Pirater la version CLI de Bitwarden, arrestation des « collecteurs noirs » à Kiev et autres événements de cybersécurité - ForkLog : cryptomonnaies, IA, singularité, avenir

# Hacking de la version CLI de Bitwarden, arrestation de « collecteurs » « noirs » à Kiev et autres événements de cybersécurité

Nous avons rassemblé les nouvelles les plus importantes du monde de la cybersécurité de la semaine.

• Des hackers nord-coréens ont volé en trois mois des cryptomonnaies pour $12 millions à l’aide d’outils d’IA.
• Un ancien négociateur avec des extorqueurs s’est avéré être un complice.
• Renseignement britannique : 100 gouvernements dans le monde ont accès à des logiciels espions commerciaux.
• Un infostyler a été intégré dans le gestionnaire de mots de passe pour développeurs Bitwarden.

Des hackers nord-coréens ont volé en trois mois des cryptomonnaies pour $12 millions à l’aide d’outils d’IA

En trois mois, le groupe de hackers nord-coréen HexagonalRodent a volé environ $12 millions en cryptomonnaies et infecté plus de 2000 ordinateurs de développeurs Web3 afin de voler leurs identifiants et accéder à leurs portefeuilles cryptographiques. C’est ce qu’a rapporté Marcus Hutchins, expert en cybersécurité chez Expel.

L’attaque reposait sur la méthode de codage VIB — génération de logiciels malveillants et d’infrastructures via des requêtes textuelles aux réseaux neuronaux :

• à l’aide d’outils d’IA pour la conception web d’Anima, les hackers créaient des sites pour des entreprises IT fictives ;
• ils attiraient les victimes avec de fausses offres d’emploi et leur demandaient d’effectuer une « tâche test » contenant un logiciel malveillant ;
• tout le code et la correspondance en anglais impeccable étaient générés via ChatGPT et Cursor.

Fragment de code de hacker. Source : Expel L’expert a analysé l’infrastructure des hackers, qu’ils ont laissée ouverte par négligence. Leurs prompts et leur base de données avec les portefeuilles des victimes ont été divulgués en ligne. Hutchins a noté que le code écrit était rempli de commentaires en anglais et d’émojis — un signe évident que le logiciel a été entièrement généré par un modèle de langage de grande taille (LLM).

Selon Hutchins, en 2026, Pyongyang a fait un saut qualitatif en utilisant l’IA pour automatiser chaque étape des cyberattaques, transformant des opérateurs peu qualifiés en une menace cybernétique à grande échelle.

L’activité de HexagonalRodent n’est qu’une partie de la stratégie mondiale de la RPDC pour automatiser la criminalité, comme le confirment les rapports d’autres géants technologiques :

• Microsoft a indiqué que des opérateurs nord-coréens utilisent l’IA pour générer de faux documents, étudier des vulnérabilités et faire de l’ingénierie sociale ;
• Anthropic a déclaré avoir empêché des agents de la RPDC d’utiliser le modèle Claude pour améliorer des virus.

Dans les commentaires de WIRED, des représentants d’OpenAI, Cursor et Anima ont confirmé les abus de leurs services. Selon eux, les comptes liés aux hackers ont été bloqués, et l’enquête aidera à comprendre comment prévenir de tels incidents.

Un ancien négociateur avec des extorqueurs s’est avéré être un complice

Angelo Martino, ancien négociateur avec des extorqueurs chez DigitalMint, a reconnu sa culpabilité d’avoir aidé des cybercriminels. C’est ce qu’a annoncé le ministère américain de la Justice.

Martino a avoué qu’il jouait « double jeu » dans cinq incidents différents. Formellement au service des victimes, il transmettait des informations confidentielles aux opérateurs de logiciels malveillants ALPHV/BlackCat, et fournissait aux hackers des données telles que les limites des polices d’assurance des victimes et leurs stratégies de négociation.

L’enquête a établi que Martino maximisait les paiements pour les criminels, dont il recevait une part.

