剣 KENSAI
← Back to archive

Briefing quotidien des menaces

2026-03-18 · Mardi · Semaine 12
Niveau de menace : ÉLEVÉ
12
Actualités suivies
3
CVEs critiques
1
Ransomware actif
2
Opérations étatiques
🔗 Chaîne d'approvisionnement & campagnes de malware

La campagne GlassWorm frappe plus de 400 dépôts sur GitHub, npm, VSCode et OpenVSX

CRITIQUECHAÎNE D'APPRO. 📅 17 mars

La campagne d'attaque de la chaîne d'approvisionnement GlassWorm est revenue avec une attaque coordonnée injectant des malwares dans des centaines de dépôts Python, de paquets npm et d'extensions VSCode/OpenVSX. Les attaquants ont utilisé des tokens GitHub volés pour injecter par force-push du code obfusqué dans les fichiers setup.py, main.py et app.py de projets légitimes — dont des applications Django, du code de recherche en ML et des paquets PyPI. Quiconque exécute pip install depuis un dépôt compromis déclenche le malware. Les premières injections remontent au 8 mars. La sous-campagne a été baptisée ForceMemo.

Un tour de rendu de polices cache des commandes malveillantes aux outils de sécurité IA

ÉLEVÉSÉCURITÉ IA 📅 17 mars

Une technique d'attaque inédite permet aux assistants IA de manquer des commandes malveillantes intégrées dans des pages web en exploitant les différences de rendu de polices. Les instructions malveillantes sont dissimulées dans du HTML apparemment inoffensif qui s'affiche différemment pour les humains et les analyseurs IA, créant une nouvelle classe d'injection de prompts et d'attaques d'évasion contre les outils de sécurité alimentés par l'IA.

💀 Ransomware & extorsion

Le ransomware LeakNet adopte ClickFix + le runtime Deno pour des attaques furtives

RANSOMWAREÉLEVÉ 📅 17 mars · Source : ReliaQuest

Le ransomware LeakNet utilise désormais la technique d'ingénierie sociale ClickFix pour l'accès initial, piégeant les utilisateurs en leur faisant exécuter des commandes malveillantes via de fausses invites d'erreur sur des sites web compromis. Le groupe déploie une attaque « Bring Your Own Runtime » (BYOR) utilisant le runtime JavaScript légitime Deno pour exécuter des charges utiles directement en mémoire — contournant les listes de blocage EDR puisque Deno est un binaire signé et de confiance. La post-exploitation comprend le chargement latéral de DLL via Java, le mouvement latéral via PsExec, la découverte d'identifiants via klist et l'exfiltration de données via des buckets Amazon S3. Indicateurs de détection : Deno s'exécutant hors des environnements de développement, utilisation anormale de PsExec, trafic sortant S3 inattendu.

🐛 Vulnérabilités & CVEs

Apple corrige la faille WebKit CVE-2026-20643 via sa première mise à jour de sécurité en arrière-plan

ÉLEVÉ 📅 17 mars · CVE-2026-20643

Apple a publié sa toute première mise à jour « Background Security Improvements » — un nouveau mécanisme pour pousser des correctifs critiques vers les iPhones, iPads et Macs sans nécessiter une mise à jour complète du système d'exploitation. Le correctif résout une vulnérabilité WebKit (CVE-2026-20643). Cela représente un changement significatif dans la stratégie de correctifs d'Apple, permettant une réponse plus rapide aux failles des moteurs de navigation.

La CISA signale la vulnérabilité Wing FTP CVE-2025-47813 comme activement exploitée

MOYEN 📅 17 mars · CVE-2025-47813 · CVSS 4.3

La CISA a ajouté une vulnérabilité de divulgation d'informations du serveur Wing FTP à son catalogue des vulnérabilités connues exploitées (KEV). La faille divulgue le chemin d'installation local complet de l'application. Bien que classée de gravité moyenne (CVSS 4.3), l'exploitation active dans la nature rend le correctif urgent — la divulgation de chemin peut être chaînée avec d'autres vulnérabilités pour une compromission complète.

Failles des plateformes IA : Amazon Bedrock, LangSmith, SGLang permettent l'exfiltration de données & RCE

ÉLEVÉSÉCURITÉ IA 📅 17 mars · CVSS 7.5 · Source : BeyondTrust

BeyondTrust a révélé que le mode sandbox du Code Interpreter d'Amazon Bedrock AgentCore autorise les requêtes DNS sortantes, permettant aux attaquants d'établir des canaux C2, d'exfiltrer des données et d'obtenir des reverse shells interactifs — contournant l'isolation réseau attendue. La technique utilise des enregistrements DNS A pour une communication bidirectionnelle. Amazon a classé cela comme une « fonctionnalité prévue » plutôt qu'un défaut, recommandant le mode VPC pour une isolation complète. Les organisations exécutant des interpréteurs de code IA avec des rôles IAM surprivilégiés sont les plus exposées.

