Cisco Talos documente une campagne automatisée à grande échelle exploitant React2Shell (CVE-2025-55182) dans les applications Next.js via le framework NEXUS Listener, permettant l'extraction centralisée de tokens cloud, credentials de bases de données et clés SSH depuis des centaines d'hôtes compromis.

Deux kits de Phishing sophistiqués usurpant Coca-Cola et Ferrari ciblent les chercheurs d'emploi : le kit Coca-Cola réalise un bypass MFA en temps réel via une architecture Adversary-in-the-Middle, ciblant exclusivement les comptes Google Workspace. Le kit Ferrari harvest des credentials Facebook via une fausse page OAuth.

McAfee documente le ghost student scam : des identités volées via data breach sont utilisées pour inscrire frauduleusement des victimes dans des établissements universitaires américains, générant des dettes fiscalement recouvrables à leur nom.

La FCC propose une amende de 4,5 millions de dollars contre l'opérateur Voxbeam Telecommunications pour avoir acheminé des dizaines de milliers de robocalls frauduleux usurpant Bank of America et Chase Bank, depuis le prestataire tchèque Axfone, absent de la Robocall Mitigation Database.

Unit 42 publie une chaîne d'attaque complète contre les architectures multi-agents Amazon Bedrock, exploitant le Prompt Injection pour détecter le mode d'orchestration, découvrir les agents collaborateurs, extraire les instructions système et détourner des outils via des inputs malveillants.

Trois alertes du CERT Santé : CVE-2026-35535, élévation de privilèges root dans sudo via exec_mailer() ; CVE-2026-3300, exécution de code PHP arbitraire sans authentification dans le plugin WordPress Everest Forms Pro ; CVE-2026-34982, contournement du sandbox de Vim permettant l'exécution de commandes OS à l'ouverture d'un fichier forgé.

Sources :

• https://blog.talosintelligence.com/the-democratisation-of-business-email-compromise-fraud/
• https://www.malwarebytes.com/blog/threat-intel/2026/04/that-dream-job-offer-from-coca-cola-or-ferrari-its-a-trap-for-your-passwords
• https://www.mcafee.com/blogs/tips-tricks/ghost-student-scam-tax-refund-identity-theft/
• https://therecord.media/fcc-proposes-5-million-fine-robocall
• https://unit42.paloaltonetworks.com/amazon-bedrock-multiagent-applications/
• https://cyberveille.esante.gouv.fr/alertes/sudo-cve-2026-35535-2026-04-03
• https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2026-3300-2026-04-02
• https://cyberveille.esante.gouv.fr/alertes/vim-cve-2026-34982-2026-04-02

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Le 31 mars 2026, Anthropic expose accidentellement le code source complet de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le package npm @anthropic-ai/claude-code. Plus de 513 000 lignes de TypeScript non obfusqué sont rendues publiques, révélant l'architecture interne de l'agent, ses mécanismes d'exécution et plus de vingt feature flags non publiés.

En moins de 72 heures, des acteurs malveillants créent des dépôts GitHub frauduleux positionnés en tête des résultats Google via SEO poisoning. Le compte idbzoomh distribue une archive piégée déployant silencieusement un dropper Rust : ClaudeCode_x64.exe.

Double payload : Vidar 18.7, Information Stealer ciblant credentials, tokens d'API, clés cloud et secrets CI/CD — et GhostSocks, proxy SOCKS5 Backconnect transformant le poste infecté en infrastructure réseau pour les attaquants.

La campagne coïncide avec une attaque supply chain distincte sur npm, amplifiant le risque pour les environnements de développement actifs. Zscaler ThreatLabz documente l'intégralité de la chaîne.

Sources : https://cybersecuritynews.com/claude-code-leak-exploited-by-hackers-to-deliver-vidar-and-ghostsocks/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Les attaques de type device code phishing explosent : Push Security recense une multiplication par 37,5 du nombre de kits détectés depuis le début de l'année 2026. EvilTokens, opérant en Phishing-as-a-Service, est identifié comme principal vecteur, aux côtés de dix autres plateformes actives exploitant des leurres SaaS et des infrastructures cloud légitimes.

Fortinet publie un hotfix d'urgence pour CVE-2026-35616, une vulnérabilité Zero-Day critique dans FortiClient EMS versions 7.4.5 et 7.4.6, avec un score CVSSv3 de 9.1. L'exploitation active in-the-wild est confirmée par le vendeur. Les versions 7.2.x ne sont pas affectées.

L'association Fairlinked e.V. publie l'investigation BrowserGate, accusant LinkedIn d'exécuter un script non documenté analysant les applications installées et extensions de navigateur sur les machines des visiteurs, sans consentement ni mention dans la politique de confidentialité.

OpenSSH corrige plusieurs vulnérabilités dans sa version 10.3, dont une permettant l'exécution de code arbitraire à distance. Toutes les versions antérieures sont affectées. Avis CERTFR-2026-AVI-0391 et bulletin AV26-312 publiés le 2 avril 2026.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0393 pour CVE-2026-5129 affectant Synology Mail Station, versions antérieures à 30000001.3.19-20332 pour DSM. Atteinte à la confidentialité et à l'intégrité des données.

