heise online EnglishFake Teams Update: How attackers tricked the axios maintainer
The axios maintainer describes how cybercriminals contaminated the HTTP client with malware. Similar attacks target other maintainers.
heise SecurityFake-Teams-Update: So haben Angreifer den axios-Maintainer ausgetrickst
Der axios-Maintainer beschreibt, wie Cyberkriminelle den HTTP-Client mit Schadcode verseuchen konnten. Derweil gibt es ähnliche Attacken auf weitere Maintainer.
Nightfighter 🛡️
OTX BotKimsuky Deploys Weaponized LNK Files to Install Python-Based Backdoor
Pulse ID: 69d2baa573c8faf15f08f4d4
Pulse Link: https://otx.alienvault.com/pulse/69d2baa573c8faf15f08f4d4
Pulse Author: cryptocti
Created: 2026-04-05 19:40:21
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#BackDoor #CyberSecurity #InfoSec #Kimsuky #LNK #OTX #OpenThreatExchange #Python #UK #bot #cryptocti
Grub 
WhatsApp per Windows sfruttato per distribuire backdoor
I ricercatori di Microsoft hanno individuato l’ennesima campagna malware che prende di mira WhatsApp. Stavolta però viene sfruttata una funzionalità della versione Windows, non una vulnerabilità dei client Android o iOS. Lo scopo dei cybercriminali è ottenere la persistenza, ovvero l’accesso remoto al dispositivo tramite backdoor.
#backdoor #microsoft #whatsapp #malware
#sicurezzaonline #sicurezzadigitale #virus
https://www.punto-informatico.it/whatsapp-windows-sfruttato-distribuire-backdoor/
Martin Boller 
Brutus | Automated RDP sticky keys backdoor detection
#RDP #backdoor #ContinuousPenTesting
https://www.praetorian.com/blog/rdp-sticky-keys-backdoor-brutus/
#RDP #backdoor #ContinuousPenTesting
https://www.praetorian.com/blog/rdp-sticky-keys-backdoor-brutus/
Dariusz HałasSzwajcarski ser zamiast szyfrowania. Jak komunikator TeleGuard naraził ponad milion użytkowników
Miał być twierdzą nie do zdobycia, opartą na legendarnym „szwajcarskim bezpieczeństwie”. Komunikator TeleGuard pobrano ponad milion razy, bo obiecywał pełną anonimowość i szyfrowanie end-to-end.
Dziennikarskie śledztwo serwisu 404 Media oraz eksperci od cyberbezpieczeństwa właśnie obnażyli prawdę: aplikacja jest tak dziurawa, że równie dobrze moglibyście wysyłać swoje sekrety na pocztówkach.
W świecie komunikatorów internetowych panuje zasada Dzikiego Zachodu – każdy może obiecać wszystko. TeleGuard, aplikacja stworzona przez szwajcarską firmę Swisscows, kusiła użytkowników hasłami: „Brak gromadzenia danych. Silnie szyfrowane. Szwajcarska produkcja”. Brzmi jak idealna alternatywa dla tych, którzy nie ufają gigantom technologicznym. Problem w tym, że pod maską tego marketingowego przekazu kryje się technologiczna katastrofa.
Kryptograficzny koszmarek zamiast tarczy
Aby zrozumieć, jak bardzo twórcy TeleGuard zepsuli sprawę, musimy na chwilę zajrzeć w technikalia. W prawidłowo wdrożonym, bezpiecznym szyfrowaniu typu end-to-end (E2EE), klucz prywatny służący do odczytywania wiadomości nigdy nie opuszcza Twojego telefonu. Serwer firmy jest tylko „listonoszem”, który przenosi zamkniętą kopertę, ale nie ma do niej klucza i nie jest w stanie odczytać treści wiadomości.
Jak ujawnili badacze w rozmowie z Josephem Coxem z 404 Media, TeleGuard… po prostu wysyła Twój klucz prywatny na swoje serwery podczas rejestracji. Ale czekajcie, dopiero się rozgrzewamy.
Firma mogłaby się bronić, że przesyła klucz w formie zaszyfrowanej, ale badacze odkryli, że aplikacja dołącza do niego wszystko, co jest potrzebne do jego odszyfrowania. W profesjonalnej kryptografii stosuje się dwa kluczowe mechanizmy obronne: unikalne wartości jednorazowe (działające jak kody SMS z banku, tzw. nonce; skrót od number used once) oraz tzw. sól. Ta kulinarna nazwa nie jest przypadkowa! Sól to porcja losowych danych dorzucana do Twojego klucza przed zaszyfrowaniem. Działa jak unikalna przyprawa – sprawia, że nawet jeśli dwie osoby mają identyczne hasło, po „posoleniu” i zakodowaniu algorytm „wypluwa” zupełnie inne ciągi znaków, przez co hakerzy nie mogą używać gotowych ściąg do ich łamania.
Prawidłowa sól i wartości jednorazowe muszą być generowane losowo dla każdej nowej sesji. Twórcy TeleGuarda zrobili coś absurdalnego: zakodowali je na stałe. Mówiąc obrazowo: to tak, jakby producent zamontował w milionie sejfów potężne zamki szyfrowe, po czym w każdym z nich zostawił ten sam, fabryczny PIN wpisany na sztywno. Nic dziwnego, że Dan Guido, szef renomowanej firmy cyberbezpieczeństwa Trail of Bits, podsumował to krótko: szyfrowanie w tej aplikacji jest całkowicie bezcelowe.
Twój klucz dla każdego
Złe wdrożenie kryptografii to jedno, ale TeleGuard poszedł o krok dalej. Badacze odkryli, że aby uzyskać czyjś klucz prywatny, wystarczyło wpisać w publicznym API aplikacji (interfejsie programistycznym) jego numer ID (sic!).
Ponieważ wielu użytkowników chwaliło się swoim ID w sieci, by inni mogli ich znaleźć, otwierali tym samym furtkę każdemu domorosłemu hakerowi do odczytania ich korespondencji. Ponadto same metadane – informacja o tym, kto, kiedy i z kim pisze – krążyły po sieci w formie otwartego tekstu!
Iluzja, która ma realne konsekwencje
To nie jest tylko akademicki problem programistów. Teoretycznie nieprzeniknione komunikatory to często jedyne bezpieczne okno na świat dla osób represjonowanych – np. dziennikarzy śledczych, sygnalistów i aktywistów funkcjonujących w państwach autorytarnych. Dla nich wyciek korespondencji to nierzadko wyrok. I to ten najwyższy, kosztujący dziennikarza czy sygnalistę życie.
Z drugiej strony, obietnice absolutnej anonimowości TeleGuarda przyciągnęły też przestępców, których złudne poczucie bezpieczeństwa doprowadziło ostatecznie w ręce organów ścigania. Jak donoszą amerykańskie media, FBI namierzyło jednego z nich z dziecinną łatwością, m.in. przez przechwycenie powiadomień push z aplikacji.
Cała sprawa wygląda szczególnie blado, gdy przypomnimy sobie niedawne starcie rządu Wielkiej Brytanii z Apple. Gdy Brytyjczycy próbowali wymusić na gigancie z Cupertino stworzenie backdoora w iMessage (pod pretekstem walki z przestępczością w ustawie Online Safety Bill), Apple postawiło twarde weto, grożąc całkowitym wycofaniem swoich usług komunikacyjnych z Wysp, byle tylko nie osłabić szyfrowania – i ostatecznie brytyjski rząd (pod naporem amerykańskiej administracji, ale i głosów własnych obywateli, wyborców i użytkowników Apple) się ugiął.
Wielka Brytania chciała tylnej furtki do iCloud. USA grozi zerwaniem umów
Celowy sabotaż czy historyczna niekompetencja?
Tymczasem „szwajcarska” alternatywa, która miała być ostoją prywatności, w praktyce okazała się drzwiami otwartymi na oścież. Chciałbym, żebyśmy się dobrze zrozumieli. Tak szkolne, wręcz absurdalne luki w oprogramowaniu zawierającym jakiekolwiek funkcje kryptograficzne rodzą w branży naturalne pytania: czy to tylko skrajna, niewybaczalna niekompetencja szwajcarskich programistów, czy może celowo zostawiony backdoor na prośbę służb, które dostały idealne narzędzie do inwigilacji? Choć na to drugie nie ma twardych dowodów, sytuacja rodzi mocne podejrzenia.
Dlaczego podejrzenia? Z punktu widzenia programisty, żeby zepsuć sól i unikalne wartości jednorazowe, trzeba się wręcz… postarać. Większość współczesnych, gotowych bibliotek kryptograficznych, czyli klocków, z których budujemy aplikacje zawierające funkcje kryptograficzne, domyślnie generuje te wartości losowo. Żeby wpisać je w kodzie „na sztywno”, deweloper musiał celowo zignorować standardową procedurę, nadpisać funkcje losujące i wklepać tam stały ciąg znaków. To nie jest błąd typu „oops, zapomniałem średnika”. To jest architektura zaplanowana tak, żeby nie działała.
