Netlogon piraté à distance 🎯, npm Red Hat volent des clés 🔑, Instagram trompé par IA 🤖

2 minutes de lecture

Bonjour, voici ta veille Cybere du 2 juin 2026 !

Les chaînes d’approvisionnement logicielles et les mécanismes d’authentification deviennent des cibles privilégiées, révélant des failles systématiques dans des protocoles pourtant matures. Les attaques ciblent désormais l’automatisation elle-même.

Retrouve les trois articles à la une du jour :

  • Une vulnérabilité Netlogon permet aux attaquants de compromettre des contrôleurs de domaine Windows.
  • Trente paquets npm Red Hat distribuent un malware volant tokens et clés SSH via GitHub Actions.
  • Un bot IA de Meta a été contourné pour détourner des comptes Instagram officiels via réinitialisation frauduleuse.

Une faille Netlogon critique cible les contrôleurs de domaine

Des attaques exploitent activement une vulnérabilité critique dans Windows Netlogon, permettant une prise de contrôle à distance des contrôleurs de domaine.

CVE-2026-41089 est un dépassement de tampon dans le service Netlogon, exploitable via une requête réseau spécialement conçue. Divulguée par Microsoft le 12 mai 2026, elle était initialement jugée peu susceptible d’être exploitée, mais des acteurs malveillants l’utilisent désormais. Le Centre pour la Cybersécurité Belgique (CCB) a confirmé son exploitation sans fournir de détails sur les attaques en cours.

Points d'attention

  • Microsoft a corrigé la faille lors du dernier Patch Tuesday pour plusieurs versions de Windows Server.
  • Les contrôleurs de domaine partiellement corrigés restent vulnérables à une compromission complète du domaine.
  • Des micropatches sont disponibles pour les versions obsolètes (2008 R2, 2012, 2012 R2) via Acros Security.

→ Lire la source


Trente paquets npm Red Hat ciblés par un vol de credentials

Plus de 30 paquets npm sous l’espace de noms @redhat-cloud-services ont été compromis pour diffuser un malware voleur de secrets.

Les attaquants ont exploité un compte GitHub interne pour pousser des commits malveillants, ajoutant un workflow GitHub Actions qui publiait des versions corrompues (comprenant une backdoor) via le mécanisme OIDC de npm. Le script de pré-installation (preinstall) exécutait un fichier index.js obfusqué de 4,2 Mo, conçu pour exfiltrer tokens, clés SSH, identifiants cloud et fichiers .env.

Points d'attention

  • 96 versions de paquets affectées, avec 117 000 téléchargements hebdomadaires.
  • Red Hat confirme une compromission limitée à des outils de développement internes.
  • Le malware Miasma, variante de Shai-Hulud, cible aussi des dépôts GitHub.

→ Lire la source


Des comptes Instagram officiels compromis via un bot IA

Des comptes Instagram liés à la Maison-Blanche et à l'US Space Force ont été temporairement détournés avec des messages pro-iraniens.

Des attaquants ont exploité une faiblesse dans le bot d'assistance IA de Meta pour ajouter une adresse e-mail frauduleuse lors d'une procédure de réinitialisation de mot de passe. Une vidéo diffusée sur Telegram montrait comment contourner le processus en utilisant un VPN et en manipulant le bot pour lier un nouveau compte e-mail, permettant ensuite une réinitialisation complète.

Points d'attention

  • L'attaque a ciblé des comptes à haute valeur, certains revendus pour plus de 500 000 dollars.
  • Meta a corrigé la faille en urgence, précisant qu'aucune base de données n'a été compromise.
  • Les comptes protégés par une authentification multifactorielle (MFA) n'ont pas été affectés.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere