Attackers Exploit SimpleHelp CVE-2026-48558 to Deploy TaskWeaver and Djinn Stealer

Exploitation de SimpleHelp pour le déploiement des malwares TaskWeaver et Djinn Stealer

Une vulnérabilité critique dans le logiciel de gestion à distance SimpleHelp est activement exploitée pour compromettre des serveurs et exfiltrer des données sensibles via deux nouveaux malwares : TaskWeaver (un chargeur Node.js) et Djinn Stealer (un outil d’exfiltration).

Points clés :

• Vecteur d’attaque : Les attaquants obtiennent un accès administrateur total (“Technician”) sans authentification sur des serveurs exposés.
• Impact : Une fois le contrôle établi, les attaquants utilisent les capacités d’administration du logiciel pour exécuter des scripts et déployer des charges malveillantes sur l’ensemble des systèmes gérés par le serveur SimpleHelp.
• Vol de données : Djinn Stealer cible un large éventail d’informations : identifiants cloud, clés SSH, données de registres de paquets, portefeuilles de cryptomonnaies, et surtout, les accès aux outils de développement basés sur l’IA.

Vulnérabilité identifiée :

• CVE-2026-48558 (Score CVSS 10.0) : Contournement d’authentification dans le flux OpenID Connect (OIDC). Cette faille permet la création de nouveaux comptes techniciens et le contournement des mécanismes MFA, même si ces derniers sont configurés.

Recommandations :

• Application des correctifs : Appliquer immédiatement les mises à jour de sécurité fournies par l’éditeur. La CISA a classé cette vulnérabilité dans son catalogue KEV, imposant des délais de remédiation stricts pour les agences fédérales.
• Audit d’accès : Vérifier les comptes “Technician” enregistrés sur les instances SimpleHelp pour détecter toute création suspecte ou non autorisée.
• Surveillance : Surveiller les processus suspects tels que node.exe exécutant des fichiers obscurcis (ex: jquery.js) et toute activité réseau inhabituelle vers des domaines de type tunnels ou des infrastructures inconnues.

Source