Dans un billet de blog publié le 4 juin 2026, les chercheurs en sécurité de Sansec racontent comment des pirates informatiques sont parvenus à détourner Stripe pour en faire leur propre infrastructure de vol de données bancaires.
Dans un billet de blog publié le 4 juin 2026, les chercheurs en sécurité de Sansec racontent comment des pirates informatiques sont parvenus à détourner Stripe pour en faire leur propre infrastructure de vol de données bancaires.
Découvrez comment la campagne Weedhack vise les joueurs de Minecraft via YouTube et le SEO poisoning, infectant plus de 116 000 machines en 6 mois.
Le post Weedhack : ce malware cible les joueurs de Minecraft et fait déjà plus de 116 000 victimes a été publié sur IT-Connect.
Voilà qui est rigolo. Un développeur malveillant a essayé de voler les fichiers sensibles des utilisateurs de Claude (l'assistant IA d'Anthropic, concurrent d'OpenAI sur les modèles de langage) en uploadant un package npm piégé.
Sauf que dans son code, il a laissé son propre token d'authentification GitHub privé. Les chercheurs n'ont eu qu'à le récupérer pour remonter jusqu'à lui.
Le package s'appelait mouse5212-super-formatter. Il se présentait comme un utilitaire interne de synchronisation de déploiement, mais en pratique, il scannait le répertoire local de l'utilisateur, encodait tous les fichiers en base64 (un format texte qui permet de transporter des données binaires), puis les uploadait sur un dépôt GitHub contrôlé par l'attaquant via l'API Contents.
La cible : les fichiers laissés par Claude Code (la version en ligne de commande de l'assistant IA d'Anthropic) sur le système, qui peuvent contenir des clés API, des tokens, ou des bouts de code propriétaire.
Le package a fait 676 téléchargements avant d'être supprimé par npm (le registre de packages JavaScript le plus utilisé au monde). C'est limité, mais pas anecdotique.
Le compte GitHub utilisé pour la campagne a été créé le 26 mai 2026, soit quelques heures seulement avant la première version malveillante. Une opération préparée à la va-vite donc.
La bourde monumentale, c'est donc ce token GitHub privé hardcodé dans le code en fallback, au cas où la variable d'environnement ne soit pas définie.
Du coup, les chercheurs d'OX Security (une boîte spécialisée dans la sécurité des dépendances open-source) ont pu accéder directement au dépôt de l'attaquant, lister tous les fichiers volés, et confirmer l'ampleur de l'opération. C'est le genre d'erreur qu'on pardonne à un débutant sur un projet perso. Pas à quelqu'un qui essaie de monter une campagne d'exfiltration.
Les chercheurs notent aussi que le code a tout l'air d'avoir été pondu par une IA un peu foireuse. Variables mal nommées, structure approximative, gestion d'erreurs incohérente. Bref, du "slop" (terme utilisé pour qualifier les productions IA bâclées) avec toutes les négligences que ça implique. Et ce n'est probablement qu'un avant-goût. Avec la généralisation des assistants IA pour coder, n'importe qui peut désormais bricoler un malware fonctionnel sans rien connaître au développement. Et faire des erreurs de débutant en passant.
En tout cas, ça reste comique. Un attaquant piégé par son propre token. Bonne vanne.
Source : The Hacker News
L'infrastructure du botnet Glassworm a été démantelée grâce à une action menée conjointement par CrowdStrike, Google et The Shadowserver Foundation.
Le post Supply Chain : le botnet Glassworm ciblant GitHub et VS Code a été démantelé ! a été publié sur IT-Connect.
Alors celle-là, elle est incroyable les copains !
Le piratage du jour vient d'être confirmé par la plateforme qui héberge une bonne moitié du code de la tech mondiale ! En effet, Github a subi un accès non autorisé à ses propres dépôts internes, à cause d'une extension VS Code piégée installée sur l'ordi d'un employé !
L'annonce officielle est tombée sur le compte X de l'entreprise à l'instant et c'est comme ça que je suis tombé dessus.
