Alertes De Sécurité

Selon BleepingComputer, un faux torrent du film de Leonardo DiCaprio ‘One Battle After Another’ cache des chargeurs PowerShell dans des fichiers de sous-titres, entraînant l’installation du malware Agent Tesla (RAT) sur les appareils infectés. 🎬 Le vecteur d’infection repose sur un torrent frauduleux qui inclut des sous-titres piégés. Ces fichiers déclenchent des chargeurs PowerShell malveillants, utilisés pour déployer la charge utile finale. L’impact décrit est l’infection des systèmes avec Agent Tesla, un RAT (Remote Access Trojan) bien connu, permettant la prise de contrôle et la compromission des dispositifs ciblés. 💻 ...

Selon Forbes, Google a confirmé le 1er décembre des attaques en cours contre Android et a publié une mise à jour d’urgence pour les Pixel, tandis que la plupart des utilisateurs Samsung n’ont pas encore accès aux correctifs; la CISA a émis un avertissement le lendemain en exigeant des mises à jour ou l’arrêt d’usage des téléphones par le personnel fédéral. • Google indique que CVE-2025-48633 et CVE-2025-48572 « peuvent faire l’objet d’une exploitation limitée et ciblée », permettant un déni de service à distance sur les smartphones visés, sans privilèges d’exécution supplémentaires. ⚠️📱 ...

Selon Cyber Security News, une campagne d’exploitation active vise les portails Palo Alto Networks GlobalProtect depuis fin novembre 2025, avec un suivi par GrayNoise et Shadowserver montrant des scans et tentatives d’intrusion en provenance de plus de 7 000 IP réparties mondialement. — Contexte et ampleur de l’attaque — • Des scans massifs et des tentatives d’exploitation ciblent les passerelles GlobalProtect exposées sur Internet, notamment via UDP 4501. Les sources incluent des proxies résidentiels, des hébergeurs bulletproof et des VPS compromis en Asie, Europe et Amérique du Nord. Un chercheur mentionne des acteurs qui enchaînent des exploits connus et recherchent des configurations faibles. ...

Selon BleepingComputer, le FBI a publié un avis public avertissant d’une recrudescence d’escroqueries d’enlèvement virtuel où des criminels altèrent des photos issues des réseaux sociaux pour les présenter comme des preuves de vie crédibles et soutirer des rançons. Le Bureau souligne qu’aucun enlèvement réel n’est impliqué. Le mode opératoire décrit par le FBI commence par un contact par SMS affirmant qu’un proche a été kidnappé, suivi d’exigences de paiement immédiat et de menaces de violence. Les escrocs envoient des photos/vidéos manipulées du prétendu otage qui, à l’examen, présentent des incohérences par rapport à des images confirmées de la personne. Ils s’appuient sur des informations publiques et des contenus récupérés en ligne pour renforcer la crédibilité et créer un sentiment d’urgence. ...

Source: JPCERT/CC — Alerte JPCERT-AT-2025-0024 (ouverte le 2025-12-03, mise à jour le 2025-12-05). Le CERT japonais décrit une vulnérabilité d’injection de commandes affectant la fonctionnalité DesktopDirect des appliances Array AG d’Array Networks, permettant l’exécution de commandes arbitraires. Aucun CVE n’est attribué au moment de la publication. Produits et versions concernés: ArrayOS AG 9.4.5.8 et antérieurs lorsque la fonction DesktopDirect est activée. État et impact: JPCERT/CC a confirmé des attaques survenues depuis août 2025 au Japon, menant à l’implantation de webshells, la création de nouveaux comptes utilisateurs et des intrusions internes via l’équipement ciblé. Dans les cas observés, des commandes tentaient de déposer un webshell PHP sous le chemin incluant /webapp/. Un IOC IP d’émission des communications d’attaque est fourni: 194.233.100[.]138. ...

Selon BleepingComputer, des attaquants exploitent activement une vulnérabilité critique d’élévation de privilèges (CVE-2025-8489) dans le plugin King Addons for Elementor pour WordPress. 🚨 Fait principal: la faille permet aux acteurs malveillants d’obtenir des permissions administrateur pendant le processus d’inscription. Produit concerné: plugin WordPress King Addons for Elementor. Vulnérabilité: élévation de privilèges (CVE-2025-8489). Impact: prise de contrôle administratif d’un site via la phase d’enregistrement. IOCs et TTPs: IOCs: non précisés dans l’extrait. TTPs: Exploitation d’une faille d’élévation de privilèges côté plugin WordPress. Abus du flux d’inscription pour s’octroyer des droits administratifs. Il s’agit d’un article de presse spécialisé visant à signaler une exploitation active d’une vulnérabilité WordPress et à informer sur son impact. ...

Source : Wordfence (blog). Contexte : une vulnérabilité critique d’élévation de privilèges dans le plugin WordPress King Addons for Elementor (>10 000 installations actives) est activement exploitée depuis fin octobre 2025. Le correctif est disponible depuis le 25 septembre 2025 (version 51.1.35). 🚨 Vulnérabilité et impact La fonction d’inscription AJAX handle_register_ajax() accepte un paramètre user_role non restreint, permettant à un attaquant non authentifié de se créer un compte avec le rôle administrator. Impact : compromission complète du site (installation de plugins/thèmes malveillants, backdoors, modification de contenus, redirections, injection de spam). 🗓️ Chronologie et statistiques ...

Source: blog.pypi.org — Le billet de Mike Fiedler (PyPI Admin, Safety & Security Engineer, PSF) met en garde contre la campagne « Shai‑Hulud » qui frappe l’écosystème npm et souligne ses implications potentielles pour PyPI. • La campagne Shai‑Hulud exploite des comptes compromis pour publier des packages malveillants et exfiltrer des identifiants afin de se propager. Bien que la cible principale soit npm, des monorepos publiant à la fois sur npmjs.com et PyPI peuvent exposer des secrets multi‑plateformes en cas de compromission. 🪱 ...

Source: cybersecuritynews.com — CISA a mis à jour son catalogue Known Exploited Vulnerabilities (KEV) pour inclure CVE-2021-26829, une faille XSS affectant OpenPLC ScadaBR, confirmant une exploitation active dans la nature. La vulnérabilité, située dans le composant system_settings.shtm de ScadaBR, permet à un attaquant distant d’injecter du script/HTML arbitraire via l’interface des paramètres système. Le code malveillant s’exécute lorsque un administrateur ou un utilisateur authentifié ouvre la page compromise. Elle est classée CWE-79 (XSS). ...

Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a été compromis après qu’un attaquant a obtenu les clés de signature du développeur, poussant une mise à jour malveillante vers les utilisateurs. Play Protect a commencé à bloquer l’application, et le développeur, Yuriy Yuliskov, a confirmé la compromission, a révoqué l’ancienne signature et prévoit une nouvelle version avec un nouvel ID d’application. 🤖🔑 Sur la version 30.51, un utilisateur a identifié une bibliothèque native cachée, « libalphasdk.so » (absente du code source public), injectée dans les builds de release. Cette bibliothèque s’exécute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprès d’un backend distant, et envoie périodiquement des métriques tout en récupérant une configuration via un canal chiffré. Aucune preuve d’activités plus intrusives (vol de comptes, DDoS) n’est rapportée, mais le risque d’escalade reste élevé. ⚠️ ...