Si vous avez installé Bitwarden CLI via npm entre 17h57 et 19h30 PM (heure de New York) ce 22 avril, faut faire le ménage sur votre machine de toute urgence !! En effet, le package @bitwarden/cli version 2026.4.0 a été compromis durant 93 minutes, et le malware qui s'y trouvait a fait des dégâts chez les 334 personnes qui l'ont téléchargé pendant cette fenêtre.
Mais alors c'est quoi cette histoire encore ?
Hé bien des attaquants ont réussi à piéger le pipeline GitHub Actions de Bitwarden, à y injecter un fichier bw1.js dans le package npm officiel, et à le publier sans qu'aucune alerte ne parte. Jusqu'à ce que l'équipe sécurité de Bitwarden capte le truc et retire le package une heure et demie plus tard.
Et y'a un truc qui fait tiquer dans cette histoire, c'est que le malware s'annonce fièrement comme "Shai-Hulud: The Third Coming". En fait c'est la troisième vague d'une campagne npm
qu'on avait déjà croisée en septembre 2025
. Et les attaquants restent cohérents dans leur branding puisque les dépôts publics qu'ils créent chez les victimes portent des noms issu de Dune comme atreides, fremen, sardaukar ou harkonnen. Donc sachez le, si vous voyez ça apparaître sur votre GitHub, vous êtes cuit !
Le payload, lui, est propre dans son approche crasseuse,
selon l'analyse de Socket
. Il chope tout ce qui traîne sur votre machine : tokens GitHub (ghp_*), tokens npm, credentials AWS dans ~/.aws, tokens Azure, SSH keys, fichiers .npmrc, configs Claude et MCP.
Puis il chiffre le tout en AES-256-GCM avec une clé RSA éphémère, balance le paquet vers audit.checkmarx[.]cx/v1/telemetry (un domaine qui imite Checkmarx pour brouiller les pistes), puis injecte une backdoor dans vos .bashrc et .zshrc. Ah et le malware vérifie également votre localisation système et se barre en silence sans faire de dégâts si elle commence par "ru". Ohhh comme c'est bizarre ^^.
Bref, si vous êtes concerné, voici la liste des trucs à faire dans l'ordre :
npm uninstall -g @bitwarden/cli puis npm cache clean --force
Rotation complète de vos secrets : tokens GitHub, tokens npm, credentials AWS/Azure/GCP, clés SSH
Vérifiez vos repos GitHub pour des créations suspectes avec des noms Dune
Cherchez "LongLiveTheResistanceAgainstMachines" dans vos commits (c'est leur marker d'exfiltration)
Virez les modifications suspectes dans vos ~/.bashrc et ~/.zshrc
Installez la version 2026.4.1 qui est propre
Faut bien le reconnaître, Bitwarden a été hyper réactif dans cette histoire. Détection en interne, mise en quarantaine en 93 minutes, communication claire, et CVE émis dans la foulée. Et heureusement, aucune donnée utilisateur n'a fuité vu que les vaults restent chiffrés côté client de toute façon, et que seuls les développeurs qui ont installé le CLI pendant ce créneau sont touchés. Les extensions navigateur, l'app desktop, mobile, le package snap, rien de tout ça n'a bougé.
Mais ça reste quand même la preuve que npm est devenu LE cauchemar de la supply chain moderne. Après
Axios
le mois dernier et la campagne Shai-Hulud de septembre, on en est au point où chaque package JS avec un script d'install équivaut à une bonne vieille roulette russe. Donc si vous bossez dans un environnement CI/CD, soyez vigilant et jetez aussi un oeil à
safe-npm
pour mettre un peu de paranoïa automatisée dans votre workflow quotidien.
Voilà, si vous avez installé Bitwarden CLI avant-hier soir via npm, vous avez du boulot. Sinon, respirez car Bitwarden a tenu bon !
Une variante Linux de la backdoor GoGra a été identifiée. Sa particularité : elle s'appuie sur l'API Microsoft Graph pour communiquer avec les pirates.
Selon une étude parue le 8 avril 2026, un PDF piégé circulant dans la nature aurait la capacité dès son ouverture de dérober les fichiers locaux sur la machine dans lequel il se trouve. La faille, activement exploitée depuis novembre dans Adobe Reader, n'a toujours pas de correctif.
Acheter sur internet est inévitable de nos jours. Les arnaques pullulant sur la toile, voici comment détecter en un clin d'œil un site frauduleux et éviter de voir son numéro de carte bancaire tomber entre les mains de cybercriminels.
Sponsorisé par Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
À l’occasion du Forum InCyber, Numerama a souhaité approfondir les discussions autour des menaces grandissantes pour les entreprises. Parmi elles, l'automatisation de l'économie souterraine de la cybercriminalité qui a permis de faire drastiquement chuter le délai de revente d'un accès compromis sur le dark web.
Dans la nuit du 30 au 31 mars 2026, deux versions piégées d'Axios ont été publiées sur npm, la plateforme de distribution de code la plus utilisée au monde par les développeurs. Derrière l'attaque, un compte développeur volé, un logiciel espion capable d'infecter Windows, macOS et Linux, et un mécanisme conçu pour effacer toute trace après infection.
Des milliers de faux messages imitant des notifications de sécurité Visual Studio Code ont été postés sur GitHub. Le but : rediriger les développeurs vers un site malveillant qui collecte leurs données système. La méthode est franchement vicieuse.
Une campagne massive sur GitHub Discussions
Les chercheurs en sécurité de Socket viennent de mettre le doigt sur une opération d'ampleur. Des centaines, voire des milliers de messages quasi identiques ont été publiés en quelques minutes sur la section Discussions de nombreux dépôts GitHub.
Chaque message reprend le même modèle : un titre alarmiste du type "Vulnérabilité grave Mise à jour immédiate requise", un faux identifiant CVE pour faire sérieux, et un lien vers une prétendue extension VS Code corrigée hébergée sur Google Drive.
Les comptes utilisés sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en sécurité. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un dépôt ou qui sont taguées, les fausses alertes arrivent directement dans la boîte mail des développeurs. Vous pouvez donc vous faire avoir sans même ouvrir GitHub.
Un système de filtrage avant le malware
Bien sûr, le lien Google Drive ne vous amène pas d'un coup vers un fichier infecté. Il déclenche avant une série de redirections qui vous emmènent inlassablement vers un domaine bien foireux, où un script JavaScript va se charger du sale boulot.
Ce script collecte automatiquement le fuseau horaire, la langue, le système d'exploitation, l'identifiant du navigateur et même des indicateurs d'automatisation. Tout est envoyé vers un serveur de commande sans que vous n'ayez à cliquer sur quoi que ce soit.
L'idée derrière ce dispositif, c'est de trier les visiteurs. Les robots et les chercheurs en sécurité sont écartés, et seuls les vrais humains reçoivent la suite de l'attaque. Les chercheurs de Socket n'ont d'ailleurs pas réussi à capturer le malware de deuxième étape, ce qui montre que le filtrage fonctionne plutôt bien.
Ce n'est pas la première fois
GitHub a déjà été ciblé par ce genre de campagne. En mars 2025, une attaque similaire avait touché 12 000 dépôts avec de fausses alertes de sécurité qui poussaient les développeurs à autoriser une application OAuth malveillante.
Cette fois-là, les pirates obtenaient un accès direct aux comptes GitHub des victimes. En juin 2024, c'était via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d'hameçonnage.
Le procédé est malin. Utiliser les notifications GitHub pour donner une apparence officielle à des messages bidons, c'est le genre d'astuce qui marche bien sur des développeurs pressés.
Bon par contre, un lien Google Drive dans une alerte de sécurité, ça devrait quand même mettre la puce à l'oreille. Si vous recevez ce type de message, vérifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer où que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.
Dans un article de blog publié le 19 mars 2026, les chercheurs de Gen Threat Labs mettent en lumière les nouvelles capacités de VoidStealer, un infostealer vendu sur le dark web depuis décembre 2025, qui a récemment développé une technique inédite pour contourner le chiffrement renforcé de Google Chrome.
Dans un rapport, les chercheurs du Google Threat Intelligence Group décrivent comment un kit d'exploitation vendu à plusieurs acteurs, étatiques et commerciaux, a permis de compromettre des iPhone en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.
Dans la nuit du 10 au 11 mars 2026, Stryker, géant américain du matériel médical, a subi une attaque destructrice qui a mis hors ligne des dizaines de milliers de systèmes dans le monde entier. Une opération menée en représailles à l'opération militaire menée par les États-Unis en Iran.
Un processus inconnu dans le Gestionnaire des tâches, un nom étrange, une forte utilisation CPU ou une activité réseau inhabituelle peuvent susciter des inquiétudes.
Sous Windows 11/10, des dizaines de processus légitimes s’exécutent en arrière-plan. Mais un malware peut se dissimuler derrière un nom trompeur pour passer inaperçu.