Le tribunal judiciaire de Paris condamne un notaire à 48 025 euros dans une affaire de Business Email Compromise immobilier. Un attaquant avait substitué un IBAN dans un e-mail intercepté, détournant 96 400 euros. Décision du 25 mars 2026.

Proofpoint documente le retour de TA416 sur les cibles diplomatiques européennes depuis mi-2025, avec extension au Moyen-Orient en mars 2026. La chaîne d'infection combine OAuth redirect abuse, MSBuild, fichiers C# malveillants et déploiement du Backdoor PlugX via DLL side-loading.

Sources :

• https://www.bleepingcomputer.com/news/security/device-code-phishing-attacks-surge-37x-as-new-kits-spread-online/
• https://cybersecuritynews.com/fortinet-forticlient-ems-0-day/
• https://cyberpress.org/linkedin-accused-of-secretly-checking-device/
• https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-openssh-av26-312
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0391/
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0393/
• https://www.clubic.com/actualite-607711-arnaque-au-faux-rib-un-pirate-intercepte-un-e-mail-et-piege-l-acheteur-le-notaire-et-les-banques-la-justice-tranche.html
• https://thehackernews.com/2026/04/china-linked-ta416-targets-european.html

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Le CERT-EU attribue avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission supply chain de l'outil Trivy. 92 gigaoctets de données ont été exfiltrés depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Les données ont été publiées le 28 mars sur la plateforme dark web de ShinyHunters.

La Shadowserver Foundation recense plus de 14 000 instances F5 BIG-IP APM toujours exposées sur internet et non corrigées. La vulnérabilité CVE-2025-53521, initialement classifiée Denial-of-Service, a été reclassifiée en Remote Code Execution critique et inscrite au catalogue KEV de la CISA. L'exploitation active est confirmée en environnement réel.

Les incidents Ransomware à double et triple extorsion ont progressé de 49 % en glissement annuel en 2025, atteignant 1 174 incidents confirmés. 124 groupes sont actifs, dont 73 apparus dans l'année. Le secteur de la santé et les infrastructures de paiement figurent parmi les cibles prioritaires.

Cisco Talos documente une campagne automatisée de credential harvesting menée par UAT-10608, ayant compromis 766 hôtes en moins de 24 heures via CVE-2025-55182, une faille RCE pre-authentication dans les React Server Components. Le framework NEXUS Listener exfiltre clés SSH, tokens AWS, credentials de bases de données et clés API Stripe. Plusieurs hôtes exposent des fichiers d'authentification à des registres npm et pip, faisant peser un risque de supply chain.

Sources :

• https://therecord.media/european-commission-cyberattack-teampcp
• https://cybersecuritynews.com/14000-f5-big-ip-apm-exposed-online/
• https://www.bleepingcomputer.com/news/security/evolution-of-ransomware-multi-extortion-ransomware-attacks/
• https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSecurity #CERT #CSIRT #ThreatIntelligence #Ransomware #SupplyChain #F5 #CVE #KEV #CISA #CredentialHarvesting #TeamPCP #CiscoTalos #ReactJS

La CISA intègre deux nouvelles vulnérabilités à son catalogue KEV sur la base de preuves d'exploitation active : CVE-2026-5281, une faille Use-After-Free dans Google Dawn, et CVE-2026-3502, une absence de vérification d'intégrité dans le client TrueConf permettant l'injection de Payload malveillant.

L'Australian Signals Directorate renouvelle son alerte haute sur le ciblage des dépôts de code en ligne. Les acteurs malveillants y mènent des opérations de supply-chain compromise en s'appuyant exclusivement sur des outils légitimes, une technique de Living Off the Land appliquée aux environnements de développement.

Le CERT-FR alerte sur l'expiration imminente de trois certificats Microsoft utilisés par l'UEFI Secure Boot en juin 2026. Sans déploiement des certificats 2023, les systèmes Windows en domaine et certaines distributions Linux utilisant le chargeur Shim ne recevront plus de mises à jour de la séquence de démarrage.

Cisco corrige deux vulnérabilités critiques notées 9.8 au CVSS : CVE-2026-20093 dans l'Integrated Management Controller, permettant à un attaquant non authentifié de contourner l'authentification et de prendre le contrôle de l'équipement, et CVE-2026-20160 dans le Smart Software Manager On-Prem, exposant un service interne autorisant l'exécution de commandes avec des privilèges root.

GreyNoise analyse quatre milliards de sessions malveillantes sur trois mois et établit que 78% du trafic acheminé via des Residential Proxies échappe aux systèmes de réputation IP. Ces infrastructures, alimentées par des botnets IoT et des SDK intégrés dans des VPN gratuits, tournent sur 683 fournisseurs d'accès différents avec une durée de vie médiane inférieure à un mois.

