Blog

Notes de terrain sur la detection de menaces supply-chain.

• gVisor : le kernel qui rend la sandbox invisible
  2026-03-31 sandbox gvisor evasion detection

  Les malwares detectent Docker en 3 lignes. gVisor intercepte les syscalls au niveau kernel. Le malware pense qu'il tourne sur une vraie machine.

• CanisterWorm : quand la sandbox est aveugle pendant 5 minutes
  2026-03-23 detection canisterworm sandbox libfaketime evasion

  7 packages compromis detectes, verdict DORMANT SUSPECT au lieu de MALICIOUS. Le payload Python attendait 5 minutes. La sandbox n'attendait pas.

• v2.10.5 - Quand un changement de label fait passer le ML de 37% a 98%
  2026-03-22 ml audit xgboost monitoring pipeline

  3 mois de monitoring, 0 malware confirme, 8176 labels contamines. Comment un nettoyage de donnees a fait passer la precision ML de 37% a 98%.

• Du rule-based au ML : un classifier XGBoost pour trier les faux positifs
  2026-03-20 ml xgboost faux-positifs architecture

  Un classifier binaire XGBoost en JavaScript pur pour filtrer les faux positifs de la zone grise T1, sans aucune dependance Python en production.

• Red Team vs Blue Team : 107 echantillons adversariaux en 7 campagnes
  2026-03-17 red-team adversarial methodologie

  Comment tester un scanner de securite quand l'attaquant connait les regles.

• 92.5% de detection sur 17 000 malwares reels
  2026-03-14 benchmark datadog metriques

  9 heures de benchmark sur le dataset Datadog. 14 587 packages in-scope, 13 486 detectes.

• GlassWorm : Unicode invisible et C2 blockchain Solana
  2026-03-10 detection glassworm unicode solana

  433 packages npm compromis, du code cache dans des caracteres zero-width, et un C2 sur la blockchain.

• Le sandbox qui voyage dans le temps
  2026-03-02 sandbox time-bomb evasion

  Quand les malwares attendent 72h avant de voler les credentials, on accelere le temps.

• Le vrai FPR : quand 0% cache la realite
  2026-02-21 metriques faux-positifs methodologie

  Notre taux de faux positifs etait de 0%. En realite, il etait de 38%.