️ Contexte Source : TechCrunch, publié le 27 mai 2026. CrowdStrike, en collaboration avec Google et l’organisation à but non lucratif Shadowserver, a annoncé le démantèlement d’un botnet baptisé Glassworm, utilisé par des cybercriminels pour distribuer des malwares et voler des identifiants auprès de développeurs de logiciels open source. 🎯 Acteurs et cibles Le groupe derrière Glassworm opère depuis deux ans et cible spécifiquement les développeurs open source ainsi que la chaîne d’approvisionnement logicielle. L’objectif est de compromettre des postes de travail de développeurs pour propager des logiciels malveillants vers des milliers d’organisations en aval. ...

🎯 Contexte Le 26 mai 2026 à 14h00 UTC, CrowdStrike Counter Adversary Operations a publié un rapport détaillant l’opération de démantèlement coordonnée du botnet Glassworm, menée en collaboration avec Google et la Shadowserver Foundation. L’opération a ciblé une infrastructure active depuis au moins début 2025. 🕵️ Acteur et ciblage Les opérateurs de Glassworm sont probablement basés en Russie, sur la base de plusieurs indicateurs convergents : vérification de la locale, de la langue et du fuseau horaire au runtime (sortie silencieuse si machine en pays CEI), et présence de commentaires en langue russe dans le code source. La campagne ciblait spécifiquement les développeurs logiciels, pour leur accès privilégié aux dépôts de code source, pipelines CI/CD, registres de paquets et plateformes cloud. ...

🏛️ Contexte Publiée le 14 mai 2026 par le Government Digital Service (GDS) et le Department for Science, Innovation and Technology (DSIT), cette guidance s’adresse aux responsables technologiques du secteur public britannique. Elle répond à la question de savoir si l’accélération de la découverte de vulnérabilités par l’IA justifie d’abandonner la politique de publication du code source « en open » par défaut. 🔍 Constat principal La guidance affirme que le principal facteur de risque d’exploitation reste la présence de faiblesses dans les systèmes (vulnérabilités non corrigées, implémentation non sécurisée, configuration défaillante) et l’incapacité à les corriger rapidement. La publication du code source ne crée pas ces faiblesses, mais peut réduire modestement l’incertitude des attaquants et accélérer l’analyse, un effet susceptible de croître avec l’assistance de l’IA. ...

🗓️ Contexte Article de blog publié le 1er mai 2026 par un ancien employé du gouvernement britannique (GDS, NHSX, i.AI), relatant une décision interne de NHS England de fermer la majorité de ses dépôts de code open source publics. 📋 Faits rapportés Un responsable technique senior de NHS England aurait déclaré que l’organisation allait cesser de publier son code en open source et supprimer la plupart de ses dépôts GitHub, en invoquant le risque posé par Mythos, un outil d’IA décrit comme plus sophistiqué dans la détection de vulnérabilités. ...

📰 Source : ZDNet France, publié le 22 avril 2026 par Gabriel Thierry. 🔧 Présentation de l’outil : Un spécialiste en renseignement sur les cybermenaces de l’ANSSI a développé Verifium, une application iOS open source d’audit de sécurité et de confidentialité. L’outil est disponible sur GitHub et son site officiel (verifium.app). Il a été présenté publiquement le 31 mars 2026 via le réseau social Bluesky par le compte @x0rz. ✅ Fonctionnalités : L’application effectue 23 contrôles de sécurité locaux, sans transmission de données hors de l’appareil, couvrant : ...