Pour déterminer si un processus est légitime ou malveillant, il faut analyser plusieurs éléments : son emplacement, sa signature numérique, son comportement, sa persistance et son éventuelle détection par des antivirus.
Ce guide vous donne une méthode claire pour vérifier un processus suspect sans supprimer par erreur un composant système légitime.
Comment identifier un processus suspect sous Windows 11/10
Un virus ou un autre logiciel malveillant s’exécute généralement sous la forme d’un processus actif en arrière-plan. Examiner les processus en cours d’exécution sous Windows 11/10 est donc une étape essentielle pour déterminer si votre PC est infecté.
L’objectif est d’identifier un programme inhabituel, mal nommé ou incohérent avec votre utilisation.
Examiner les processus avec le Gestionnaire des tâches
Puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
Ouvrez l’onglet Processus
Cliquez sur Plus de détails si nécessaire
Vérifiez :
Les programmes que vous ne reconnaissez pas
Une utilisation CPU ou disque anormalement élevée
Un nom étrange ou mal orthographié
Un processus consommant beaucoup de ressources alors que vous n’utilisez aucun logiciel lourd peut être suspect.
Identifier le processus exact (onglet Détails)
Pour une analyse plus précise :
Ouvrez l’onglet Détails
Notez le nom exact du processus
Vérifiez le PID si nécessaire
Les malwares utilisent parfois un nom proche d’un processus système légitime (ex : svch0st.exe au lieu de svchost.exe).
Vérifier l’emplacement du fichier
Pour contrôler où se trouve le programme :
Faites un clic droit sur le processus
Cliquez sur Ouvrir l’emplacement du fichier
Un fichier situé dans :
C:\Windows\System32
C:\Program Files
est généralement légitime.
En revanche, un exécutable placé dans :
AppData
Temp
Un dossier au nom aléatoire
mérite une analyse approfondie.
Vérifier la signature numérique
Pour savoir si un fichier est signé :
Faites un clic droit sur le fichier
Cliquez sur Propriétés
Ouvrez l’onglet Signatures numériques
Une signature valide provenant de Microsoft ou d’un éditeur reconnu est rassurante. L’absence de signature n’est pas forcément malveillante, mais elle doit inciter à la prudence.
Si un processus vous semble suspect (nom inhabituel, forte utilisation CPU, comportement étrange), vous pouvez analyser son fichier exécutable avec VirusTotal, un service en ligne qui vérifie un fichier à l’aide de dizaines de moteurs antivirus.
Pour analyser un processus :
Faites un clic droit sur le processus dans le Gestionnaire des tâches
Cliquez sur Ouvrir l’emplacement du fichier
Copiez le fichier exécutable
Téléversez-le sur VirusTotal
VirusTotal affiche un résultat du type :
0/70 → Aucun moteur ne détecte le fichier 5/70 → 5 moteurs signalent un problème
Plus le nombre de détections est élevé, plus le risque est important.
Attention : une ou deux détections isolées peuvent correspondre à des faux positifs. Il est important d’interpréter le score avec prudence.
Analyser automatiquement les processus avec VirusTotal via Process Explorer
Plutôt que de vérifier manuellement chaque fichier suspect, vous pouvez utiliser Process Explorer (outil Microsoft Sysinternals) pour analyser automatiquement les processus actifs via VirusTotal.
Process Explorer est un gestionnaire des tâches avancé qui permet notamment :
D’afficher l’arborescence complète des processus
De vérifier les signatures numériques
D’analyser automatiquement les exécutables en ligne
Un processus malveillant ne se contente pas d’être actif. Il tente généralement de se relancer automatiquement après un redémarrage.
Si vous suspectez un processus précis, vous devez vérifier s’il est configuré pour démarrer automatiquement.
Vérifier si le processus est présent au démarrage
Ouvrez le Gestionnaire des tâches
Cliquez sur l’onglet Démarrage
Recherchez le nom exact du processus suspect
S’il apparaît dans la liste avec un statut Activé, cela peut indiquer une tentative de persistance.
Vérifier les tâches planifiées liées au processus
Appuyez sur Windows + R
Tapez taskschd.msc
Recherchez une tâche qui lance le même fichier exécutable
Ouvrez la tâche et vérifiez le chemin du programme exécuté.
Si la tâche lance précisément le fichier suspect, cela confirme une persistance programmée.
Vérifier s’il est installé comme service
Appuyez sur Windows + R
Tapez msconfig
Allez dans l’onglet Services
Cochez « Masquer tous les services Microsoft«
Vérifier si un service inconnu ou suspicieux est présent
Analyser un processus avec Process Explorer et Autoruns
Le Gestionnaire des tâches de Windows 11/10 permet une première analyse, mais il reste limité. Pour examiner en profondeur un processus suspect ou détecter une persistance cachée, il est recommandé d’utiliser des outils avancés de Microsoft Sysinternals.
