Alertes technologiques – avril 2026

Bienvenue aux alertes technologiques – avril 2026

Nous savons que votre temps est compté. C’est pourquoi nous avons créé cette lettre d’information : pour couper court au bruit et ne vous transmettre que les alertes les plus critiques et à fort impact. Qu’il s’agisse d’un exploit de type « zero-day » nécessitant un correctif immédiat ou d’une nouvelle tendance en matière d’ingénierie sociale, notre objectif est de vous informer, de vous préparer et de vous donner une longueur d’avance.

Dans le briefing de cette semaine :

1. Axios Le paquet npm compromis dans une attaque de la chaîne d’approvisionnement
2. Bilan de la semaine dernière : BlueHammer, RedSun, UnDefend. Trois journées zéro de Windows Defender. Toutes activement exploitées.

Surveiller les menaces pour vous éviter d’avoir à le faire. Voici les éléments essentiels de ce mois.

1. Le paquet npm d’Axios compromis dans une attaque de la chaîne d’approvisionnement

Les 30 et 31 mars 2026, l’une des bibliothèques JavaScript les plus utilisées a été transformée en arme.

Axios a été compromise après qu’un acteur menaçant a détourné le compte npm de son principal mainteneur (jasonsaayman) et a publié deux versions antidatées (1.14.1 et 0.30.4) dans une fenêtre de 39 minutes, signe évident d’une opération coordonnée et planifiée à l’avance.

Aucun code source n’a été modifié. Au lieu de cela, une dépendance malveillante (plain-crypto-js) a été injectée silencieusement. Lors de l’installation, il a déployé un cheval de Troie d’accès à distance multiplateforme ciblant Windows, macOS et Linux.

L’attaque a été préparée pendant environ 18 heures: une version leurre propre de plain-crypto-js@4.2.0 a été publiée le 30 mars à 05:57 UTC pour établir l’historique du registre et contourner les scanners de « nouveaux paquets », avant que la version malveillante 4.2.1 ne soit publiée à 23:59 UTC.

La fenêtre malveillante s’étendait de 00:21 UTC à 03:29 UTC le 31 mars 2026 :

• axios@1.14.1 en direct pendant ~3h08 (00:21 à 03:29 UTC)
• axios@0.30.4 en direct pendant ~2h29 (01:00 à 03:29 UTC)

a. Ce qu’il faut rechercher (IoC)

• axios@1.14.1 ou axios@0.30.4 dans vos fichiers de verrouillage
• plain-crypto-js n’importe où dans node_modules
• Connexions sortantes vers sfrclak[.]com / 142.11.206.73
• Artefacts RAT : /Library/Caches/com.apple.act.mond (macOS), %PROGRAMDATA%\wt.exe (Windows), /tmp/ld.py (Linux)

b. Comment remédier à la situation

• Rétrogradez vers axios@1.14.0 (1.x) ou axios@0.30.3 (0.x)
• Supprimer plain-crypto-js de node_modules
• Bloquer le domaine/IP C2 au niveau du pare-feu et du DNS
• Si des artefacts RAT sont trouvés : ne nettoyez PAS, reconstruisez à partir de zéro et changez TOUTES les informations d’identification (jetons npm, clés SSH, accréditations cloud, secrets CI/CD).

Cela nous rappelle qu’un seul compte de responsable compromis, préparé 18 heures à l’avance, avec trois charges utiles parallèles spécifiques au système d’exploitation et un système d’autodestruction anti-forensic intégré, peut transformer un paquet de confiance en un vecteur d’attaque affectant des millions d’environnements.

Vérifiez vos dépendances. Vérifiez vos fichiers de verrouillage. Restez vigilant.

a. Ce qui s’est réellement passé

En l’espace de 13 jours, en avril dernier, un seul chercheur a lancé trois exploits fonctionnels ciblant Microsoft Defender. Aucune divulgation coordonnée. Pas d’avertissement à Microsoft. Code complet de preuve de concept, directement sur GitHub.

Le chercheur, connu sous le nom de« Chaotic Eclipse« , a expliqué pourquoi : il était frustré par la façon dont le CSEM de Microsoft traitait ses rapports. Que vous soyez d’accord ou non avec l’approche, le code fonctionne. Et les attaquants ont agi rapidement.

 

L’un des trois a fait l’objet d’un correctif. Deux sont encore ouverts aujourd’hui.

 

b. Ce que nous avons observé du côté du SOC

Ce qui a attiré notre attention, ce ne sont pas seulement les insectes individuels. C’est l’architecture qui les sous-tend.

• BlueHammer escalade les privilèges en abusant de la logique de remédiation des fichiers de Defender.
• RedSunt emprunte une voie différente pour la gestion des fichiers dans le nuage, en atteignant également le système SYSTEM.
• UnDefend ne provoque pas d’escalade. Il se contente de priver Defender de mises à jour de signatures jusqu’à ce que la protection de votre point d’accès fonctionne à l’aveuglette.

Ensemble, ils couvrent l’escalade initiale, une autre voie d’escalade si la première est corrigée et la persistance silencieuse. Il s’agit là d’un ensemble complet d’outils de post-exploitation, et non de trois bogues sans rapport entre eux.

 

c. Ce que nous avons vu dans la nature

• L’exploitation de BlueHammer a été confirmée dans des intrusions réelles depuis le 10 avril.
• RedSun et UnDefend ont suivi le 16 avril.

Dans les cas observés, le point d’ entrée était la compromission des identifiants SSL-VPN, les attaquants déposant des binaires d’exploitation renommés dans des dossiers enregistrables par l’utilisateur, tels que Pictures ou Downloads, après avoir obtenu l’accès initial.

Il s’agit d’une activité pratique au clavier. Il ne s’agit pas d’une numérisation automatisée.

 

d. Que faire maintenant ?

✅ Appliquez la mise à jour April 2026 Patch Tuesday si vous ne l’avez pas encore fait. Elle couvre BlueHammer (CVE-2026-33825).

❌ Pour RedSun et UnDefend, il n’y a pas encore de correctif, donc la détection comportementale est ce que vous avez.

Ne vous fiez pas uniquement aux signatures statiques puisque la source du PoC est publique et qu’il est facile de la recompiler.

 

Notre engagement

Nous restons pleinement mobilisés pour détecter et alerter rapidement nos clients dès qu’une activité anormale est observée. Si une action spécifique était nécessaire de leur part, ils seraient contactés directement, avec un seul objectif : préserver leur cyber-sérénité.