Nous ouvrons cette édition avec la découverte par Check Point Research de vulnérabilités critiques dans Claude Code d’Anthropic, référencées CVE-2025-59536 et CVE-2026-21852. Trois vecteurs d’attaque distincts ont été identifiés : l’exécution de commandes arbitraires via les Hooks définis dans le fichier .claude/settings.json du repository, le contournement du dialogue de consentement utilisateur pour les serveurs MCP en combinant le paramètre enableAllProjectMcpServers dans la configuration projet, et l’exfiltration de clés API Anthropic en clair via la redirection de la variable ANTHROPIC_BASE_URL vers un serveur contrôlé par l’attaquant. Ces trois vecteurs constituent un risque de Supply Chain Attack exploitable via des Pull Requests malveillantes ou des repositories piégés. Anthropic a corrigé l’ensemble des failles entre août 2025 et janvier 2026.
Cisco Talos documente une campagne active depuis décembre 2025 menée par l’acteur UAT-10027, ciblant les secteurs de l’éducation et de la santé aux États-Unis. La campagne déploie un Backdoor inédit baptisé Dohdoor, utilisant le DNS-over-HTTPS via Cloudflare pour résoudre ses domaines C2. La chaîne d’infection repose sur du DLL Sideloading via des exécutables Windows légitimes, un déchiffrement XOR-SUB position-dependent des Payloads, et une injection par Process Hollowing dans des processus système. Le Backdoor implémente un EDR Bypass par unhooking des syscalls dans ntdll.dll. Talos évalue avec un niveau de confiance faible un lien avec la Corée du Nord, sur la base de recoupements TTP avec le groupe Lazarus.
Le GReAT de Kaspersky a documenté Arkanix Stealer, un Infostealer opérant sous modèle Malware-as-a-Service depuis octobre 2025. Deux implémentations coexistent : une version Python à capacités configurables à distance et une version native C++ intégrant VMProtect, ChromElevator pour la post-exploitation navigateur, et le patching d’AmsiScanBuffer et EtwEventWrite. Les communications C2 sont chiffrées en AES-GCM combiné à PBKDF2 avec HMAC-SHA256. L’analyse du code révèle des traces probables de développement assisté par LLM. Le programme affilié a été démantelé autour de décembre 2025 sans préavis.
Eurojust a coordonné le démantèlement d’un centre d’appels frauduleux opérant depuis Dnipro en Ukraine. L’opération conjointe entre les autorités lettones, lituaniennes et ukrainiennes a abouti le 17 février 2026 à l’arrestation de onze membres du groupe criminel exploitant un schéma d’investissement frauduleux en cryptomonnaies. Les saisies comprennent 400 000 euros en espèces, deux Wallets de cryptomonnaies et huit véhicules de luxe. Les perquisitions ont été menées dans 32 lieux.
La CVE-2026-27495 affecte n8n, la plateforme open source d’automatisation de workflows. Classée CWE-94 Code Injection, la faille permet à un utilisateur authentifié de s’échapper du Sandbox du JavaScript Task Runner pour exécuter du code arbitraire à distance. En mode runner interne, l’exploitation peut conduire à une compromission complète de l’hôte. Les correctifs sont disponibles dans les versions 1.123.22, 2.9.3 et 2.10.1.
Enfin, Linus Torvalds a confirmé que la prochaine version du kernel Linux portera le numéro 7.0. Le premier Release Candidate est publié, avec une version stable attendue pour mi-avril 2026. Le cycle intègre le support des processeurs Intel Nova Lake et AMD Zen 6, des optimisations du scheduler et du sous-système mémoire, ainsi que des mises à jour de drivers et de filesystems.
Sources :
- Check Point Research – RCE and API Token Exfiltration Through Claude Code Project Files : https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/
- Cisco Talos – New Dohdoor Malware Campaign Targets Education and Health Care : https://blog.talosintelligence.com/new-dohdoor-malware-campaign/
- Kaspersky GReAT – Arkanix Stealer: a C++ & Python Infostealer : https://securelist.com/arkanix-stealer/119006/
- Eurojust – 11 Arrests During Actions Against Fraudulent Call Centre : https://www.eurojust.europa.eu/news/11-arrests-during-actions-against-fraudulent-call-centre
- Cyberveille e-santé – n8n CVE-2026-27495 : https://cyberveille.esante.gouv.fr/alertes/n8n-cve-2026-27495-2026-02-27
- Linux Journal – Linux 7.0 Is Coming: What to Expect from the Next Major Kernel Release : https://www.linuxjournal.com/content/linux-70-coming-what-expect-next-major-kernel-release
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com