TTP

🎯 Contexte Publié le 26 mars 2026 par SecurityWeek, cet article rapporte une revendication du groupe d’extorsion Lapsus$ concernant une intrusion chez AstraZeneca, géant pharmaceutique mondial. L’information est relayée par la firme de cybersécurité SocRadar. 🔓 Nature de l’incident Lapsus$ affirme avoir exfiltré plusieurs catégories de données sensibles appartenant à AstraZeneca : Code source applicatif Java : controllers, repositories, services, schedulers, fichiers de configuration, ressources Spring Boot Packages Angular et Python Informations d’infrastructure cloud : AWS, Azure, Terraform Credentials et secrets divers Informations GitHub Enterprise : rôles, détails de comptes utilisateurs Adresses email corporatives Données employés Chemins de projet liés à des assets de développement interne 🏗️ Infrastructure et technologies exposées Les données revendiquées couvrent des environnements multi-cloud (AWS, Azure) et des outils d’infrastructure-as-code (Terraform), ainsi que des dépôts de code internes, ce qui représente un risque significatif pour la chaîne de développement logiciel d’AstraZeneca. ...

Exploitation massive de PolyShell : 56% des boutiques Magento vulnérables ciblées Source : BleepingComputer / Sansec — Date : Mars 2026 Type : annonce d’incident Pays/Zone : Global Tags : Magento Adobe Commerce PolyShell skimmer WebRTC RCE XSS eCommerce 🧩 Contexte Une vulnérabilité critique baptisée PolyShell affecte Magento Open Source v2 et Adobe Commerce. Deux jours après sa divulgation publique, une exploitation de masse a débuté le 19 mars 2026. La société Sansec rapporte que 56,7% de l’ensemble des boutiques vulnérables ont déjà été ciblées. ...

🔍 Contexte Publié le 17 mars 2026 par Sansec (sansec.io), cet article présente une analyse technique détaillée d’une vulnérabilité critique baptisée PolyShell, affectant Magento Open Source et Adobe Commerce dans toutes leurs versions de production actuelles. 🚨 Vulnérabilité La faille réside dans l’API REST de Magento, au niveau du traitement des options de panier (cart item custom options). Trois contrôles critiques sont absents : Aucune validation de l’ID d’option soumis Aucune vérification du type d’option (file) Aucune restriction sur les extensions de fichier (.php, .phtml, .phar autorisées) La seule validation présente (getimagesizefromstring) est trivialement contournable via des fichiers polyglots (images GIF/PNG contenant du code PHP exécutable). ...

🌐 Contexte Source : Cyble (cyble.com), publié le 26 mars 2026. Ce rapport couvre la période juillet 2024 – juin 2025 et analyse la menace ransomware pesant sur le secteur de l’énergie et des utilities à l’échelle mondiale. 📊 Chiffres clés Sur la période analysée, le secteur énergétique a enregistré : 187 attaques ransomware confirmées 57 événements de fuite ou violation de données 37 incidents de vente d’accès réseau compromis sur des forums criminels Plus de 39 000 posts hacktivistes ciblant les infrastructures énergétiques 🎯 Groupes ransomware les plus actifs RansomHub : 24 incidents (12,8 %) Akira : 20 incidents (10,7 %) Play : 18 incidents (9,6 %) Qilin et Hunters/Lynx complètent le top 5, responsables collectivement de près de 50 % des incidents 🗺️ Distribution géographique L’Amérique du Nord concentre plus d’un tiers des attaques ransomware. L’Asie et l’Europe absorbent également des parts significatives des ventes d’accès compromis et des violations de données. ...

🔍 Contexte Source : Have I Been Pwned (HIBP), publié le 26 mars 2026. Sound Radix, entreprise spécialisée dans les outils de production audio, a auto-déclaré une violation de données auprès de HIBP. 📋 Détails de l’incident L’incident a été attribué à un accès non autorisé à une plateforme de support client. Les données exposées concernent les utilisateurs ayant interagi avec l’équipe de support. Données compromises : 📧 293 000 adresses e-mail uniques 👤 Noms des utilisateurs ⚠️ Possibilité d’exposition de mots de passe hachés 🛡️ Périmètre de l’incident Sound Radix a précisé qu’il n’existe aucune preuve d’accès à la base de données utilisateurs principale. Aucune donnée financière ou bancaire n’a été compromise. ...

🏛️ Contexte Source : The Cyber Express — Publication le 26 mars 2026. L’article rapporte la comparution devant un tribunal américain à Austin (Texas) d’un ressortissant arménien impliqué dans une campagne liée au RedLine Infostealer. 👤 Suspect Nationalité : Arménienne Lieu de comparution : Tribunal d’Austin, Texas (États-Unis) Rôle : Opérateur ou participant à une campagne RedLine Infostealer Il s’agit d’un second défendeur dans cette affaire (mentionné dans l’URL de l’article) 🦠 Malware concerné RedLine Infostealer : logiciel malveillant de type stealer, connu pour dérober des identifiants, données de navigateurs, portefeuilles de cryptomonnaies et autres informations sensibles sur les systèmes infectés. 📰 Nature de l’article Article de presse spécialisée relatant une opération judiciaire américaine visant un opérateur présumé du réseau RedLine Infostealer. Le but principal est d’informer sur les poursuites judiciaires engagées contre un acteur impliqué dans la distribution ou l’opération de ce malware. ...

