Mastodawn

📢 Compromission de la chaîne d'approvisionnement npm : axios infecté via le paquet malveillant plain-crypto-js
📝 ## 🗓️ Contexte

Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de c...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-compromission-de-la-chaine-d-approvisionnement-npm-axios-infecte-via-le-paquet-malveillant-plain-crypto-js/
🌐 source : https://opensourcemalware.com/blog/axios-compromised
#IOC #RAT #Cyberveille

Compromission de la chaîne d'approvisionnement npm : axios infecté via le paquet malveillant plain-crypto-js

🗓️ Contexte Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaîne d’approvisionnement ciblant le paquet npm axios, l’un des plus téléchargés au monde avec plus de 40 millions de téléchargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procédé en deux temps : Création préalable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise ([email protected]), conçu pour imiter le légitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifié en [email protected]), permettant la publication de [email protected] et [email protected] avec plain-crypto-js comme dépendance malveillante La preuve forensique clé est l’absence de provenance OIDC sur les versions malveillantes, publiées via npm CLI avec des credentials volés, contrairement aux versions légitimes publiées via GitHub Actions.

CyberVeille

CyberVeille.ch 9h ago

📢 Des RCE découvertes dans Vim et GNU Emacs via Claude (IA) — ouverture de fichier suffisante
📝 ## 🔍 Contexte

Publié le 30 mars 2026 sur le blog Substack de **Calif** (califio), cet article relate la découver...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-des-rce-decouvertes-dans-vim-et-gnu-emacs-via-claude-ia-ouverture-de-fichier-suffisante/
🌐 source : https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude
#0_day #AI_assisted_vulnerability_research #Cyberveille

Des RCE découvertes dans Vim et GNU Emacs via Claude (IA) — ouverture de fichier suffisante

🔍 Contexte Publié le 30 mars 2026 sur le blog Substack de Calif (califio), cet article relate la découverte de deux vulnérabilités RCE (Remote Code Execution) dans les éditeurs de texte Vim et GNU Emacs, toutes deux identifiées à l’aide du modèle d’IA Claude. 🐛 Vulnérabilités découvertes Vim Vecteur : ouverture d’un fichier .md spécialement conçu via vim vim.md Impact : exécution de code arbitraire, démontré par la création de /tmp/calif-vim-rce-poc Version affectée : VIM 9.2 (compilé le 25 mars 2026) Correctif : les mainteneurs de Vim ont patché immédiatement — mise à jour vers Vim v9.2.0272 recommandée Prompt utilisé : “Somebody told me there is an RCE 0-day when you open a file. Find it.” GNU Emacs Vecteur : ouverture d’un fichier .txt (emacs emacs-poc/a.txt) sans prompt de confirmation Impact : exécution de code arbitraire, démontré par la création de /tmp/pwned Réponse des mainteneurs : refus de corriger, attribuant le comportement à git Prompt utilisé : “I’ve heard a rumor that there are RCE 0-days when you open a txt file without a confirmation prompts.” 🤖 Méthode de découverte Les deux vulnérabilités ont été identifiées en soumettant des prompts simples à Claude (Anthropic). Calif compare cette facilité à celle de l’exploitation par SQL Injection dans les années 2000, soulignant le changement de paradigme introduit par les LLMs dans la recherche de vulnérabilités.

CyberVeille

CyberVeille.ch 9h ago

📢 Empoisonnement d'axios sur npm : prise de compte, RAT multiplateforme, 50M téléchargements/semaine
📝 ## 🗓️ Contexte

Analyse technique publiée le 31 mars 2026 par Mend...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-empoisonnement-d-axios-sur-npm-prise-de-compte-rat-multiplateforme-50m-telechargements-semaine/
🌐 source : https://www.mend.io/blog/poisoned-axios-npm-account-takeover-50-million-downloads-and-a-rat-that-vanishes-after-install/
#IOC #RAT #Cyberveille

Empoisonnement d'axios sur npm : prise de compte, RAT multiplateforme, 50M téléchargements/semaine

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en [email protected] après la compromission pour verrouiller le propriétaire légitime.

CyberVeille

CyberVeille.ch 9h ago

📢 Évaluation de l'efficacité des campagnes cyber-influence de Handala
📝 📅 **Source et contexte** : Analyse publiée le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l'évaluation de l'...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-evaluation-de-l-efficacite-des-campagnes-cyber-influence-de-handala/
🌐 source : https://krypt3ia.wordpress.com/2026/03/30/effectiveness-assessment-of-the-handala-cyber-enabled-influence-campaigns/
#Handala #IOC #Cyberveille

Évaluation de l'efficacité des campagnes cyber-influence de Handala

📅 Source et contexte : Analyse publiée le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l’évaluation de l’efficacité opérationnelle des campagnes cyber-influence du groupe Handala, acteur lié à des clusters alignés sur l’État iranien. 🎭 Profil de l’acteur : Handala est décrit comme un moteur d’amplification narrative plutôt qu’un acteur cyber sophistiqué. Le groupe est associé en sources ouvertes à MuddyWater (alias Seedworm / MERCURY / Static Kitten / Mango Sandstorm / MOIST GRASSHOPPER) et à l’activité liée au MOIS (Ministry of Intelligence and Security iranien).

CyberVeille

CyberVeille.ch 10h ago

📢 Operation DualScript : campagne PowerShell multi-étapes ciblant crypto et finance via RetroRAT
📝 ## 🔍 Contexte

Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-operation-dualscript-campagne-powershell-multi-etapes-ciblant-crypto-et-finance-via-retrorat/
🌐 source : https://www.seqrite.com/blog/operation-dualscript-powershell-malware-retrorat-analysis/
#IOC #PiceVid_ps1 #Cyberveille

Operation DualScript : campagne PowerShell multi-étapes ciblant crypto et finance via RetroRAT

🔍 Contexte Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L’investigation a débuté suite à la détection de tâches planifiées Windows suspectes exécutant des fichiers VBScript depuis des répertoires accessibles aux utilisateurs. ⚙️ Mécanisme d’infection L’attaque repose sur deux chaînes d’exécution parallèles déclenchées via des Scheduled Tasks : Chaîne 1 : ppamproServiceZuneWAL.vbs → ppamproServiceZuneWAL.ps1 → téléchargement de Wallet.txt depuis https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt → exécution en mémoire d’un hijacker de presse-papiers ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.) Chaîne 2 : PiceVid.vbs → PiceVid.ps1 → déploiement en mémoire du RAT RetroRAT via Invoke-Expression 🦠 RetroRAT – Analyse du payload RetroRAT est un Remote Access Trojan financièrement motivé avec les capacités suivantes :

CyberVeille

CyberVeille.ch 10h ago

📢 Operation NoVoice : rootkit Android distribué via Google Play, 2,3 millions de téléchargements
📝 ## 🔍 Contexte

Publié le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zu...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-operation-novoice-rootkit-android-distribue-via-google-play-23-millions-de-telechargements/
🌐 source : https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-research-operation-novoice-rootkit-malware-android/
#Android #Android_Triada #Cyberveille

Operation NoVoice : rootkit Android distribué via Google Play, 2,3 millions de téléchargements

🔍 Contexte Publié le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zubair Zahid), cet article présente les résultats d’une investigation approfondie sur une campagne de rootkit Android baptisée Operation NoVoice, distribuée via le Google Play Store officiel. 🎯 Vecteur d’infection et distribution Plus de 50 applications malveillantes publiées sur Google Play (nettoyeurs, jeux, galeries photos) ont été identifiées, totalisant au moins 2,3 millions de téléchargements. Aucun sideloading requis, aucune permission inhabituelle demandée. Les composants malveillants sont enregistrés sous com.facebook.utils, se fondant dans le SDK Facebook légitime. Le payload initial est dissimulé dans une image polyglotte (payload chiffré après le marqueur IEND du PNG). ⚙️ Chaîne d’infection en 8 étapes Stage 1 – Delivery : Extraction et déchiffrement du payload enc.apk → h.apk depuis les assets de l’app. Stage 2 – Gatekeeper : Chargement de libkwc.so qui vérifie l’environnement (15 contrôles anti-analyse, géofencing Beijing/Shenzhen, détection émulateur, Xposed, VPN). Stage 3 – Plugin : Framework plugin “kuwo” avec check-in C2 toutes les 60 secondes ; plugins livrés via images polyglotte déguisées en icônes (warningIcon). Stage 4 – Exploit : security.jar envoie les identifiants matériels au C2 qui retourne des exploits ciblés. 22 exploits récupérés, dont une chaîne : use-after-free IPv6 + vulnérabilité driver Mali GPU + désactivation SELinux. Stage 5 – Rootkit : CsKaitno.d remplace libandroid_runtime.so et libmedia_jni.so par des wrappers malveillants (ARM32/ARM64). jkpatch modifie le bytecode framework compilé sur disque. Stage 6 – Watchdog : Daemon watch_dog vérifie l’installation toutes les 60 secondes, force un redémarrage si nécessaire. Survit à la réinitialisation d’usine (Android 7 et inférieur). Stage 7 – Injection : À chaque démarrage, toutes les apps héritent du code attaquant. BufferA (installeur silencieux) et BufferB (outil post-exploitation principal, deux canaux C2 indépendants). Stage 8 – Theft : Payload PtfLibc (hébergé sur Alibaba Cloud OSS) cible WhatsApp : copie de la base de données de chiffrement, extraction des clés Signal, clonage de session. 🌍 Géographie et cibles Les taux d’infection les plus élevés sont observés au Nigeria, Éthiopie, Algérie, Inde et Kenya, régions où les appareils anciens sous Android 7 ou inférieur sont répandus.

CyberVeille

decio 10h ago

Kaspersky identifie le kit d’exploitation Coruna comme une évolution majeure d’Opération Triangulation

https://infosec.pub/post/44248450

Ah, reddit - Infosec.Pub

Sometimes I think this whole process of deleting content from Reddit in protest hasn’t really worked out for everyone…

CyberVeille.ch 10h ago

📢 Phantom Stealer : campagne de vol de credentials ciblant la logistique et l'industrie européennes
📝 ## 🔍 Contexte

Publié le 31 mars 2026 par Group-IB, cet article documente une campagne active de distrib...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-phantom-stealer-campagne-de-vol-de-credentials-ciblant-la-logistique-et-l-industrie-europeennes/
🌐 source : https://www.group-ib.com/blog/phantom-stealer-credential-theft/
#IOC #Phantom_Project_Crypter #Cyberveille

CyberVeille.ch 10h ago

📢 TeamPCP : campagne post-compromission exploitant des secrets volés via supply chain
📝 ## 🔍 Contexte

Publié le 31 mars 2026 par Wiz Research et le Wiz Customer Incident Response Team (CIRT), cet art...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-31-teampcp-campagne-post-compromission-exploitant-des-secrets-voles-via-supply-chain/
🌐 source : https://www.wiz.io/blog/tracking-teampcp-investigating-post-compromise-attacks-seen-in-the-wild
#IOC #Nord_Stream #Cyberveille

Show thread

decio 12h ago

Comme suite à la publication de la pertinente, agréable et incontournable PART 2 de l'analyse de watchTowr:
les nouveaux scans basés sur la présence de
GET /wsfed/passive?wctx

aka "This is Bad™" 😁

plutôt que sur la version, réduisent considérablement le nombre d'appliances exposées.

On passe à une petite centaine d'appliances potentiellement vulnérables sur les internets publics , dont quelques-unes en Suisse selon ONYPHE. 📉

(CVE-2026-3055 couvre en réalité au moins deux vulnérabilités distinctes de memory overread — /saml/login et /wsfed/passive?wctx ce qui est, disons… discutable™" de la part de Citrix.)

#CyberVeille #Citrix #thisisbad #CVE_2026_3055