GitHub dit avoir détecté et maîtrisé la compromission hier. L'extension VS Code malveillante a été retirée, le poste de travail isolé, et la rotation des secrets critiques est en cours. Côté impact, le message officiel c'est que "À l'heure actuelle, nous ne disposons d'aucune indication laissant supposer que les informations des clients stockées en dehors des référentiels internes de GitHub aient été compromises".
Du coup, nos repos perso, nos orgs, nos enterprises...etc, rien n'est normalement touché à ce stade, en tout cas selon ce que GitHub voit pour l'instant.
Le thread officiel de GitHub sur l'incident
Sauf que sur le darkweb, un acteur baptisé TeamPCP, repéré par le compte de threat intel Dark Web Informer, prétend détenir et vendre environ 4000 dépôts privés volés à GitHub. L'entreprise n'a pas publié de chiffre officiel mais a reconnu que la revendication était cohérente avec son enquête en cours, le rapport complet arrivera une fois bouclé.
Bref, à prendre au sérieux mais avec des pincettes le temps que ça se vérifie !
C'est vrai qu'en ce moment, on est dans une vague d'attaques supply chain qui ciblent les extensions VS Code , qui sont devenues un vrai vecteur d'attaque reconnu. Et tout le monde peut se faire piéger (même les ingés GitHub !).
Donc pour vous qui me lisez, la règle de base reste la même : Installez une extension VS Code uniquement si vous faites confiance à l'éditeur. En pratique, faut regarder le tag publisher verified, l'âge du compte, le nombre d'installs et la date de la dernière release, et surtout méfiez-vous des forks fraîchement republiés sous des noms qui ressemblent à un outil connu.
Pour suivre ça maintenant, le thread officiel et ses mises à jour sont sur le compte X de GitHub .
JDownloader a été victime d'une cyberattaque : les pirates sont parvenus à modifier les liens de téléchargements pour pointer vers des versions infectées.
Le post Le site officiel de JDownloader compromis pour diffuser un malware sur Windows et Linux a été publié sur IT-Connect.
Depuis début avril 2026, les programmes d'installation de DAEMON Tools sont infectés par un logiciel malveillant suite à une attaque de type supply-chain.
Le post DAEMON Tools : des milliers de PC infectés via les versions officielles a été publié sur IT-Connect.
Une variante Linux de la backdoor GoGra a été identifiée. Sa particularité : elle s'appuie sur l'API Microsoft Graph pour communiquer avec les pirates.
Le post GoGra : ce malware Linux est piloté avec l’API Microsoft Graph et Outlook a été publié sur IT-Connect.
Selon une étude parue le 8 avril 2026, un PDF piégé circulant dans la nature aurait la capacité dès son ouverture de dérober les fichiers locaux sur la machine dans lequel il se trouve. La faille, activement exploitée depuis novembre dans Adobe Reader, n'a toujours pas de correctif.
Sponsorisé par Bitdefender
Acheter sur internet est inévitable de nos jours. Les arnaques pullulant sur la toile, voici comment détecter en un clin d'œil un site frauduleux et éviter de voir son numéro de carte bancaire tomber entre les mains de cybercriminels.
Sponsorisé par Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
À l’occasion du Forum InCyber, Numerama a souhaité approfondir les discussions autour des menaces grandissantes pour les entreprises. Parmi elles, l'automatisation de l'économie souterraine de la cybercriminalité qui a permis de faire drastiquement chuter le délai de revente d'un accès compromis sur le dark web.
Dans la nuit du 30 au 31 mars 2026, deux versions piégées d'Axios ont été publiées sur npm, la plateforme de distribution de code la plus utilisée au monde par les développeurs. Derrière l'attaque, un compte développeur volé, un logiciel espion capable d'infecter Windows, macOS et Linux, et un mécanisme conçu pour effacer toute trace après infection.
Dans un article de blog publié le 19 mars 2026, les chercheurs de Gen Threat Labs mettent en lumière les nouvelles capacités de VoidStealer, un infostealer vendu sur le dark web depuis décembre 2025, qui a récemment développé une technique inédite pour contourner le chiffrement renforcé de Google Chrome.