Le botnet RondoDox exploite 174 vulnérabilités à grande échelle

ÉLEVÉ 📅 17 mars

Le botnet RondoDox a intensifié son activité, atteignant des pics de 15 000 tentatives d'exploitation par jour à travers 174 vulnérabilités connues. Le botnet adopte une approche plus ciblée, se concentrant sur les infrastructures non corrigées. Les organisations doivent vérifier l'état des correctifs pour tous les CVEs ciblés par cette campagne.

🕵️ Acteurs étatiques & espionnage

L'UE sanctionne des entités chinoises et iraniennes pour cyberattaques contre les infrastructures critiques

ÉTATIQUEPOLITIQUE 📅 17 mars

Le Conseil de l'Union européenne a annoncé des sanctions contre trois entités et deux individus pour leur implication dans des cyberattaques ciblant les infrastructures critiques en Europe. Les parties sanctionnées sont liées à des opérations parrainées par les États chinois et iranien. Cela marque une escalade continue dans la volonté de l'UE d'utiliser les cybersanctions comme moyen de dissuasion — directement pertinent pour les évaluations du paysage des menaces NIS2.

La porte dérobée DRILLAPP cible l'Ukraine via le débogage Microsoft Edge

ÉTATIQUE 📅 17 mars · Acteur : Laundry Bear / UAC-0190

Des acteurs de la menace liés à la Russie ciblent des entités ukrainiennes avec DRILLAPP, une porte dérobée JavaScript qui s'exécute via les fonctionnalités de débogage de Microsoft Edge. Le malware peut télécharger/téléverser des fichiers, accéder aux microphones et capturer des images par webcam en abusant des capacités du navigateur. La campagne utilise des leurres judiciaires et caritatifs pour l'accès initial via des fichiers LNK. Attribution : Laundry Bear (Void Blizzard).

Le groupe nord-coréen Konni déploie EndRAT via la propagation KakaoTalk

ÉTATIQUE 📅 17 mars · Acteur : Konni

Des acteurs de la menace nord-coréens (groupe Konni) compromettent des cibles via le harponnage, puis détournent l'application de bureau KakaoTalk de la victime pour distribuer des charges malveillantes à leurs contacts — transformant les canaux de communication de confiance en armes pour la propagation de malwares. Le malware EndRAT fournit un accès distant complet.

Des hackers liés à la Chine ciblent les armées asiatiques dans une opération d'espionnage patiente

ÉTATIQUE 📅 17 mars

Des hackers chinois parrainés par l'État ont déployé des outils sur mesure contre des cibles militaires asiatiques et sont restés dormants dans des environnements compromis pendant des mois avant de s'activer — démontrant une persistance avancée et de la patience dans les opérations d'espionnage.

🔓 Fuites de données & incidents

Le géant de la chirurgie robotique Intuitive révèle une cyberattaque

ÉLEVÉ 📅 17 mars

Intuitive, le fabricant du système de chirurgie robotique da Vinci, a révélé que des applications métier internes ont été accédées après qu'un employé soit tombé victime d'une attaque de phishing. L'entreprise de technologies médicales enquête sur l'étendue de la fuite. Compte tenu de la sensibilité des données chirurgicales et des patients, cet incident a des implications réglementaires et de sécurité des patients significatives.

Le Companies House britannique a exposé les données de millions d'entreprises

ÉLEVÉ 📅 17 mars

Une vulnérabilité au Companies House britannique aurait pu être exploitée pour obtenir des informations d'entreprises et modifier les dossiers de millions de sociétés enregistrées au Royaume-Uni. L'agence gouvernementale a confirmé la faille. Le potentiel de manipulation des registres soulève de sérieuses préoccupations concernant la fraude à l'identité d'entreprise et la confiance dans la chaîne d'approvisionnement.

Piratage Oracle EBS : 4 grands groupes restent silencieux sur l'impact

MOYEN 📅 17 mars

Suite à une violation d'Oracle E-Business Suite, Broadcom, Bechtel, Estée Lauder et Abbott Technologies restent les seules grandes entreprises à ne pas avoir publié de déclarations sur l'impact potentiel. La pression pour la divulgation s'intensifie alors que d'autres organisations affectées ont déjà communiqué avec leurs parties prenantes.

💰 Industrie & financement

12,5 M$ investis dans la sécurité open source par les géants technologiques

FINANCEMENT 📅 17 mars

Anthropic, AWS, Google, Microsoft et OpenAI ont conjointement financé les initiatives de sécurité à long terme de la Linux Foundation pour les logiciels open source avec un investissement de 12,5 M$ — signalant que l'industrie prend au sérieux la sécurité de la chaîne d'approvisionnement post-Log4j.

Surf AI lève 57 M$ pour les opérations de sécurité agentiques

FINANCEMENTSÉCURITÉ IA 📅 17 mars

Surf AI a lancé avec 57 M$ de financement d'Accel, Cyberstarts et Boldstart Ventures pour une plateforme d'opérations de sécurité agentique. La catégorie émergente « Agentic SecOps » continue d'attirer d'importants capitaux-risque.

Tracebit lève 20 M$ pour la technologie de leurre cloud-native

FINANCEMENT 📅 17 mars

Tracebit a sécurisé 20 M$ pour développer ses produits de leurre cloud-natifs, s'étendre à de nouveaux marchés et renforcer ses équipes d'ingénierie et de marketing. La technologie de leurre continue de gagner en traction comme complément aux approches de détection traditionnelles.

📡 Tendances de menaces émergentes

Tendances clés de la semaine

📅 Semaine du 17 mars 2026

1. Attaques « Bring Your Own Runtime » — L'utilisation par LeakNet de Deno pour exécuter des charges utiles en mémoire représente une tendance croissante : l'abus d'outils de développement légitimes et signés comme runtimes de malwares. Ce schéma devrait s'étendre à Bun, Node.js et d'autres runtimes.

2. L'infrastructure IA comme surface d'attaque — L'exfiltration DNS d'Amazon Bedrock et l'enquête CISO montrant que 67 % manquent de visibilité sur les déploiements IA dressent un tableau clair : l'infrastructure IA dépasse la couverture sécuritaire. Les sandboxes IA ne sont pas aussi isolées qu'on le suppose.

3. Attaques de saturation de la chaîne d'approvisionnement — Le ciblage simultané par GlassWorm de plus de 400 dépôts sur GitHub, npm, VSCode et OpenVSX montre que les attaquants montent en échelle pour frapper plusieurs écosystèmes simultanément, rendant la détection et la réponse exponentiellement plus difficiles.

4. Le navigateur comme arme — L'abus du débogage Edge par DRILLAPP, le tour d'évasion IA par rendu de polices et les campagnes de faux VPN de Storm-2561 indiquent que le navigateur devient le vecteur d'attaque principal en 2026. Les attaques de couche 7, l'abus d'API et les campagnes alimentées par l'IA convergent en opérations multi-vecteurs (selon Akamai).

5. Vol d'identifiants VPN à grande échelle — Storm-2561 distribue de faux clients VPN par empoisonnement SEO, démontrant un intérêt continu pour l'infrastructure d'accès distant, déployant des trojans associés à des voleurs d'identifiants.

🎯 Pertinence KENSAI

Le renseignement du jour impacte directement le positionnement marché et la feuille de route produit de KENSAI :

  • Les sanctions de l'UE contre les cyberacteurs renforcent l'urgence NIS2 — l'UE nomme et punit activement les acteurs menaçant les infrastructures critiques. L'angle conformité de KENSAI est validé.
  • La brèche en sécurité IA — 67 % des CISO manquent de visibilité sur les déploiements IA. KENSAI peut positionner le scanning de sécurité IA comme différenciateur sur le marché DACH.
  • Les attaques de chaîne d'approvisionnement à cette échelle (GlassWorm frappant plus de 400 dépôts) rendent le scan de dépendances et la génération SBOM essentiels — des fonctionnalités que KENSAI devrait mettre en avant.
  • 89,5 M$ de financement en sécurité aujourd'hui (Surf AI + Tracebit + initiative OSS) — le marché est en ébullition. L'appétit des investisseurs pour les outils de sécurité reste fort en ce début de T2.
  • La convergence des attaques basées sur le navigateur valide les approches de scanning DAST — les tests de sécurité des applications web externes sont plus critiques que jamais.

Sources : BleepingComputer, The Hacker News, SecurityWeek, ReliaQuest, BeyondTrust, S2 Grupo LAB52, Genians, StepSecurity, Akamai · Compilé par KENSAI Security Intelligence · kensai.app