Le groupe ALPHV/BlackCat opérait selon le modèle CaaS, où la bande crée et maintient un logiciel de chiffrement de fichiers, et les « partenaires » l’utilisent dans des attaques tout en versant une part des profits aux développeurs.

En 2023, les forces de l’ordre ont saisi le site des hackers dans le dark web et publié un programme de déchiffrement qui a aidé plus de 500 victimes à restaurer leurs systèmes.

En 2025, d’autres employés de DigitalMint — Kevin Tyler Martin et Ryan Clifford Goldberg — ont aidé le même groupe de hackers. Avec Martino, ils ont gagné plus de 1,2 million de dollars rien qu’avec une seule victime.

Martino a reconnu sa culpabilité pour extorsion, risquant jusqu’à 20 ans de prison. Les autorités ont saisi pour lui des actifs d’une valeur de $10 millions.

Renseignement britannique : 100 gouvernements dans le monde ont accès à des logiciels espions commerciaux

Selon le renseignement britannique, plus de la moitié des gouvernements dans le monde ont accès à des logiciels capables de pirater des appareils pour voler des informations confidentielles. Selon Politico.

Les médias rapportent que la barrière à l’accès à ces technologies d’espionnage a diminué. Le nombre de pays potentiellement possédant de tels outils de piratage a augmenté : ils sont désormais 100, contre 80 en 2023.

Les logiciels espions commerciaux, développés par des entreprises privées comme Pegasus de NSO Group, exploitent souvent des vulnérabilités dans les logiciels des téléphones et ordinateurs. Bien que les gouvernements déclarent utiliser ces outils uniquement contre des suspects de crimes graves, y compris le terrorisme.

Selon le renseignement britannique, ces dernières années, la « cible » s’est élargie des critiques politiques, opposants et journalistes à des banquiers et hommes d’affaires fortunés.

Aux États-Unis, ICE utilise activement le logiciel israélien Graphite. Todd Lyons, directeur par intérim de l’agence, a confirmé cette information à NPR.

Selon lui, les forces de l’ordre utilisent ce logiciel pour lutter contre des organisations terroristes étrangères et des trafiquants de fentanyl utilisant des messageries chiffrées. Le logiciel permet d’accéder aux messages sur le téléphone sans avoir besoin de cliquer sur des liens (zero-click).

Un gestionnaire de mots de passe pour développeurs Bitwarden a intégré un infostyler

Le 22 avril 2026, le paquet officiel npm de l’interface en ligne de commande (CLI) du gestionnaire de mots de passe Bitwarden, version 2026.4.0, a été compromis. La version contenait un code malveillant destiné à voler les identifiants des développeurs.

Plusieurs entreprises de sécurité ont analysé la chaîne d’infection et évalué l’incident :

• les experts de JFrog ont découvert que le paquet utilisait un chargeur personnalisé bw_setup.js pour lancer discrètement un logiciel espion. Le virus collectait des tokens npm et GitHub, des clés SSH, ainsi que des accès à AWS, Azure et Google Cloud ;
• chez OX Security, ils ont trouvé que les données volées et chiffrées étaient téléchargées via la création automatique de dépôts publics sur GitHub par la victime. Les dépôts portaient la mention Shai-Hulud : The Third Coming, et le virus pouvait se propager lui-même ;
• Socket a confirmé que la cible du virus était l’infrastructure CI/CD. Ils ont également établi un lien technique entre cet incident et la récente compromission de la chaîne d’approvisionnement de Checkmarx.

L’attaque est attribuée au groupe de hackers TeamPCP, qui a déjà mené des campagnes à grande échelle contre des développeurs de Trivy et LiteLLM. Les experts ont fortement conseillé aux développeurs de changer immédiatement toutes leurs clés et tokens s’ils ont interagi avec le CLI affecté.

Bitwarden a rapidement supprimé la version infectée une heure et demie après le début de l’attaque, et a confirmé la sécurité des coffres-forts et mots de passe des utilisateurs.

