📢 36 packages npm malveillants ciblant Strapi CMS déploient RCE Redis, vol de BDD et C2 persistant
📝 ## 🎯 Contexte
Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-04-36-packages-npm-malveillants-ciblant-strapi-cms-deploient-rce-redis-vol-de-bdd-et-c2-persistant/
🌐 source : https://safedep.io/malicious-npm-strapi-plugin-events-c2-agent/
#_node_gc_js #IOC #Cyberveille
36 packages npm malveillants ciblant Strapi CMS déploient RCE Redis, vol de BDD et C2 persistant
🎯 Contexte Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spécifiquement les déploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiée comme Guardarian. La campagne s’est déroulée sur une fenêtre de 13 heures le 3 avril 2026.
📦 Vecteur d’attaque Trente-six packages npm malveillants ont été publiés via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraître légitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exécutant automatiquement via le hook postinstall sans interaction utilisateur.
📢 Cifrat : analyse d'un RAT Android multi-stages distribué via phishing Booking.com
📝 ## 🔍 Contexte
Publié le 4 avril 2026 par **CERT Polska**, cet article présente une analyse technique approfondie d'un malware Android inédit baptisé **cifrat...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-04-cifrat-analyse-d-un-rat-android-multi-stages-distribue-via-phishing-booking-com/
🌐 source : https://cert.pl/en/posts/2026/04/cifrat-analysis/
#Android #Booking_com #Cyberveille
Cifrat : analyse d'un RAT Android multi-stages distribué via phishing Booking.com
🔍 Contexte Publié le 4 avril 2026 par CERT Polska, cet article présente une analyse technique approfondie d’un malware Android inédit baptisé cifrat (dérivé du nom de package io.cifnzm.utility67pu), distribué via une infrastructure d’hameçonnage imitant Booking.com.
🎣 Vecteur d’infection initial La chaîne d’infection débute par un email de phishing incitant la victime à cliquer sur un lien qui redirige successivement via :
share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page présente une fausse invite de mise à jour de sécurité Booking.com et déclenche le téléchargement d’un APK malveillant : com.pulsebookmanager.helper.apk.
📢 Démantèlement du botnet Kimwolf : 26 000 attaques DDoS via des proxies résidentiels compromis
📝 ## 🗞️ Contexte
Article publié le 2 avril 2026 par le Wall Street Journal, relatant l'investigation ayant conduit au...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-04-demantelement-du-botnet-kimwolf-26-000-attaques-ddos-via-des-proxies-residentiels-compromis/
🌐 source : https://www.wsj.com/tech/kimwolf-hack-residential-proxy-networks-a712ab59
#Android #DDoS #Cyberveille
Démantèlement du botnet Kimwolf : 26 000 attaques DDoS via des proxies résidentiels compromis
🗞️ Contexte Article publié le 2 avril 2026 par le Wall Street Journal, relatant l’investigation ayant conduit au démantèlement du botnet Kimwolf, l’un des plus puissants jamais observés sur internet. L’opération de police fédérale américaine a été annoncée le 19 mars 2026.
🎯 Le botnet Kimwolf Kimwolf est un botnet de type DDoS-as-a-service ayant lancé plus de 26 000 attaques DDoS ciblant plus de 8 000 victimes. À son apogée, il comptait environ 2 millions d’appareils compromis, avec des dizaines de milliers de nouveaux appareils ajoutés quotidiennement. Les opérateurs dépensaient environ 30 000 dollars par mois pour les serveurs de commande et contrôle.
Montée en puissance du device code phishing en 2026 : analyse des kits et campagnes
🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant.
📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026.
Pentagram : outil automatisé d'acquisition de comptes VPN ciblant Fortinet, Cisco et autres
🔍 Contexte Article publié le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article présente une analyse technique d’un outil offensif commercial nommé Pentagram, commercialisé comme solution automatisée d’acquisition de comptes VPN d’entreprise.
🛠️ Description de l’outil Pentagram est une plateforme modulaire composée d’un panel web centralisé et de workers distribués. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opérateur. Les binaires distribués incluent pentagram.exe et i2pd.exe.
📢 Analyse technique de la chaîne d'infection EDR killer de Qilin ransomware via msimg32.dll
📝 ## 🔍 Contexte
Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse tech...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-analyse-technique-de-la-chaine-d-infection-edr-killer-de-qilin-ransomware-via-msimg32-dll/
🌐 source : https://blog.talosintelligence.com/qilin-edr-killer/
#BYOVD #DLL_Side_Loading #Cyberveille
📢 Attaque supply-chain BuddyBoss : un acteur francophone utilise Claude pour compromettre 246 sites WordPress
📝 ## 🔍 Contexte
Publié le 3 avril 2026 par Ctrl-Alt-Intel (ctrlaltintel.com), cet article de recherch...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-attaque-supply-chain-buddyboss-un-acteur-francophone-utilise-claude-pour-compromettre-246-sites-wordpress/
🌐 source : https://ctrlaltintel.com/research/BuddyBoss-1/
#AI_assisted_attack #BuddyBoss #Cyberveille
CyberVeille.ch