📢 Faux installateur Zoom déploie ScreenConnect via une simulation JavaScript convaincante
📝 ## 🗓️ Contexte
Article publié le 30 mars 2026 par Sublime Threat Intelligence & Research, dans le c...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-faux-installateur-zoom-deploie-screenconnect-via-une-simulation-javascript-convaincante/
🌐 source : https://proxied2.sublime.security/blog/advanced-fake-zoom-installer-used-for-delivering-malware
#IOC #ScreenConnect #Cyberveille
📢 Webshells PHP contrôlés par cookies : persistance furtive dans les environnements Linux
📝 ## 🔍 Contexte
Publié le 2 avril 2026 par la Microsof...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-webshells-php-controles-par-cookies-persistance-furtive-dans-les-environnements-linux/
🌐 source : https://www.microsoft.com/en-us/security/blog/2026/04/02/cookie-controlled-php-webshells-tradecraft-linux-hosting-environments/
#Cookie_controlled_PHP_webshell #IOC #Cyberveille
📢 ImageMagick : chaîne de zero-days permettant RCE sur toutes les politiques de sécurité
📝 ## 🔍 Contexte
Publié le 02/04/2026 par Octagon Networks sur pwn.ai, cet article détaille une recherche offensive...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-04-imagemagick-chaine-de-zero-days-permettant-rce-sur-toutes-les-politiques-de-securite/
🌐 source : https://pwn.ai/blog/imagemagick-from-arbitrary-file-read-to-rce-in-every-policy-zeroday
#GhostScript #IOC #Cyberveille
🔍 Contexte Publié le 02/04/2026 par Octagon Networks sur pwn.ai, cet article détaille une recherche offensive autonome menée par l’agent IA pwn.ai pendant près de 5 jours, initiée lors d’un engagement client sur une application web minimaliste dont la seule surface d’attaque était une boîte d’upload traitant les fichiers via ImageMagick. 🎯 Découvertes principales La recherche a abouti à la découverte de multiples zero-days dans ImageMagick affectant toutes les distributions Linux majeures (Ubuntu 22.04, Debian, Fedora, RHEL, Arch, Alpine, Amazon Linux, macOS Homebrew, Docker) ainsi que les installations WordPress.
📢 Incident Notepad++ : IOCs publiés par l'ancien hébergeur suite à une mise à jour malveillante
📝 ## 🔍 Contexte
Document publié le 02/04/2026 sur le site officiel de Notepad++ (notepad-plus-plus.org), émanant de l'ancie...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-04-incident-notepad-iocs-publies-par-l-ancien-hebergeur-suite-a-une-mise-a-jour-malveillante/
🌐 source : https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt
#IOC #IOCs #Cyberveille
🔍 Contexte Document publié le 02/04/2026 sur le site officiel de Notepad++ (notepad-plus-plus.org), émanant de l’ancien fournisseur d’hébergement. Ce document partage des indicateurs de compromission (IOCs) observés dans l’environnement d’hébergement lors de l’incident impliquant une mise à jour malveillante de Notepad++. L’hébergeur précise ne pas avoir hébergé la mise à jour malveillante elle-même et ne pas avoir de visibilité sur la chaîne d’attaque complète ni sur l’impact pour les utilisateurs finaux.
📢 WinDbg MCP : serveur exposant 55 outils de débogage Windows via le Model Context Protocol
📝 ## 🔧 Contexte
Publié le 02/04/2026 sur GitHub, **WinDbg MCP** est un projet open source qui expose l'intégralité des fonctions du débogueur Windows **pybag/WinDbg**...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-04-windbg-mcp-serveur-exposant-55-outils-de-debogage-windows-via-le-model-context-protocol/
🌐 source : https://github.com/gengstah/windbg-mcp
#IOC #MCP #Cyberveille
🔧 Contexte Publié le 02/04/2026 sur GitHub, WinDbg MCP est un projet open source qui expose l’intégralité des fonctions du débogueur Windows pybag/WinDbg sous forme d’outils natifs MCP (Model Context Protocol). Il s’adresse aux développeurs, chercheurs et agents IA souhaitant automatiser l’analyse de processus, de sessions kernel ou de crash dumps. ⚙️ Fonctionnement technique Le serveur s’exécute comme un processus stdio local et communique via JSON-RPC 2.0. Il expose 55 outils couvrant :
📢 Attaque supply chain npm : axios compromis 2h54min par UNC1069 via token volé
📝 ## 🗓️ Contexte
Article publié le 2 avril 2026 par CodeAnt AI, analysant en détail l'attaque supply chain ayant ciblé la bibliothèque JavaScript **axios** su...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-02-attaque-supply-chain-npm-axios-compromis-2h54min-par-unc1069-via-token-vole/
🌐 source : https://www.codeant.ai/blogs/axios-npm-supply-chain-attack
#AppleScript_RAT #IOC #Cyberveille
🗓️ Contexte Article publié le 2 avril 2026 par CodeAnt AI, analysant en détail l’attaque supply chain ayant ciblé la bibliothèque JavaScript axios sur le registre npm le 31 mars 2026. Axios est le client HTTP JavaScript le plus utilisé au monde avec plus de 100 millions de téléchargements hebdomadaires. 🔓 Vecteur d’accès initial L’attaquant a obtenu un token npm classique à longue durée de vie appartenant au mainteneur principal (jasonsaayman). Ce type de token ne possède ni expiration, ni MFA, ni vérification de session. Il a permis de publier directement sur le registre sans passer par le mécanisme OIDC Trusted Publisher habituellement utilisé par les releases légitimes d’axios.
📢 Attaque supply chain : un acteur nord-coréen compromet le package NPM axios
📝 ## 🌐 Contexte
Source : Google Threat Intelligence Group (GTIG) / Mandiant, publiée le 31 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-04-02-attaque-supply-chain-un-acteur-nord-coreen-compromet-le-package-npm-axios/
🌐 source : https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package?hl=en
#Corée_du_Nord #IOC #Cyberveille
🌐 Contexte Source : Google Threat Intelligence Group (GTIG) / Mandiant, publiée le 31 mars 2026. L’article documente une attaque de chaîne d’approvisionnement logicielle ciblant le package axios, l’un des packages NPM les plus utilisés au monde, attribuée à un acteur lié à la Corée du Nord. 🎯 Acteur et attribution GTIG attribue cette activité à UNC1069, un acteur à motivation financière actif depuis 2018 et lié à la Corée du Nord. L’attribution repose sur :
📢 AVrecon : le FBI démantèle SocksEscort et alerte sur un malware ciblant les routeurs SOHO
📝 ## 🌐 Contexte
Publié le 2 avril 2026 sur The Cyber Express, cet article fait suite au démantèlement du service proxy résidentiel criminel **S...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-02-avrecon-le-fbi-demantele-socksescort-et-alerte-sur-un-malware-ciblant-les-routeurs-soho/
🌐 source : https://thecyberexpress.com/fbi-warns-of-avrecon-malware/
#AVrecon #IOC #Cyberveille
🌐 Contexte Publié le 2 avril 2026 sur The Cyber Express, cet article fait suite au démantèlement du service proxy résidentiel criminel SocksEscort par le FBI et plusieurs agences internationales. L’enquête a mis en lumière le rôle central du malware AVrecon dans la construction et l’exploitation de cette infrastructure. 🦠 Fonctionnement d’AVrecon AVrecon se propage en scannant Internet à la recherche de dispositifs exposant des services vulnérables. Les vecteurs d’infection incluent :
CyberVeille.ch
Beefeater Fella
VulDB 