Avec la montée en puissance de l’IA générative et agentique dans les entreprises, la question de la sécurité IA devient centrale pour les DSI. Avec son AI Security Suite, Zscaler avance une réponse structurée pour encadrer les usages, reprendre le contrôle des flux et limiter les risques liés à l’IA à grande échelle. Acteur historique […]
Salut les amis ! Aujourd'hui, je voulais vous partager une petite pépite qu'un lecteur, Stanislas, m'a envoyée. Si vous bossez dans la cyber ou que vous passez votre temps à analyser des trucs bizarres qui trainent sur vos serveurs, vous allez adorer Cyberbro.
Cyberbro c'est une plateforme d'analyse d'IoC (Indicators of Compromise) en open source. Grâce à ça, au lieu de vous paluchez 15 sites différents pour vérifier une IP ou un hash, vous balancez tout dans Cyberbro. L'outil va alors extraire automatiquement les infos de vos logs et interroger une vingtaine de services comme VirusTotal, MISP, Shodan, AbuseIPDB ou même Microsoft Defender pour vous dire si c'est dangereux.
Sous le capot, ça gère l'extraction avancée de TLD pour ne pas se planter sur les domaines, et ça fait du "pivoting" automatique. En gros, ça va chercher tout seul les domaines, URLs ou IPs liés via reverse DNS et RDAP. Toutes les données sont ensuite stockées proprement dans une base SQLite locale qui sert aussi de cache, ce qui permet de ne pas flinguer vos quotas d'API si vous analysez deux fois la même chose.
C'est hyper fluide, ça tourne sous Python et l'interface est vraiment propre. Stanislas a même poussé le vice jusqu'à proposer une intégration MCP (Model Context Protocol) pour l'utiliser avec Claude ou Ollama. Ça permet de générer des rapports d'analyse complets via LLM en deux secondes. Et y'a même des extension navigateur pour Chrome et Firefox ainsi qu'une API. C'est ouf !
Franchement, pour un projet perso, ça rigole pas du tout ! D'ailleurs, c'est déjà utilisé par pas mal de SOC en France, donc c'est du sérieux.
Pour tester ça, c'est hyper fastoche. Un petit coup de Docker Compose et hop, c'est prêt à l'emploi. Il vous suffit de cloner le dépôt, d'éditer le fichier de secrets et de lancer le bousin.
Un grand merci à Stanislas pour ce superbe partage et pour tout le boulot abattu depuis un an. C'est ce genre de projet qui rend la communauté cyber plus forte 💪.
Pendant plusieurs mois, Notepad++ a servi à diffuser des malwares.
Son développeur l’a officialisé cette semaine. Dans les grandes lignes, la compromission de l’infrastructure d’hébergement a permis la distribution de mises à jour malveillantes.
Une chronologie des événements commence à se dessiner. Apparaissent trois phases, marquées par autant de chaînes d’exécution. Parmi les cibles figurent une entité gouvernementale aux Philippines, une organisation financière au Salvador et un fournisseur IT au Viêtnam.
Phase 1 : une faille dans ProShow mise à profit
La première phase s’est étalée sur fin juillet-début août.
L’interception et la modification du trafic du gestionnaire de mises à jour de Notepad++ entraînait le téléchargement et l’exécution d’un installeur NSIS d’environ 1 Mo. Au lancement, celui-ci créait un dossier et un fichier texte en son sein, y inscrivait des informations système, les téléversait sur temp.sh et envoyait l’URL vers un serveur C2.
Un downloader déposait ensuite plusieurs fichiers dans le même dossier. Dont une version légitime de logiciel ProShow… souffrant d’une vulnérabilité qui permettait de lancer un shellcode.
Ce code déchiffrait un downloader Metasploit qui récupérait et lançait un implant Cobalt Strike. Lequel communiquait avec un autre C2.
Entre fin juillet et début août, quelques éléments ont changé. Essentiellement les URL de l’implant Cobalt Strike et du C2 associé.
Phase 2 : passage à l’interpréteur Lua
La deuxième phase a commencé mi-septembre et s’est achevée à la fin du mois.
La mise à jour malveillante de Notepad++ demeurait hébergée sur le même serveur. Il s’agissait toujours d’un installeur NSIS, mais plus léger (140 ko). La collecte d’infos système suivait le même schéma que lors de la première phase.
À partir de là, les choses changeaient. Exit ProShow, place à des fichiers liés à l’interpréteur Lua. Dont un exécutable qui lançait un script localisé dans un fichier .ini.
Ce script plaçait, en mémoire exécutable, du shellcode lancé via la fonction API EnumWindoStationsW. On retrombait alors sur la chaîne « Metasploit + Cobalt Strike », avec des URL similaires.
Sur la fin de la période, des fichiers de mise à jour avec des hashs différents sont apparus. Et la collecte d’infos système était divisée en plusieurs commandes.
Phase 3 : sideload de DLL dans un exécutable Bitdefender
La troisième phase a couvert le mois d’octobre.
À cette occasion, le serveur hébergeant les mises à jour malveillantes a changé. On restait sur des fichiers NSIS, mais sans capture d’infos système. Le chargement du shellcode était cette fois-ci réalisé par charge latérale d’une DLL dans un exécutable : BluetoothService.exe. Derrière ce nom se cachait une version légitime de Bitdefender Submission Wizard.
Le shellcode était déchiffré avec une routine embarquée. Il en résultait une backdoor. Rapid7 l’a appelée Chrysalis, en référence aux multiples couches (chiffrement en enveloppe, construction de noms de cibles à la volée, hachage d’API, URL au format des endpointsDeepSeek…) compliquant la détection de ses actions.
Un des loaders exploite un syscall non documenté associé à Microsoft Warbird, un framework d’obscurcissement de code. Il n’y a pas de chargement direct de Cobalt Strike. Mais l’implant a bien été trouvé sur une machine infectée, téléchargé là aussi via un downloader Metasploit, via des URL au format similaire à celles rencontrées lors des deux premières phases.
Des similitudes avec une analyse antérieure incitent à attribuer cette troisième phase – et potentiellement l’ensemble de la campagne – au mode opératoire Lotus Blossom, dit lié à la Chine. Actif depuis au moins 2009, il s’est livré à des actions d’espionnage en Asie du Sud-Est. Et plus récemment en Amérique centrale, avec un focus sur gouvernements, télécoms, aviation, médias et infrastructures critiques.
C’est le scénario que tous les mainteneurs open source redoutent, parce qu’il ne vise pas le code… mais la confiance. Notepad++, l’un des éditeurs texte/code les plus installés au monde, a vu son mécanisme de mise à jour détourné sur une longue période — avec, à la clé, un exécutable malveillant servi à certains utilisateurs […]
"A compromised dependency in the JavaScript ecosystem led to credential theft, which enabled a supply chain attack on a Rust compression library, which was vendored into a Python build tool, which shipped malware to approximately 4 million developers before being inadvertently patched by an unrelated cryptocurrency mining worm."
EDIT: C'est pas un vrai CVE, c'est une blague. (Permalink)
Quand les attaquants mettent l’IA au volant, le phishing ressemble à un collègue, le malware change de peau et le temps de réaction se compte en minutes. Pour tenir le rythme, la sécurité s’organise comme une chaîne : Zero Trust, exposition minimale, détection qui apprend, réponse automatisée et reprise qui démarre sans hésitation. Et sans […]
Connexion