Dans un rapport, les chercheurs du Google Threat Intelligence Group décrivent comment un kit d'exploitation vendu à plusieurs acteurs, étatiques et commerciaux, a permis de compromettre des iPhone en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.
Dans la nuit du 10 au 11 mars 2026, Stryker, géant américain du matériel médical, a subi une attaque destructrice qui a mis hors ligne des dizaines de milliers de systèmes dans le monde entier. Une opération menée en représailles à l'opération militaire menée par les États-Unis en Iran.
Un processus inconnu dans le Gestionnaire des tâches, un nom étrange, une forte utilisation CPU ou une activité réseau inhabituelle peuvent susciter des inquiétudes.
Sous Windows 11/10, des dizaines de processus légitimes s’exécutent en arrière-plan. Mais un malware peut se dissimuler derrière un nom trompeur pour passer inaperçu.
Pour déterminer si un processus est légitime ou malveillant, il faut analyser plusieurs éléments : son emplacement, sa signature numérique, son comportement, sa persistance et son éventuelle détection par des antivirus.
Ce guide vous donne une méthode claire pour vérifier un processus suspect sans supprimer par erreur un composant système légitime.
En parallèle ; si vous suspectez une infection globale, consultez ce guide : Comment savoir si votre PC est infecté par un virus sous Windows 11/10 ?
Un virus ou un autre logiciel malveillant s’exécute généralement sous la forme d’un processus actif en arrière-plan. Examiner les processus en cours d’exécution sous Windows 11/10 est donc une étape essentielle pour déterminer si votre PC est infecté.
L’objectif est d’identifier un programme inhabituel, mal nommé ou incohérent avec votre utilisation.
Pour afficher les processus actifs :
Vérifiez :
Un processus consommant beaucoup de ressources alors que vous n’utilisez aucun logiciel lourd peut être suspect.
Pour une analyse plus précise :
Les malwares utilisent parfois un nom proche d’un processus système légitime (ex : svch0st.exe au lieu de svchost.exe).
Pour contrôler où se trouve le programme :
Un fichier situé dans :
ConnexionC:\Windows\System32C:\Program Filesest généralement légitime.
En revanche, un exécutable placé dans :
AppDataTempmérite une analyse approfondie.
Pour savoir si un fichier est signé :
Une signature valide provenant de Microsoft ou d’un éditeur reconnu est rassurante.
L’absence de signature n’est pas forcément malveillante, mais elle doit inciter à la prudence.
Signature numérique des fichiers sur Windows et sécurité
Si un processus vous semble suspect (nom inhabituel, forte utilisation CPU, comportement étrange), vous pouvez analyser son fichier exécutable avec VirusTotal, un service en ligne qui vérifie un fichier à l’aide de dizaines de moteurs antivirus.
Pour analyser un processus :
VirusTotal affiche un résultat du type :
0/70 → Aucun moteur ne détecte le fichier5/70 → 5 moteurs signalent un problème
Plus le nombre de détections est élevé, plus le risque est important.
Pour un guide détaillé expliquant :
Consultez le guide complet : VirusTotal : analyser et scanner des fichiers avec plusieurs antivirus
Plutôt que de vérifier manuellement chaque fichier suspect, vous pouvez utiliser Process Explorer (outil Microsoft Sysinternals) pour analyser automatiquement les processus actifs via VirusTotal.
Process Explorer est un gestionnaire des tâches avancé qui permet notamment :
Pour l’utiliser :
Une nouvelle colonne VirusTotal apparaît alors avec un score du type 0/75.
Ce score indique :
Un résultat 0/75 est généralement rassurant.
Un score élevé (par exemple 10/75 ou plus) doit attirer votre attention.
Pour un guide détaillé d’utilisation, consultez : Process Explorer : gestionnaire des tâches avancé
Un processus malveillant ne se contente pas d’être actif.
Il tente généralement de se relancer automatiquement après un redémarrage.