Deux outils sont particulièrement utiles : Process Explorer et Autoruns.
Analyser un processus en détail avec Process Explorer
Process Explorer est un gestionnaire des tâches avancé qui fournit beaucoup plus d’informations que l’outil intégré à Windows.
Il permet notamment de :
Voir l’arborescence complète des processus
Identifier le processus parent
Vérifier la signature numérique en temps réel
Consulter les DLL chargées
Interroger automatiquement VirusTotal
Pour l’utiliser :
Téléchargez et lancez Process Explorer
Recherchez le processus suspect
Vérifiez la colonne Verified Signer
Activez l’option Check VirusTotal.com dans le menu Options
Un processus non signé, situé dans un dossier inhabituel et signalé par VirusTotal mérite une analyse approfondie.
Si vous suspectez qu’un processus malveillant se relance automatiquement, Autoruns est l’outil le plus complet pour analyser les mécanismes de démarrage.
Il affiche :
Les programmes au démarrage
Les services
Les tâches planifiées
Les pilotes
Les extensions navigateur
Les clés de registre liées au lancement automatique
Autoruns permet d’identifier des éléments que le Gestionnaire des tâches ne montre pas.
Pour analyser :
Lancez Autoruns
Recherchez le nom du processus suspect
Vérifiez le chemin du fichier
Contrôlez la signature numérique
Un élément au nom étrange, non signé et situé dans AppData ou Temp doit être examiné avec prudence.
Un processus inconnu ne signifie pas automatiquement qu’il est malveillant. Windows 11/10 exécute de nombreux services en arrière-plan, dont certains portent des noms peu explicites. Il est donc important de ne pas paniquer au premier doute.
En revanche, certains signaux doivent réellement vous alerter, surtout lorsqu’ils se cumulent.
Combinaison de plusieurs indicateurs suspects
Vous devez commencer à vous inquiéter si le processus présente plusieurs des caractéristiques suivantes :
Indicateur
Niveau d’alerte
Nom proche système
Élevé
Absence signature
Moyen
Dossier Temp
Élevé
Score VirusTotal élevé
Critique
Persistance automatique
Critique
Un seul critère isolé ne suffit généralement pas. C’est la combinaison de plusieurs éléments qui doit attirer votre attention.
Le processus réapparaît après suppression
Si vous tentez de :
Terminer le processus
Supprimer le fichier
Désactiver son démarrage
et qu’il réapparaît automatiquement, cela peut indiquer :
Une persistance installée (tâche planifiée, service, clé registre)
Une infection plus avancée
Un malware actif en mémoire
Dans ce cas, une analyse plus poussée est nécessaire.
Modifications système associées
Un processus devient particulièrement suspect s’il s’accompagne de :
Désactivation de l’antivirus
Modification des paramètres proxy
Ajout d’un compte administrateur
Redirections navigateur
Ces comportements sont plus caractéristiques d’un malware que d’un simple programme mal configuré.
Signes complémentaires d’infection
Vous devez également vous inquiéter si le processus suspect est lié à :
Des fichiers chiffrés (ransomware)
Une activité réseau constante au repos
L’impossibilité d’accéder à des sites de sécurité
Des messages d’erreur inhabituels au démarrage
Que faire si le processus est malveillant ?
Si vos vérifications confirment qu’un processus est réellement malveillant sous Windows 11/10, il est important d’agir avec méthode. Supprimer un fichier au hasard ou forcer l’arrêt d’un processus sans analyse peut rendre le système instable.
Voici les étapes à suivre.
Isoler temporairement le PC du réseau
Si le processus communique vers l’extérieur :
Déconnectez le Wi-Fi
Débranchez le câble Ethernet
Cela limite les communications avec un serveur distant (exfiltration de données, réception d’instructions).
Mettre fin au processus suspect
Dans un premier temps :
Ouvrez le Gestionnaire des tâches
Sélectionnez le processus
Cliquez sur Fin de tâche
Si le processus refuse de se fermer ou se relance immédiatement, cela peut indiquer une persistance active.
Dans un article de blog publié le 19 février 2026, les chercheurs en cybersécurité d'ESET mettent en lumière un nouveau malware baptisé PromptSpy. Point d'intérêt majeur ? La façon dont ce logiciel malveillant intègre l'IA dans son fonctionnement.
Connexion
