Un ver JavaScript capable de se propager automatiquement a été utilisé pour vandaliser des milliers de pages Wikipédia. Il est resté actif pendant 23 minutes.
Le post Pendant 23 minutes, ce ver JavaScript a semé la pagaille sur Wikipédia a été publié sur IT-Connect.
Un processus inconnu dans le Gestionnaire des tâches, un nom étrange, une forte utilisation CPU ou une activité réseau inhabituelle peuvent susciter des inquiétudes.
Sous Windows 11/10, des dizaines de processus légitimes s’exécutent en arrière-plan. Mais un malware peut se dissimuler derrière un nom trompeur pour passer inaperçu.
Pour déterminer si un processus est légitime ou malveillant, il faut analyser plusieurs éléments : son emplacement, sa signature numérique, son comportement, sa persistance et son éventuelle détection par des antivirus.
Ce guide vous donne une méthode claire pour vérifier un processus suspect sans supprimer par erreur un composant système légitime.
En parallèle ; si vous suspectez une infection globale, consultez ce guide : Comment savoir si votre PC est infecté par un virus sous Windows 11/10 ?
Un virus ou un autre logiciel malveillant s’exécute généralement sous la forme d’un processus actif en arrière-plan. Examiner les processus en cours d’exécution sous Windows 11/10 est donc une étape essentielle pour déterminer si votre PC est infecté.
L’objectif est d’identifier un programme inhabituel, mal nommé ou incohérent avec votre utilisation.
Pour afficher les processus actifs :
Vérifiez :
Un processus consommant beaucoup de ressources alors que vous n’utilisez aucun logiciel lourd peut être suspect.
Pour une analyse plus précise :
Les malwares utilisent parfois un nom proche d’un processus système légitime (ex : svch0st.exe au lieu de svchost.exe).
Pour contrôler où se trouve le programme :
Un fichier situé dans :
ConnexionC:\Windows\System32C:\Program Filesest généralement légitime.
En revanche, un exécutable placé dans :
AppDataTempmérite une analyse approfondie.
Pour savoir si un fichier est signé :
Une signature valide provenant de Microsoft ou d’un éditeur reconnu est rassurante.
L’absence de signature n’est pas forcément malveillante, mais elle doit inciter à la prudence.
Signature numérique des fichiers sur Windows et sécurité
Si un processus vous semble suspect (nom inhabituel, forte utilisation CPU, comportement étrange), vous pouvez analyser son fichier exécutable avec VirusTotal, un service en ligne qui vérifie un fichier à l’aide de dizaines de moteurs antivirus.
Pour analyser un processus :
VirusTotal affiche un résultat du type :
0/70 → Aucun moteur ne détecte le fichier5/70 → 5 moteurs signalent un problème
Plus le nombre de détections est élevé, plus le risque est important.
Pour un guide détaillé expliquant :
Consultez le guide complet : VirusTotal : analyser et scanner des fichiers avec plusieurs antivirus
Plutôt que de vérifier manuellement chaque fichier suspect, vous pouvez utiliser Process Explorer (outil Microsoft Sysinternals) pour analyser automatiquement les processus actifs via VirusTotal.
Process Explorer est un gestionnaire des tâches avancé qui permet notamment :
Pour l’utiliser :
Une nouvelle colonne VirusTotal apparaît alors avec un score du type 0/75.
Ce score indique :
Un résultat 0/75 est généralement rassurant.
Un score élevé (par exemple 10/75 ou plus) doit attirer votre attention.
Pour un guide détaillé d’utilisation, consultez : Process Explorer : gestionnaire des tâches avancé
Un processus malveillant ne se contente pas d’être actif.
Il tente généralement de se relancer automatiquement après un redémarrage.
Si vous suspectez un processus précis, vous devez vérifier s’il est configuré pour démarrer automatiquement.
S’il apparaît dans la liste avec un statut Activé, cela peut indiquer une tentative de persistance.
taskschd.mscOuvrez la tâche et vérifiez le chemin du programme exécuté.
Si la tâche lance précisément le fichier suspect, cela confirme une persistance programmée.
msconfigLe Gestionnaire des tâches de Windows 11/10 permet une première analyse, mais il reste limité. Pour examiner en profondeur un processus suspect ou détecter une persistance cachée, il est recommandé d’utiliser des outils avancés de Microsoft Sysinternals.
Deux outils sont particulièrement utiles : Process Explorer et Autoruns.
Process Explorer est un gestionnaire des tâches avancé qui fournit beaucoup plus d’informations que l’outil intégré à Windows.
Il permet notamment de :
Pour l’utiliser :
Un processus non signé, situé dans un dossier inhabituel et signalé par VirusTotal mérite une analyse approfondie.
Guide détaillé : Process Explorer : gestionnaire des tâches avancé
Si vous suspectez qu’un processus malveillant se relance automatiquement, Autoruns est l’outil le plus complet pour analyser les mécanismes de démarrage.
