Ep.580 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du dimanche 15 février 2026
Nous ouvrons cette édition avec la révélation par Microsoft Threat Intelligence d'une nouvelle variante de l'attaque ClickFix exploitant le DNS comme canal de staging. La commande initiale, exécutée via cmd.exe, utilise nslookup pour effectuer un DNS Lookup vers un serveur externe contrôlé par l'attaquant. La réponse DNS est filtrée puis exécutée comme Payload de second stage, aboutissant au déploiement de ModeloRAT, un Remote Access Trojan basé sur Python. En parallèle, Bitdefender signale une recrudescence de Lumma Stealer via des campagnes ClickFix déployant CastleLoader, un Loader associé au Threat Actor GrayBravo. Malgré les opérations de disruption des forces de l'ordre en 2025, l'infrastructure Lumma Stealer démontre une résilience notable.
L'actualité se poursuit avec l'identification par ReversingLabs de packages malveillants sur npm et PyPI rattachés à la campagne « graphalgo », attribuée au groupe nord-coréen Lazarus. Active depuis mai 2025, cette opération cible les développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur des cryptomonnaies. Les attaquants, opérant sous la couverture d'une société fictive nommée Veltrix Capital, approchent leurs victimes sur LinkedIn, Facebook et Reddit. L'opération modulaire en cinq phases aboutit au déploiement d'un RAT doté de communications C2 protégées par token, avec détection de Crypto Wallets comme MetaMask. Un des packages npm, bigmathutils, a atteint plus de dix mille téléchargements avant l'injection de code malveillant.
Enfin, le projet Vim annonce la publication de Vim 9.2 le 14 février 2026. Cette version majeure apporte le support natif des Enums, des Generic Functions et du type Tuple dans Vim9 Script, le support complet de Wayland, ainsi que la conformité XDG Base Directory. Le mode Diff bénéficie de l'algorithme linematch et d'une nouvelle option diffanchors. De nombreuses vulnérabilités de sécurité, Memory Leaks et Crashes potentiels ont été corrigés depuis Vim 9.1.
Sources :
-
The Hacker News – Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging : https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
-
Security Affairs – Malicious npm and PyPI packages linked to Lazarus APT fake recruiter campaign : https://securityaffairs.com/188009/apt/malicious-npm-and-pypi-packages-llinked-to-lazarus-apt-fake-recruiter-campaign.html
-
Vim.org – Vim 9.2 released : https://www.vim.org/vim-9.2-released.php
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Nous ouvrons cette édition avec la révélation par Microsoft Threat Intelligence d'une nouvelle variante de l'attaque ClickFix exploitant le DNS comme canal de staging. La commande initiale, exécutée via cmd.exe, utilise nslookup pour effectuer un DNS Lookup vers un serveur externe contrôlé par l'attaquant. La réponse DNS est filtrée puis exécutée comme Payload de second stage, aboutissant au déploiement de ModeloRAT, un Remote Access Trojan basé sur Python. En parallèle, Bitdefender signale une recrudescence de Lumma Stealer via des campagnes ClickFix déployant CastleLoader, un Loader associé au Threat Actor GrayBravo. Malgré les opérations de disruption des forces de l'ordre en 2025, l'infrastructure Lumma Stealer démontre une résilience notable.
L'actualité se poursuit avec l'identification par ReversingLabs de packages malveillants sur npm et PyPI rattachés à la campagne « graphalgo », attribuée au groupe nord-coréen Lazarus. Active depuis mai 2025, cette opération cible les développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur des cryptomonnaies. Les attaquants, opérant sous la couverture d'une société fictive nommée Veltrix Capital, approchent leurs victimes sur LinkedIn, Facebook et Reddit. L'opération modulaire en cinq phases aboutit au déploiement d'un RAT doté de communications C2 protégées par token, avec détection de Crypto Wallets comme MetaMask. Un des packages npm, bigmathutils, a atteint plus de dix mille téléchargements avant l'injection de code malveillant.
Enfin, le projet Vim annonce la publication de Vim 9.2 le 14 février 2026. Cette version majeure apporte le support natif des Enums, des Generic Functions et du type Tuple dans Vim9 Script, le support complet de Wayland, ainsi que la conformité XDG Base Directory. Le mode Diff bénéficie de l'algorithme linematch et d'une nouvelle option diffanchors. De nombreuses vulnérabilités de sécurité, Memory Leaks et Crashes potentiels ont été corrigés depuis Vim 9.1.
Sources :
- The Hacker News – Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging : https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
- Security Affairs – Malicious npm and PyPI packages linked to Lazarus APT fake recruiter campaign : https://securityaffairs.com/188009/apt/malicious-npm-and-pypi-packages-llinked-to-lazarus-apt-fake-recruiter-campaign.html
- Vim.org – Vim 9.2 released : https://www.vim.org/vim-9.2-released.php
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.