Sources :

• https://www.cisa.gov/news-events/alerts/2026/04/02/cisa-adds-one-known-exploited-vulnerability-catalog
• https://www.cisa.gov/news-events/alerts/2026/04/01/cisa-adds-one-known-exploited-vulnerability-catalog
• https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/ongoing-targeting-of-online-code-repositories
• https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-014/
• https://thehackernews.com/2026/04/cisco-patches-98-cvss-imc-and-ssm-flaws.html
• https://www.bleepingcomputer.com/news/security/residential-proxies-evaded-ip-reputation-checks-in-78-percent-of-4b-sessions/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #ThreatIntelligence #KEV #CISA #SecureBoot #UEFI #SupplyChain #Cisco #CVE #ResidentialProxy #GreyNoise #RadioCSIRT

Selon Google Threat Intelligence Group, le package NPM axios avec plus de 100 millions de téléchargements hebdomadaires a été compromis le 31 mars 2026 par UNC1069, acteur nord-coréen, via l'injection d'une dépendance malveillante déployant le Backdoor WAVESHAPER.V2 sur Windows, macOS et Linux.

AWS annonce la disponibilité générale d'AWS Security Agent, un service de pentest autonome par agents IA combinant SAST, DAST et exploitation contextuelle, facturé 50 dollars par task-hour, disponible sur AWS, Azure, GCP et on-premises.

Check Point Research documente l'opération TrueChaos : la CVE-2026-3502, Zero-Day CVSS 7.8 dans le mécanisme de mise à jour TrueConf, a été exploitée in-the-wild contre des entités gouvernementales d'Asie du Sud-Est par un acteur China-nexus, déployant le framework Havoc via DLL side-loading. Correctif disponible en version 8.5.3.

Kaspersky GReAT analyse CrystalX, un RAT vendu en MaaS sur Telegram depuis janvier 2026, combinant Backdoor, Stealer, Keylogger, Clipper crypto et accès distant, sans restriction géographique et en développement actif.

Le ministre roumain de la Défense confirme plus de 10 000 tentatives d'attaques quotidiennes contre les institutions gouvernementales, dans un contexte de pression hybride attribuée à des acteurs russes coïncidant avec les décisions politiques liées au soutien à l'Ukraine.

Le FBI alerte via son site IC3 sur les risques posés par les applications mobiles d'origine chinoise, soumises aux lois chinoises de sécurité nationale, avec collecte de données hors session active et stockage sur serveurs en Chine.

Sources :

• https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package?hl=en
• https://aws.amazon.com/fr/blogs/security/aws-security-agent-on-demand-penetration-testing-now-generally-available/
• https://research.checkpoint.com/2026/operation-truechaos-0-day-exploitation-against-southeast-asian-government-targets/
• https://securelist.com/crystalx-rat-with-prankware-features/119283/
• https://therecord.media/romania-cyberattacks-russia-defense-minister
• https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/
• https://www.bleepingcomputer.com/news/security/fbi-warns-against-using-chinese-mobile-apps-over-to-data-security-risks/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #ThreatIntelligence #SupplyChain #NPM #axios #UNC1069 #WAVESHAPER #TrueChaos #TrueConf #ZeroDay #CrystalX #MaaS #Romania #FBI #RadioCSIRT

La CISA ajoute le 30 mars 2026 la CVE-2026-3055 à son catalogue Known Exploited Vulnerabilities. La faille, de type Out-of-Bounds Read, affecte Citrix NetScaler et fait l'objet d'une exploitation active confirmée. Les agences fédérales civiles américaines sont soumises à une obligation de remédiation dans les délais fixés par la Binding Operational Directive 22-01.

Selon ANY.RUN, une campagne Magecart active depuis au moins vingt-quatre mois cible des sites e-commerce WooCommerce, avec une concentration notable en Espagne, en France et aux États-Unis. Les attaquants déploient un framework de checkout hijacking en plusieurs étapes : un Loader JavaScript obfusqué injecté dans le site compromis charge dynamiquement un payload principal via une infrastructure de plus de cent domaines avec mécanisme de fallback. L'exfiltration des données de carte — numéro complet, date d'expiration, CVV — s'effectue via WebSocket vers un serveur C2 déguisé en domaine Redsys, contournant les outils de surveillance HTTP traditionnels. Le même payload distribue également un APK Android malveillant via ingénierie sociale.

Selon Synthient Research, le botnet proxy Socks5Systemz, actif depuis 2013 et précédemment commercialisé sous la bannière PROXY[.]AM, opère désormais sous le nom ProxyBox après le sinkholing de son infrastructure en 2024. Le service maintient entre 32 000 et 35 000 adresses IP actives quotidiennement, concentrées en Russie, au Brésil et en Inde. La chaîne d'infection repose sur des sites de logiciels piratés distribuant un Loader en plusieurs étapes : auto-écrasement en mémoire, extraction d'une DLL chiffrée en RC4 depuis la section ressource, et persistance via service Windows ou clé de registre. La communication C2 utilise un User-Agent MSIE 9.0 falsifié et alterne HTTPS et HTTP avec mécanisme de fallback.

Sources :

• https://www.cisa.gov/news-events/alerts/2026/03/30/cisa-adds-one-known-exploited-vulnerability-catalog
• https://any.run/cybersecurity-blog/banks-magecart-campaign/
• https://synthient.com/blog/proxybox-socks5systemz-lives-on

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com