Apple a corrigé une faille permettant au FBI de lire les messages Signal supprimés

Apple a publié une mise à jour et des recommandations de sécurité après que le FBI a pu accéder au contenu des notifications de messages Signal via iOS, malgré la suppression de l’application.

Nous sommes très heureux qu’aujourd’hui Apple ait publié un correctif et un avis de sécurité. Cela fait suite au rapport de @404mediaco indiquant que le FBI a accédé au contenu des notifications de Signal via iOS malgré la suppression de l’application.

L’avis d’Apple a confirmé que les bugs ayant permis cela…

— Signal (@signalapp) 22 avril 2026

Signal a indiqué qu’après l’installation de la mise à jour, toutes les notifications non intentionnellement sauvegardées seront supprimées, et aucune nouvelle ne sera enregistrée.

À Kiev, arrestation d’une bande de collecteurs extorqueurs utilisant des botnets pour extorquer des cryptomonnaies

À Kiev, les forces de l’ordre ont arrêté des escrocs qui utilisaient les plateformes Bitcapital et Crypsee pour prêter en cryptomonnaies. Les débiteurs et leurs proches étaient harcelés avec du contenu insultant généré automatiquement et un botnet de 6000 cartes SIM, rapporte la Cyberpolice d’Ukraine.

Selon l’enquête, les membres du groupe ont organisé un centre d’appels à Dnipro, opérant depuis 2023 sous couvert de sociétés enregistrées au Royaume-Uni et à Chypre.

Les opérateurs appelaient les débiteurs et, utilisant de fausses données et des logiciels de modification de voix, exigeaient le remboursement. Si les clients remboursaient à temps, les escrocs inventaient des dettes inexistantes. Par la suite, ils faisaient du chantage et menaçaient pour extorquer de l’argent.

Le botnet était utilisé pour générer et diffuser du contenu humiliant en utilisant les données et photos des victimes, de leurs proches et collègues, ainsi que pour des appels téléphoniques systématiques avec des menaces.

Source : Cyberpolice d’Ukraine. Parallèlement, une autre équipe de deux à six personnes pouvait « travailler » sur la victime, utilisant différentes approches adaptées aux vulnérabilités individuelles. En cas de succès, chacun recevait un pourcentage de la somme versée par la victime.

Les policiers ont effectué 44 perquisitions dans la région de Dnipropetrovsk et à Kiev. Plus de 80 téléphones mobiles, du matériel informatique, de l’argent liquide, des documents, des cachets et des botnets ont été saisis.

Selon les premières estimations, le montant des dommages causés dépasse 5 millions de hryvnias (, soit environ $113 000 selon le taux au moment de l’écriture). Les suspects risquent jusqu’à 12 ans de prison.

Sur ForkLog aussi :

• Tether a bloqué 3 millions de USDT sur demande des États-Unis.
• Des raids au Royaume-Uni pour lutter contre le commerce illégal de cryptomonnaies P2P.
• Des experts en cybersécurité ont averti d’une nouvelle vague d’attaques de hackers de la RPDC.
• Bloomberg a rapporté un accès non autorisé au modèle d’IA Mythos.
• Des hackers ont attaqué Volo et ont drainé 3,5 millions de dollars de pools WBTC et USDC.
• Des journalistes ont découvert une nouvelle méthode d’extorsion en bitcoin pour passer par le détroit d’Ormuz.
• Arbitrum a gelé 30 000 ETH dans le cadre de l’enquête sur le piratage de Kelp.
• Eth.limo a repris le contrôle de son domaine après une attaque sur easyDNS.
• Le protocole Kelp a perdu $344 millions après une attaque sur un pont cross-chain.

Que lire ce week-end ?

L’utilisation d’armes cybernétiques pour l’espionnage était longtemps considérée comme l’apanage d’un cercle restreint de services secrets. Cependant, l’enquête des autorités américaines sur Operation Zero a révélé l’ampleur du commerce de vulnérabilités zero-day.

Sur le marché noir des États et le coût des piratages — dans un nouveau reportage de ForkLog.