Il affiche :
Autoruns permet d’identifier des éléments que le Gestionnaire des tâches ne montre pas.
Pour analyser :
Un élément au nom étrange, non signé et situé dans AppData ou Temp doit être examiné avec prudence.
Guide détaillé :Autoruns : analyser et désactiver les programmes au démarrage de Windows
Un processus inconnu ne signifie pas automatiquement qu’il est malveillant. Windows 11/10 exécute de nombreux services en arrière-plan, dont certains portent des noms peu explicites. Il est donc important de ne pas paniquer au premier doute.
En revanche, certains signaux doivent réellement vous alerter, surtout lorsqu’ils se cumulent.
Vous devez commencer à vous inquiéter si le processus présente plusieurs des caractéristiques suivantes :
| Indicateur | Niveau d’alerte |
|---|---|
| Nom proche système | Élevé |
| Absence signature | Moyen |
| Dossier Temp | Élevé |
| Score VirusTotal élevé | Critique |
| Persistance automatique | Critique |
Un seul critère isolé ne suffit généralement pas. C’est la combinaison de plusieurs éléments qui doit attirer votre attention.
Si vous tentez de :
et qu’il réapparaît automatiquement, cela peut indiquer :
Dans ce cas, une analyse plus poussée est nécessaire.
Un processus devient particulièrement suspect s’il s’accompagne de :
Ces comportements sont plus caractéristiques d’un malware que d’un simple programme mal configuré.
Vous devez également vous inquiéter si le processus suspect est lié à :
Si vos vérifications confirment qu’un processus est réellement malveillant sous Windows 11/10, il est important d’agir avec méthode. Supprimer un fichier au hasard ou forcer l’arrêt d’un processus sans analyse peut rendre le système instable.
Voici les étapes à suivre.
Si le processus communique vers l’extérieur :
Cela limite les communications avec un serveur distant (exfiltration de données, réception d’instructions).
Dans un premier temps :
Si le processus refuse de se fermer ou se relance immédiatement, cela peut indiquer une persistance active.
Vous pouvez tenter de supprimer le fichier en mode sans échec : comment démarrer Windows en mode sans échecAprès avoir arrêté le processus :
Même si vous avez identifié le fichier, il est indispensable d’effectuer une analyse complète du système :
Cela permet de détecter :
Le guide à suivre : Supprimer les virus et désinfecter son PC
L’article Comment vérifier si un processus est légitime ou malveillant sous Windows 11/10 est apparu en premier sur malekal.com.
Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent.
En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.
Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).
Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).
Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....
Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.
Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !
Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un
safe-npm
et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.
Ça me rappelle les campagnes type Shai-Hulud et les packages npm vérolés , mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...
Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !
Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...
Dans un article de blog publié le 19 février 2026, les chercheurs en cybersécurité d'ESET mettent en lumière un nouveau malware baptisé PromptSpy. Point d'intérêt majeur ? La façon dont ce logiciel malveillant intègre l'IA dans son fonctionnement.
En abusant du système d'Artefacts de Claude et de Google Ads, les pirates cherchent à piéger les utilisateurs de macOS dans le cadre d'attaques ClickFix.
Le post Les artefacts de Claude détournés pour piéger les utilisateurs de macOS avec un malware infostealer a été publié sur IT-Connect.
Le spyware ZeroDayRAT cible les smartphones Android et iOS : une fois un appareil infecté, les pirates peuvent le contrôler à distance (caméra, GPS, SMS, etc.).
Le post ZeroDayRAT : ce spyware donne un accès complet aux smartphones Android et iOS a été publié sur IT-Connect.
PDFSider, c'est le nom d'un nouveau malware utilisé par un groupe de ransomware pour déployer des charges malveillantes sur les machines Windows.
Le post Le malware PDFSider utilisé par des groupes de ransomware pour cibler Windows a été publié sur IT-Connect.
Des chercheurs en cybersécurité ont remonté la piste d'une nouvelle plateforme malveillante visant les environnements Linux. Baptisée VoidLink, cette boîte à outils sophistiquée est pensée pour infiltrer durablement des environnements cloud et s'adapter en fonction de l'infrastructure ciblée.
Dans un article de blog publié le 5 janvier 2026, les chercheurs de l’entreprise de cybersécurité Securonix mettent en lumière une nouvelle campagne cybercriminelle visant en particulier les établissements hôteliers européens. Baptisée PHALT#BLYX, cette opération dissimule son piège derrière un faux écran bleu de la mort de Windows.
MacOS a été pris pour cible par une nouvelle variante du logiciel malveillant MacSync capable de contourner Gatekeeper, grâce à une application Swift signée.
Le post MacOS : cette nouvelle version du malware MacSync contourne la sécurité de Gatekeeper a été publié sur IT-Connect.