Si vous suspectez un processus précis, vous devez vérifier s’il est configuré pour démarrer automatiquement.
S’il apparaît dans la liste avec un statut Activé, cela peut indiquer une tentative de persistance.
taskschd.mscOuvrez la tâche et vérifiez le chemin du programme exécuté.
Si la tâche lance précisément le fichier suspect, cela confirme une persistance programmée.
msconfigLe Gestionnaire des tâches de Windows 11/10 permet une première analyse, mais il reste limité. Pour examiner en profondeur un processus suspect ou détecter une persistance cachée, il est recommandé d’utiliser des outils avancés de Microsoft Sysinternals.
Deux outils sont particulièrement utiles : Process Explorer et Autoruns.
Process Explorer est un gestionnaire des tâches avancé qui fournit beaucoup plus d’informations que l’outil intégré à Windows.
Il permet notamment de :
Pour l’utiliser :
Un processus non signé, situé dans un dossier inhabituel et signalé par VirusTotal mérite une analyse approfondie.
Guide détaillé : Process Explorer : gestionnaire des tâches avancé
Si vous suspectez qu’un processus malveillant se relance automatiquement, Autoruns est l’outil le plus complet pour analyser les mécanismes de démarrage.
Il affiche :
Autoruns permet d’identifier des éléments que le Gestionnaire des tâches ne montre pas.
Pour analyser :
Un élément au nom étrange, non signé et situé dans AppData ou Temp doit être examiné avec prudence.
Guide détaillé :Autoruns : analyser et désactiver les programmes au démarrage de Windows
Un processus inconnu ne signifie pas automatiquement qu’il est malveillant. Windows 11/10 exécute de nombreux services en arrière-plan, dont certains portent des noms peu explicites. Il est donc important de ne pas paniquer au premier doute.
En revanche, certains signaux doivent réellement vous alerter, surtout lorsqu’ils se cumulent.
Vous devez commencer à vous inquiéter si le processus présente plusieurs des caractéristiques suivantes :
| Indicateur | Niveau d’alerte |
|---|---|
| Nom proche système | Élevé |
| Absence signature | Moyen |
| Dossier Temp | Élevé |
| Score VirusTotal élevé | Critique |
| Persistance automatique | Critique |
Un seul critère isolé ne suffit généralement pas. C’est la combinaison de plusieurs éléments qui doit attirer votre attention.
Si vous tentez de :
et qu’il réapparaît automatiquement, cela peut indiquer :
Dans ce cas, une analyse plus poussée est nécessaire.
Un processus devient particulièrement suspect s’il s’accompagne de :
Ces comportements sont plus caractéristiques d’un malware que d’un simple programme mal configuré.
Vous devez également vous inquiéter si le processus suspect est lié à :
Si vos vérifications confirment qu’un processus est réellement malveillant sous Windows 11/10, il est important d’agir avec méthode. Supprimer un fichier au hasard ou forcer l’arrêt d’un processus sans analyse peut rendre le système instable.
Voici les étapes à suivre.
Si le processus communique vers l’extérieur :
Cela limite les communications avec un serveur distant (exfiltration de données, réception d’instructions).
Dans un premier temps :
Si le processus refuse de se fermer ou se relance immédiatement, cela peut indiquer une persistance active.
Vous pouvez tenter de supprimer le fichier en mode sans échec : comment démarrer Windows en mode sans échecAprès avoir arrêté le processus :
Même si vous avez identifié le fichier, il est indispensable d’effectuer une analyse complète du système :
Cela permet de détecter :
Le guide à suivre : Supprimer les virus et désinfecter son PC
L’article Comment vérifier si un processus est légitime ou malveillant sous Windows 11/10 est apparu en premier sur malekal.com.
Dans un article de blog publié le 19 février 2026, les chercheurs en cybersécurité d'ESET mettent en lumière un nouveau malware baptisé PromptSpy. Point d'intérêt majeur ? La façon dont ce logiciel malveillant intègre l'IA dans son fonctionnement.