🔍 Contexte Source : BleepingComputer, publié le 26 mars 2026. Cet article rapporte la condamnation d’un ressortissant russe ayant agi comme courtier en accès initial (IAB) pour l’opération de ransomware-as-a-service Yanluowang. 👤 Acteur identifié Aleksey Olegovich Volkov, 26 ans, connu en ligne sous les pseudonymes “chubaka.kor” et “nets”, a plaidé coupable en novembre (année non précisée) et a été condamné à 81 mois de prison (près de 7 ans). Arrêté en Italie en janvier 2024 Extradé vers les États-Unis Ciblait au moins 8 entreprises américaines entre juillet 2021 et novembre 2022 🎯 Mode opératoire Intrusion dans des réseaux d’entreprises Revente des accès à l’opération Yanluowang RaaS Les affiliés Yanluowang chiffraient les données des victimes Demandes de rançon allant de 300 000 $ à 15 millions $ en cryptomonnaie Partage des paiements entre les co-conspirateurs 🏢 Incident notable Les poursuites ont notamment été déclenchées après que le gang Yanluowang a volé des fichiers non sensibles depuis le dossier Box d’un employé de Cisco, sans parvenir à chiffrer les systèmes ni à percevoir de rançon. ...

📋 Contexte Source : Have I Been Pwned (haveibeenpwned.com), publication référencée le 26 mars 2026. L’incident lui-même remonte à juin 2015 et concerne Scuf Gaming, fabricant américain de manettes de jeu personnalisées. 🔓 Nature de l’incident Scuf Gaming a été victime d’une violation de données ayant conduit à l’exposition de données personnelles de ses clients. L’incident a été indexé dans la base de données Have I Been Pwned. 📊 Données compromises Les données suivantes ont été exposées : ...

🎯 Contexte Source : Wiz Research, publié le 20 mars 2026. Le 19 mars 2026, des acteurs malveillants se désignant sous le nom TeamPCP ont mené une attaque de supply chain ciblant Aqua Security’s Trivy, un scanner de vulnérabilités open source largement utilisé dans les environnements DevSecOps et CI/CD. 🔍 Déroulement de l’attaque L’attaque s’est déroulée en plusieurs étapes : Commits impersonateurs : TeamPCP a poussé des commits malveillants en usurpant l’identité des utilisateurs rauchg (sur actions/checkout) et DmitriyLewen (sur aquasecurity/trivy). Tag v0.69.4 malveillant : À 17:43:37 UTC, le tag v0.69.4 a été poussé, déclenchant la publication de binaires backdoorés sur GitHub Releases, Docker Hub, GHCR et ECR. Domaine typosquatté : Le code malveillant contactait scan.aquasecurtiy[.]org (résolvant vers 45.148.10.212) pour l’exfiltration. Compromission du compte aqua-bot : L’attaquant a abusé de ce compte pour pousser des workflows malveillants vers tfsec, traceeshark et trivy-action, volant des clés GPG, credentials Docker Hub, Twitter et Slack. Force-push de tags : 75 sur 76 tags de trivy-action et 7 tags de setup-trivy ont été écrasés par des versions malveillantes. Expansion vers npm : Le 22 mars, TeamPCP a étendu ses opérations à l’écosystème npm via un worm nommé CanisterWorm exploitant des tokens de publication volés. Images Docker malveillantes : Les versions 0.69.5 et 0.69.6 de Trivy ont été publiées sur Docker Hub le 22 mars vers 16:00 UTC. 🦠 Comportement du malware Dans les GitHub Actions (trivy-action / setup-trivy) Payload en 3 étapes : ...

🎯 Contexte Publié le 20 mars 2026 par Aikido Security (Charlie Eriksen), cet article documente la détection le 20 mars 2026 à 20h45 UTC d’une campagne de compromission massive de packages NPM, baptisée CanisterWorm, attribuée au groupe TeamPCP. Cette attaque fait suite à une compromission de l’outil Trivy moins de 24 heures auparavant, documentée par Wiz. 📦 Packages compromis 28 packages dans le scope @EmilGroup 16 packages dans le scope @opengov @teale.io/eslint-config @airtm/uuid-base32 @pypestream/floating-ui-dom 🏗️ Architecture en trois étapes Stage 1 – Loader Node.js (postinstall) : Un hook postinstall dans index.js décode un payload base64 (script Python), crée un service systemd utilisateur pgmon.service avec Restart=always, et le démarre immédiatement. Aucun accès root requis. Stage 2 – Backdoor Python persistante : Le script service.py attend 5 minutes (évasion sandbox), puis interroge toutes les ~50 minutes un canister ICP (tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io) pour obtenir une URL de payload. Il télécharge le binaire vers /tmp/pglog, l’exécute en processus détaché, et sauvegarde l’URL dans /tmp/.pg_state. Un kill switch est intégré : si l’URL contient youtube.com, le payload est ignoré. Stage 3 – Ver de propagation (deploy.js) : Outil initialement manuel utilisant des tokens NPM volés pour énumérer tous les packages publiables d’un compte, incrémenter la version patch, préserver le README original, et republier avec --tag latest. 🐛 Évolution vers l’auto-propagation Environ une heure après la vague initiale, une mise à jour de @teale.io/eslint-config (versions 1.8.11 et 1.8.12) a introduit la fonction findNpmTokens() qui : ...