Analyse De Menace

Selon l’AhnLab Security Intelligence Center (ASEC), dans un rapport publié la semaine dernière, des acteurs malveillants ont profité d’une vulnérabilité récemment corrigée dans Microsoft Windows Server Update Services (WSUS), identifiée comme CVE-2025-59287, pour distribuer le malware ShadowPad. Cible et vecteur initial : des serveurs Windows avec WSUS activé ont été visés, l’exploitation de CVE-2025-59287 servant à l’accès initial. Outils et charges : après l’intrusion, les attaquants ont utilisé PowerCat (outil open-source) et ont déployé ShadowPad. ...

Contexte: KrebsOnSecurity publie une enquête sur des boîtiers Android TV (Superbox et modèles similaires) vendus sur de grandes places de marché et susceptibles d’intégrer des composants qui transforment les réseaux des utilisateurs en proxys résidentiels exploités pour des activités illicites. • Les boîtiers Superbox sont commercialisés ~400 $ avec la promesse d’accéder à plus de 2 200 services, mais requièrent le remplacement du Google Play Store par un « App Store/Blue TV Store » non officiel. Des experts indiquent que ces appareils relaient du trafic tiers via un réseau proxy résidentiel (ex. Grass/getgrass[.]io), malgré l’affirmation du fabricant qu’il ne fournit que le matériel et n’installe pas d’apps contournant les paywalls. ...

Selon Aikido (blog Aikido.dev), une « seconde frappe » de la campagne Shai‑Hulud a été détectée le 24 novembre 2025, opportunément calée avant la révocation des « classic tokens » npm prévue le 9 décembre, alors que de nombreux éditeurs n’avaient pas encore migré vers Trusted Publishing. • Nature de l’attaque: ver npm auto‑réplicant visant la chaîne d’approvisionnement. Une fois installé (pendant l’installation des dépendances), il cherche des secrets (API keys, tokens cloud, GitHub/npm) via TruffleHog, exfiltre vers des dépôts GitHub publics et tente de publier de nouveaux paquets npm infectés pour se propager. L’attaquant nomme cette vague « Second Coming » et a exposé environ 26,3k dépôts GitHub contenant des secrets avec la description « Sha1‑Hulud: The Second Coming ». ...

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub. L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte. ...

Source: Socket (Socket Threat Research Team). Contexte: publication détaillant une campagne npm où un acteur (« dino_reborn ») combine cloaking Adspect, anti‑analyse JavaScript et faux CAPTCHAs pour trier visiteurs/victimes et orchestrer des redirections vers des sites d’arnaques crypto. 🪤 Vue d’ensemble. Sept paquets npm sont impliqués: six contiennent un binaire JS (~39 kB) malveillant et un sert de page « blanche » (leurre). Le code s’exécute via IIFE, profile finement le visiteur, puis interroge l’API Adspect via des proxys PHP. Si le visiteur est jugé « chercheur », une page blanche (Offlido) s’affiche; sinon, une fausse CAPTCHA s’affiche puis ouvre un nouvel onglet vers une URL retournée dynamiquement par Adspect. Les marques affichées (standx.com, jup.ag, uniswap.org) servent à rendre la CAPTCHA crédible. ...

Selon Binding Hook / Valentin Weber (22 novembre 2025), l’approche chinoise face aux attributions d’opérations cyber a évolué vers une posture offensive de contre‑attribution et de désinformation, avec des exemples phares comme Volt Typhoon, incitant les pays occidentaux et partenaires à adapter leurs méthodes. La Chine, déjà puissance affirmée dans le cyberespace, voit des opérations de l’Armée populaire de libération devenir plus audacieuses, notamment avec Volt Typhoon repéré en pré‑positionnement dans des infrastructures critiques américaines. À mesure que les attributions à son encontre se multiplient, Pékin a parallèlement fait évoluer sa stratégie de contre‑attribution. ...

Source : SecurityScorecard (équipe STRIKE). Ce billet présente l’opération WrtHug, une campagne à grande échelle ciblant des routeurs ASUS WRT, principalement des appareils en fin de vie, afin de les intégrer à une infrastructure d’espionnage globale. • Portée et attribution présumée : plus de 50 000 adresses IP uniques de routeurs compromis ont été observées sur six mois. L’équipe STRIKE évalue avec confiance faible à modérée qu’il s’agit d’une campagne ORB (Operational Relay Box) menée par un acteur affilié à la Chine 🕵️‍♂️. De 30 à 50 % des appareils touchés seraient situés à Taïwan, avec d’autres foyers aux États-Unis, en Russie, en Asie du Sud-Est et en Europe. ...

Push Security publie une analyse technique (18 nov. 2025) d’une campagne liée au kit PhaaS Sneaky2FA, observant l’ajout de fonctionnalités Browser‑in‑the‑Browser (BITB) et plusieurs mécanismes d’évasion avancés. — Aperçu de l’attaque — Type d’attaque: phishing avec Attacker‑in‑the‑Middle (AITM) et BITB. Leurres: « Sign in with Microsoft » pour ouvrir un document présenté comme Adobe Acrobat Reader. Hébergement/flux: accès initial à previewdoc[.]us avec Cloudflare Turnstile (anti‑bot), redirection vers un sous‑domaine puis affichage d’un faux popup navigateur contenant une page de connexion Microsoft en reverse‑proxy. Effet: vol d’identifiants Microsoft et de la session active, permettant une prise de contrôle de compte. Détails UI: la fausse fenêtre popup s’aligne sur l’OS et le navigateur (ex. Windows/Edge, macOS/Safari) et simule une barre d’adresse affichant une URL Microsoft crédible. — Techniques d’évasion observées — ...

Source: ThreatFabric — ThreatFabric publie une analyse d’un nouveau malware bancaire Android privé nommé « Sturnus », actuellement en phase d’évaluation limitée mais déjà pleinement fonctionnel et ciblant des banques d’Europe du Sud et d’Europe centrale. • Profil de la menace. Sturnus est un trojan bancaire Android doté de prise de contrôle complète de l’appareil (VNC/hVNC), de vol de justificatifs via overlays HTML et d’une surveillance poussée des messageries chiffrées (WhatsApp, Telegram, Signal). Son différenciateur clé: il contourne le chiffrement E2E en capturant ce qui est affiché après déchiffrement (écran et arbre UI), offrant aux opérateurs une visibilité en temps réel des conversations. 🎯📱 ...

Source: AWS Security Blog (13 nov. 2025). Des chercheurs d’Amazon Inspector ont découvert plus de 150 000 paquets npm liés à une campagne coordonnée de « token farming » associée à tea.xyz, dépassant largement les 15 000 paquets initialement signalés par Sonatype en avril 2024. L’équipe a utilisé une détection hybride (règles + IA) pour mettre en évidence un schéma d’attaque auto-réplicant visant des gains financiers. 🚨 Nature et impact: Contrairement aux malwares classiques, ces paquets ne contiennent pas de code explicitement malveillant mais exploitent le mécanisme de récompense de tea.xyz en gonflant artificiellement les métriques via réplication et chaînes de dépendances. Les risques clés sont: pollution des registres (npm saturé de paquets non fonctionnels), exploitation des ressources (infrastructure/bande passante/stockage), effet de précédent (incitation à copier le modèle), et risques supply chain (dépendances inutiles et comportements inattendus). ...