Critical SimpleHelp flaw exploited to deploy new stealer malware

Exploitation active de la faille critique dans SimpleHelp

Une vulnérabilité critique dans la plateforme de gestion à distance SimpleHelp est actuellement exploitée par des cybercriminels pour déployer une nouvelle menace multiplateforme nommée Djinn Stealer.

Points clés :

• Vecteur d’attaque : La faille permet de créer des comptes techniciens hautement privilégiés sans authentification sur les serveurs utilisant le protocole OpenID Connect (OIDC).
• Chaîne d’infection : L’attaquant obtient un accès administrateur, déploie le chargeur de malware TaskWeaver (dissimulé sous le nom jquery.js), qui installe ensuite le logiciel espion Djinn Stealer.
• Ciblage spécifique : Djinn Stealer est conçu pour dérober des identifiants de développement (Git, Docker, Terraform), des clés SSH, des portefeuilles de cryptomonnaies, ainsi que les jetons d’accès des assistants de codage par IA (via le Model Context Protocol).
• Risque accru : Le vol d’identifiants d’outils IA permet aux attaquants d’accéder aux référentiels, bases de données et API auxquels l’assistant avait été autorisé à se connecter par le développeur.

Vulnérabilité :

• CVE-2026-48558 : Faille critique de contournement d’authentification dans SimpleHelp.

Recommandations :

• Mise à jour urgente : Appliquer immédiatement les correctifs fournis par l’éditeur pour les instances SimpleHelp.
• Audit des sessions : Inspecter et invalider toute session technique suspecte ou non reconnue.
• Réinitialisation de sécurité : En cas de compromission avérée, procéder à une rotation systématique de tous les identifiants, secrets, clés API et jetons SSH ayant pu être exposés.
• Analyse : Utiliser les indicateurs de compromission (IoCs) fournis par Blackpoint pour détecter d’éventuelles traces d’intrusion dans les environnements Windows, macOS ou Linux.

Source