Zoom corrige une faille critique 🪟, OkoBot injecte phishing dans Ledger et Trezor 💰, AsyncAPI infecte npm 📦

3 minutes de lecture

Bonjour, voici ta veille Cybere du 16 juillet 2026 !

Les failles critiques et les attaques ciblées se multiplient, exposant à la fois les infrastructures logicielles et les utilisateurs finaux à des risques majeurs.

Retrouve les trois articles à la une du jour :

  • Zoom corrige une faille critique permettant la prise de contrôle de comptes
  • OkoBot injecte du phishing dans les applications Ledger et Trezor
  • Des paquets AsyncAPI compromis distribuent un trojan via npm

Zoom corrige une faille critique de prise de contrôle de compte

Zoom a publié un correctif pour la CVE-2026-53412 (CVSS 9.8), une vulnérabilité d'une gravité critique affectant son client de bureau et son kit de développement pour Windows. Découverte en interne, cette faille de validation d'entrée permet à un utilisateur non authentifié de prendre le contrôle de comptes via un accès réseau.

La vulnérabilité touche Zoom Workplace pour Windows antérieur à 7.0.0, le client VDI Windows avant 7.0.10, 6.6.15 et 6.5.18, ainsi que le Meeting SDK pour Windows avant 7.0.0. Zoom a également corrigé trois failles de sévérité élevée : la CVE-2026-53410 (condition de course dans l'installation), la CVE-2026-53409 (escalade de privilèges dans Rooms) et la CVE-2026-53411 (escalade de privilèges dans le VDI Plugin). Aucune exploitation en conditions réelles n'a été signalée au moment de la divulgation.

Points d'attention

  • Mettre à jour Zoom Workplace, le client VDI et Meeting SDK sans délai, en priorisant les déploiements d'entreprise exposés à des utilisateurs externes.
  • Inspecter les journaux d'authentification pour détecter des tentatives de connexion anormales ou des créations de comptes non autorisées depuis la découverte.
  • Restreindre les installations et accès locaux aux utilisateurs de confiance en attendant la mise à jour complète.

→ Lire la source


OkoBot injecte du phishing dans les portefeuilles matériels

Le framework malveillant OkoBot, actif depuis avril 2025 sur Windows, cible les utilisateurs de portefeuilles matériels de cryptomonnaies Ledger et Trezor. Son module SeedHunter s'insère dans les applications légitimes de ces fabricants pour afficher une fausse page de récupération et capturer la phrase d'amorce. Kaspersky a documenté des centaines de victimes dans plus de 25 pays, avec une concentration au Brésil, Vietnam, Canada, Mexique et Turquie.

SeedHunter fonctionne en attendant la connexion physique du portefeuille, puis affiche une interface malveillante tout en laissant l'application officielle active. Le framework comporte plus de 20 charges utiles et reste actif selon le rapport du 15 juillet. OkoBot s'installe via des leurres ClickFix ou des logiciels compromis sur GitHub, et dote les machines infectées de capacités d'espionnage étendues incluant enregistrement vidéo et vol d'identifiants.

Points d'attention

  • Vérifier la présence de tâches planifiées nommées « Apple Sync » ou d'extensions de navigateur suspectes dans les paramètres, signes d'infection OkoBot.
  • Valider que les demandes de phrase d'amorce ne surviennent que lors de transactions effectuées sur le périphérique matériel lui-même, jamais sur l'écran de l'ordinateur.
  • Consulter les indicateurs de compromission fournis par Kaspersky (chemins de fichiers, hashes, domaines C2) pour procéder à la chasse aux artefacts en environnement.

→ Lire la source


AsyncAPI packages compromis dans une attaque logistique npm

Cinq versions malveillantes de paquets AsyncAPI ont été publiées sur npm dans une attaque de chaîne logistique, distribuant un trojan d'accès à distance capable de voler des identifiants. L'attaquant a exploité un workflow GitHub Actions mal configuré, affectant quatre paquets @asyncapi cumulant plus de 2,25 millions de téléchargements hebdomadaires.

La compromission repose sur une manipulation du pipeline CI/CD. L'attaquant a injecté le malware dans les dépôts GitHub et utilisé l'intégration npm OIDC pour publier les versions trojannisées en tant que builds officiels, les dotant d'attestations SLSA légitimes. Le payload est un framework malveillant modulaire de 92 000 lignes établissant la persistance et communiquant avec un serveur de commande via HTTP, relais Nostr, contrats Ethereum et réseau libp2p.

Points d'attention

  • Régénérer les fichiers verrouillés et épingler les versions fiables des paquets AsyncAPI, en particulier @asyncapi/specs affecté par l'exposition.
  • Supprimer le fichier caché NodeJS/sync.js, terminer tout processus malveillant et nettoyer les répertoires d'installation contaminés.
  • Faire tourner tous les identifiants, jetons et clés d'authentification sur les systèmes affectés et auditer les accès CI/CD pour déterminer les compromis.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere