Infosec.Pub

I have been in security rooms for years, from military operations centers to corporate boardrooms. In all those years I can tell you that the hardest mission that most security leaders will face is not identifying a threat, but getting someone to act on it. We’re trained to see exposure before they are identified by others. We continually assess likely threats, evaluate impact, and design controls to prevent disruption long before it reaches operations or … More → The post Why risk alone doesn’t get you to yes appeared first on Help Net Security.

From Charles Hoskinson via this RSS feed

• Des milliers de faux messages d'alerte VS Code inondent GitHub Discussions, imitant des CVE critiques avec liens Google Drive pour collecter données système et credentials des développeurs
• Le script JavaScript de filtrage écarte les bots et chercheurs en sécurité, ne livrant le malware final qu'aux vrais utilisateurs, ce qui explique pourquoi Socket n'a pas pu l'analyser
• GitHub reste une cible récurrente : après une attaque OAuth en mars 2025 et du phishing en juin 2024, cette campagne exploite les notifications email officielles pour crédibiliser des arnaques

Des chercheurs en cybersécurité ont découvert un kit d’outils d’accès à distance d’origine russe qui est distribué via des fichiers de raccourci Windows malveillants (LNK) déguisés en dossiers de clés privées.

Selon Censys, la boîte à outils CTRL est conçue sur mesure à l’aide de .NET et comprend divers exécutables pour faciliter l’hameçonnage d’identifiants, l’enregistrement de frappe, le détournement du protocole de bureau à distance (RDP) et le tunnelage inverse via Fast Reverse Proxy (FRP).

« Les exécutables permettent le chargement de charges utiles chiffrées, la collecte d’identifiants via une interface utilisateur de phishing Windows Hello soignée, l’enregistrement des frappes au clavier, le détournement de sessions RDP et le tunnelage par proxy inverse via FRP », a déclaré Andrew Northern, chercheur en sécurité chez Censys .

La plateforme de gestion de la surface d’attaque a déclaré avoir récupéré CTRL à partir d’un répertoire ouvert à 146.19.213[.]155 en février 2026. Les chaînes d’attaque distribuant la boîte à outils s’appuient sur un fichier LNK armé (« Clé privée #kfxm7p9q_yek.lnk ») avec une icône de dossier pour inciter les utilisateurs à double-cliquer dessus.

Cela déclenche un processus en plusieurs étapes, chaque étape déchiffrant ou décompressant la suivante, jusqu’à l’exécution du kit d’outils. Le programme d’installation de fichiers LNK est conçu pour lancer une commande PowerShell cachée, qui efface ensuite les mécanismes de persistance existants du dossier de démarrage Windows de la victime.

Une erreur humaine dans le système de gestion de contenu d’Anthropic a accidentellement exposé un brouillon de billet décrivant le modèle. Anthropic travaille sur un nouveau modèle d’intelligence artificielle (IA) très puissant qui « fait peser des risques sans précédent sur la cybersécurité », selon une fuite provenant de l’entreprise.

La semaine dernière, une fuite de données a révélé qu’Anthropic développait un nouveau modèle très performant, que la société d’IA a depuis reconnu et baptisé « Claude Mythos ».

Un porte-parole d’Anthropic a déclaré au magazine Fortune (source en anglais) qu’il s’agissait d’un « changement d’échelle » pour l’IA et du modèle « le plus performant » conçu à ce jour, avec « des progrès significatifs en matière de raisonnement, de programmation et de cybersécurité ».

La technologie pourrait être si puissante qu’elle en deviendrait l’outil rêvé des pirates informatiques. Les valeurs de la cybersécurité ont reculé en Bourse après les rumeurs concernant Anthropic.

Dans le même temps, Anthropic avertit en privé de hauts responsables gouvernementaux que Mythos rend beaucoup plus probables des cyberattaques de grande ampleur en 2026, rapporte le site Axios (source en anglais).

Les pirates n'ont mis que quelques heures pour exploiter une faille RCE dans Langflow. La CISA l'a ajouté à son catalogue et a fixé une délai rapide pour l'application du correctif.

20 heures, le délai est relativement court pour l’exploitation d’une vulnérabilité dans le framework open source Langflow utilisé dans le développement des agents IA et des pipelines de RAG. Selon Sysdig, des cybercriminels ont commencé à attaquer un ensemble de nœuds honeypot hébergeant des instances vulnérables chez plusieurs fournisseurs de cloud et dans différentes régions dès leur mise en service. Le fournisseur a observé quatre tentatives de ce types dans les heures qui ont suivi le déploiement et l’un des attaquants est parvenu à exfiltrer des variables d’environnement.

Le 24 mars, la Commission européenne a découvert une cyberattaque qui a affecté son infrastructure en nuage hébergeant la présence de la Commission sur le web sur la plateforme Europa.eu. Des mesures immédiates ont été prises pour contenir l'attaque. La réaction rapide de la Commission a permis de contenir l'incident et de mettre en œuvre des mesures d'atténuation des risques pour protéger les services et les données, sans perturber la disponibilité des sites web Europa.

Les premières conclusions de notre enquête en cours suggèrent que des données ont été extraites de ces sites Web. La Commission en informe dûment les entités de l'Union qui auraient pu être touchées par l'incident. Les services de la Commission continuent d'enquêter sur l'impact total de l'incident.

Les systèmes internes de la Commission n'ont pas été affectés par la cyberattaque. La Commission continuera à suivre la situation et à prendre toutes les mesures nécessaires pour assurer la sécurité de ses systèmes et données internes. Il analysera l'incident et utilisera les résultats pour renforcer encore ses capacités en matière de cybersécurité.

Alors que l'Europe est confrontée à des cyberattaques et à des attaques hybrides persistantes ciblant des services essentiels et des institutions démocratiques, la Commission s'emploie activement à renforcer la résilience de l'UE en matière de cybersécurité.

YesWeHack étend son positionnement au-delà du bug bounty et lance deux nouvelles offres de test d’intrusion, le Pentest Autonome et le Pentest Continu, pour couvrir l’intégralité de la gestion de l’exposition aux risques cyber. La plateforme réunit désormais quatre modalités complémentaires, bug bounty, politique de divulgation des vulnérabilités, pentest autonome et pentest continu, dans une interface unifiée de pilotage de la sécurité offensive.

La surface d’attaque des organisations a profondément changé de nature au cours des cinq dernières années. La prolifération des API, la généralisation des architectures cloud hybrides, l’intégration de composants tiers et l’accélération des cycles de développement ont rendu obsolètes les approches de test fondées sur des audits ponctuels annuels ou semestriels. Une vulnérabilité introduite lors d’un déploiement en production un mardi matin peut rester non détectée pendant des mois si l’organisation ne dispose pas de mécanismes de détection en continu. C’est ce fossé que YesWeHack cherche à combler avec son nouveau positionnement.

30.03.2026 - Le rapport semestriel de l’Office fédéral de la cybersécurité (OFCS), publié aujourd’hui, décrit l’évolution des cybermenaces et des principaux cyberincidents qui ont marqué la Suisse et la scène internationale au cours du second semestre 2025. Pour la première fois, il présente non seulement les cyberincidents rapportés sur une base volontaire, mais aussi les cyberattaques visant les infrastructures critiques qui sont soumises à l’obligation de signaler depuis le 1er avril 2025. Le volume élevé des annonces facultatives reste stable, mais leur forme se développe et se précise. Pour assurer une protection efficace, il est nécessaire que l’État, l’économie et la société collaborent étroitement, tant au niveau national qu’à l’échelon international.

Understanding the threats and staying ahead of the adversary

If the target Citrix NetScaler is vulnerable, it'll leak memory all over the place and look like a crime scene. This memory arrives, yet again, base64-encoded in the very same NSC_TASS cookie we discussed before, but without any of the limitations of the "other" vulnerability patched within CVE-2026-3055.

Une vulnérabilité critique dans FortiClient EMS permet aux attaquants d’accéder aux systèmes sans authentification. La vulnérabilité serait déjà exploitée dans la nature.

Fortinet fait face à des attaques actives sur une vulnérabilité critique de sa plateforme FortiClient EMS, permettant aux attaquants de prendre le contrôle de systèmes sans authentification. La vulnérabilité, CVE-2026-21643, est déjà exploitée dans la nature selon des chercheurs.

Its been a few days since I could access the site.

It looks like the most common method to use irssi over tor is to use a transparent proxy to tamper with network libraries, like torsocks or using proxychains4. Those approaches are useless when you also use Irssi with #Bitlbee, because bitlbee runs a local agent obviously becomes unreachable with torsocks in the loop.

So I must use a more complex approach:

$ socat -T9999999 -s TCP4-LISTEN:13999,ignoreeof SOCKS4A:127.0.0.1:libera75jm6of4wxpxt4aynol3xjmbtxgfyjpu34ss4d7r7q2v5zrpyd.onion:6697,socksport=9050,ignoreeof &
$ socat_pid_libera=$!
$ irssi
$ kill ${socat_pid_libera}

Then irssi is configured to point the libera network to 127.0.0.1:13999.

That’s the idea. There is a separate socat process for every IRC host I might reach, which is about a dozen in my case. Apart from ugly tediousness, it works for like 30 min on avg then dies. I believe that’s the nature of Tor. Circuits die and get replaced, and when that happens socat is left with a dead connection for some reason.

Is there a remedy? I there a way to make socat resilient to tor volatility?

Hackers claimed the attack was retaliation after Patel vowed to "hunt" them.

Considéré comme affilié à la République islamique, le groupe Handala a publié en ligne en ligne nombre de photos et de courriers électroniques issues d’une messagerie privée de Kash Patel, selon des informations rapportées ce vendredi par des médias américains.