GitHub cartographié par comptes dormants 🕵️, CMS ciblés par webshells 🌍, IA hallucinante crée des botnets 🤖

2 minutes de lecture

Bonjour, voici ta veille Cybere du 12 juillet 2026 !

La reconnaissance discrète et l'exploitation systématique des failles redéfinissent les frontières de la menace.

Retrouve les trois articles à la une du jour :

  • Des comptes GitHub dormants abusent de l'API pour cartographier les organisations
  • Une campagne mondiale compromet des CMS vulnérables via des webshells
  • Des chercheurs démontrent l'exploitation des hallucinations d'IA pour déployer des botnets

Des comptes fantômes cartographient les organisations GitHub

Depuis octobre 2025, plus de 50 comptes dormants sont exploités pour analyser systématiquement les organisations GitHub, leurs dépôts et leurs membres, selon Datadog.

Les attaquants abusent de l'API GitHub pour énumérer les données publiques sans authentification, générant du trafic normal et difficile à détecter. Dans la plupart des cas, l'activité reste limitée à la reconnaissance, mais dans de rares cas, certaines campagnes ont progressé jusqu'à l'exfiltration réussie de données depuis les dépôts privés ciblés.

Points d'attention

  • Les comptes fantômes utilisent des user agents nommés pour ressembler à des outils de collecte ou d'analyse afin de se fondre dans le trafic.
  • L'API GitHub expose largement les données publiques sans authentification, permettant la cartographie sans générer d'alertes.
  • Les organisations doivent surveiller les anomalies dans les logs d'audit, les user agents suspects et les accès aux dépôts privés.

→ Lire la source


Une campagne mondiale vise les CMS vulnérables

L'Australian Cyber Security Centre (ACSC) alerte sur une exploitation massive de systèmes de gestion de contenu, affectant de nombreuses petites et moyennes entreprises australiennes.

Les attaquants déploient des webshells pour accéder durablement aux sites compromis, voler des identifiants et installer des malwares. La campagne cible des failles dans WordPress, Craft CMS, MaxSite CMS, MetInfo CMS et Joomla JCE, exploitant notamment les vulnérabilités CVE-2025-34085, CVE-2020-36847, CVE-2025-12057, CVE-2025-7443, CVE-2025-7852, CVE-2026-0740, CVE-2026-1969, CVE-2026-3844, CVE-2026-31843, CVE-2025-13486, CVE-2025-6389, CVE-2026-1357, CVE-2025-12352, CVE-2024-9234, CVE-2025-32432, CVE-2026-3395, CVE-2026-29014 et CVE-2026-48907.

Points d'attention

  • L'ACSC soupçonne un soutien par intelligence artificielle accélérant la détection et l'exploitation de nouvelles failles.
  • Appliquer immédiatement les mises à jour de sécurité pour tous les CMS, thèmes et plugins déployés.
  • Surveiller la création de fichiers non autorisés et restreindre l'accès aux répertoires sensibles des serveurs web.

→ Lire la source


Des chercheurs démontrent l'exploitation des hallucinations d'IA pour créer des botnets

Des équipes de l'université de Tel Aviv, du Technion et d'Intuit ont détaillé une technique d'attaque appelée HalluSquatting qui transforme les hallucinations d'IA en vecteur d'infection à grande échelle.

L'attaquant préenregistre des noms de dépôts ou de paquets fictifs que les modèles de langage génèrent couramment lors de demandes d'accès à des ressources populaires. Lors d'une demande de clonage ou d'installation, l'assistant IA hallucine le nom squatté, télécharge le code malveillant et l'exécute via son terminal intégré. Les chercheurs ont observé des taux d'hallucination atteignant 85 % pour le clonage de dépôts et 100 % pour les installations de compétences, rendant la technique transférable entre différents modèles.

Points d'attention

  • HalluSquatting contourne les canaux directs des attaques par injection de prompt traditionnelles.
  • Les assistants affectés incluent Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI et OpenClaw.
  • Les botnets agentiques résultants contournent les pare-feu et infectent des hôtes hétérogènes.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere