<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Socket.IO RAT on CyberVeille</title>
    <link>https://cyberveille.ch/tags/socket.io-rat/</link>
    <description>Recent content in Socket.IO RAT on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Sat, 18 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/socket.io-rat/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Campagne Contagious Interview : malware DPRK caché dans des SVG via stéganographie</title>
      <link>https://cyberveille.ch/posts/2026-07-18-campagne-contagious-interview-malware-dprk-cache-dans-des-svg-via-steganographie/</link>
      <pubDate>Sat, 18 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-18-campagne-contagious-interview-malware-dprk-cache-dans-des-svg-via-steganographie/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Publié le 18 juillet 2026 par Elastic Security Labs (auteur : Daniel Stepanic), cet article documente une nouvelle campagne du groupe &lt;strong&gt;Contagious Interview&lt;/strong&gt;, aligné DPRK, trackée sous la référence &lt;strong&gt;REF9403&lt;/strong&gt;. La découverte est issue d&amp;rsquo;une activité suspecte ciblant directement le workspace Slack communautaire d&amp;rsquo;Elastic.&lt;/p&gt;
&lt;h2 id=&#34;-vecteur-dinfection&#34;&gt;🎯 Vecteur d&amp;rsquo;infection&lt;/h2&gt;
&lt;p&gt;Le 26 mai 2026, un utilisateur fictif nommé &lt;strong&gt;Maxwell&lt;/strong&gt; a publié une fausse offre d&amp;rsquo;emploi dans le canal &lt;code&gt;#jobs&lt;/code&gt; du Slack d&amp;rsquo;Elastic, proposant un défi de codage. Les victimes recevaient un &lt;strong&gt;dépôt trojanisé&lt;/strong&gt; (projet e-commerce Next.js) à exécuter localement. Les dépôts identifiés incluent :&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