Nawet zyskujący na popularności tzw. vibe coding (pisanie programów na szybko z pomocą sztucznej inteligencji) wyplułby tu bezpieczniejszy kod, bo każdy model AI z automatu wrzuciłby w to miejsce funkcję generującą losowość.
Wiem o czym myślicie, sam też sobie zadaję to pytanie. Czy to celowo zostawiony backdoor dla służb? Historia uczy nas zresztą, że w tej branży „szwajcarska neutralność i prywatność” potrafi być doskonałą przykrywką. Wystarczy przypomnieć słynną aferę z firmą Crypto AG (poszukajcie sobie hasła Operacja Rubicon) – szwajcarskim producentem maszyn szyfrujących, który przez dekady sprzedawał sprzęt rządom na całym świecie, podczas gdy w rzeczywistości firma była potajemnie własnością CIA i zachodnioniemieckiego BND, którzy czytali wszystko jak leci. Chyba jednak w przypadku TeleGuarda nie ma się co doszukiwać aż tak głębokiego „spisku”. Ta aplikacja zrobiona jest po prostu zbyt głupio.
Tego problemu nie da się załatać
Firma Swisscows do dziś nie odniosła się do zarzutów. Według badaczy luki nadal nie zostały załatane, a użytkownicy nie otrzymali żadnego ostrzeżenia. Jeśli więc masz TeleGuard na swoim telefonie, najrozsądniejszym krokiem jest natychmiastowe usunięcie konta i odinstalowanie programu. Zresztą, co tu łatać, jak sama architektura i fundamenty kryptograficzne tej aplikacji są z gruntu wadliwe.
Sprawa TeleGuard to lekcja dla nas wszystkich. W cyfrowym świecie słowa „military-grade encryption” czy flagi europejskich państw z rygorystycznym prawem prywatności same w sobie nie dają żadnej gwarancji. Największe zaufanie ekspertów budzą dziś te rozwiązania, których kod źródłowy jest otwarty (open-source) i regularnie sprawdzany przez niezależnych audytorów. Jeśli zależy Wam na prawdziwym bezpieczeństwie, zostawcie marketingowe obietnice i postawcie na sprawdzone narzędzia pokroju Signala.
#404Media #aplikacjeSzyfrujące #backdoor #bezpieczeństwoWSieci #CryptoAG #cyberbezpieczeństwo #endToEnd #inwigilacja #komunikator #prywatnośćWSieci #Signal #Swisscows #szyfrowanie #TeleGuard #wyciekDanych
Securing the Supply Chain: How SentinelOne's AI EDR Stops the ...
On March 31, 2026, a North Korean state actor hijacked the npm credentials of the primary Axios maintainer and published two backdoored releases that deployed a cross-platform remote access trojan (RAT) to Windows, macOS, and Linux systems. Axios is the most widely used HTTP client in the JavaScript ecosystem, with approximately 100 million weekly downloads and a presence in roughly 80% of cloud and code environments.
Pulse ID: 69cf03e05f6b299dc3efd2cd
Pulse Link: https://otx.alienvault.com/pulse/69cf03e05f6b299dc3efd2cd
Pulse Author: AlienVault
Created: 2026-04-03 00:03:44
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#BackDoor #Cloud #CyberSecurity #EDR #HTTP #InfoSec #Java #JavaScript #Korea #Linux #Mac #MacOS #NPM #NorthKorea #OTX #OpenThreatExchange #RAT #RemoteAccessTrojan #SentinelOne #SupplyChain #Trojan #Windows #bot #iOS #AlienVault
CyberVeille.ch📢 InterCERT France 2026 : rapport d'incidentologie sur 366 incidents cyber recensés en 2025
📝 ## 📋 Contexte
Publié en avril 2026 par **InterCERT France** (communauté de plus de 130 CER...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-02-intercert-france-2026-rapport-d-incidentologie-sur-366-incidents-cyber-recenses-en-2025/
🌐 source : https://www.intercert-france.fr/publications/etude-analyse-menace/2025-etude-incidentologie-vue-des-cert/
#Akira #Backdoor #Cyberveille
InterCERT France 2026 : rapport d'incidentologie sur 366 incidents cyber recensés en 2025
📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024.
Christian NollWhatsApp malware campaign installs backdoors (heise.de)
https://www.heise.de/en/news/WhatsApp-malware-campaign-installs-backdoors-11244368.html
