Nouvelle souche du malware Shai Hulud détectée sur npm (@vietmoney/react-big-calendar)

Selon Aikido Security (blog, 28 dĂ©c. 2025), une nouvelle souche du ver/malware Shai Hulud a Ă©tĂ© dĂ©tectĂ©e dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation Ă  ce stade. ‱ Nature et contexte: Aikido dĂ©crit une variante «novelle et inĂ©dite» de Shai Hulud, dont le code apparaĂźt Ă  nouveau obfusquĂ© depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a Ă©tĂ© identifiĂ© peu aprĂšs sa mise en ligne, avec des changements notables dans la chaĂźne d’exfiltration et l’opĂ©rationnalisation du ver. ⚠ ...

29 dĂ©cembre 2025 Â· 2 min

Campagne de spearphishing abuse le registre npm pour héberger des leurres Microsoft et contourner la MFA

Selon Socket (Socket Threat Research Team), une opĂ©ration de spearphishing ciblĂ©e et soutenue a dĂ©tournĂ© le registre npm comme couche d’hĂ©bergement et de distribution pendant au moins cinq mois, avec 27 paquets malveillants publiĂ©s sous six alias, visant des personnels commerciaux de secteurs industriels et santĂ© aux États-Unis et dans des pays alliĂ©s. — PortĂ©e et objectifs. La campagne cible des individus spĂ©cifiques (25 identitĂ©s) dans des fonctions commerciales (vente, account management, business dev.) de secteurs adjacents aux infrastructures critiques (manufacturing, automatisation industrielle, plasturgie, santĂ©/pharma). Les leurres imitent des portails de partage de documents et des pages de connexion Microsoft pour la capture d’identifiants. ...

26 dĂ©cembre 2025 Â· 4 min

Des marchés Telegram chinois alimentent des escroqueries crypto à des niveaux records, selon Elliptic

WIRED (23 dĂ©cembre 2025) s’appuie sur une analyse d’Elliptic pour rĂ©vĂ©ler l’essor massif de marchĂ©s chinois sur Telegram dĂ©diĂ©s aux escroqueries crypto et aux services connexes, qui dĂ©passent dĂ©sormais les volumes des plus grands marchĂ©s noirs historiques. 📈 Échelle et records: Elliptic estime que les deux plus grands marchĂ©s actuels, Tudou Guarantee et Xinbi Guarantee, facilitent ensemble prĂšs de 2 Md$ par mois (environ 1,1 Md$ et 850 M$ respectivement). Leur prĂ©dĂ©cesseur Huione/Haowang Guarantee aurait totalisĂ© 27 Md$ de transactions entre 2021 et 2025, surpassant largement AlphaBay (~1 Md$ en 2,5 ans) et Hydra (~5 Md$ en 7 ans), ce qui en fait « le plus grand marchĂ© illicite en ligne jamais opĂ©rĂ© » selon Elliptic. ...

26 dĂ©cembre 2025 Â· 3 min

Deux extensions Chrome Phantom Shuttle se font passer pour un VPN et opĂšrent un MITM pour voler des identifiants

Selon l’équipe Threat Research de Socket, deux extensions Chrome baptisĂ©es “Phantom Shuttle” et publiĂ©es par le mĂȘme acteur (theknewone.com@gmail[.]com) se prĂ©sentent comme un VPN/proxy commercial lĂ©gitime, mais rĂ©alisent en rĂ©alitĂ© une interception de trafic via injection d’identifiants, un MITM ciblĂ© et une exfiltration continue de donnĂ©es vers un C2 actif. ‱ Le modĂšle commercial est trompeur: interface professionnelle, inscription, paiements Alipay/WeChat Pay et paliers VIP („9.9 Ă  „95.9). AprĂšs paiement, le mode proxy “smarty” s’active automatiquement et redirige le trafic de 170+ domaines Ă  haute valeur (dĂ©veloppeurs, clouds, rĂ©seaux sociaux, sites adultes) via l’infrastructure de l’attaquant. Plus de 2 180 utilisateurs sont recensĂ©s et les extensions sont encore en ligne. ...

26 dĂ©cembre 2025 Â· 3 min

Evasive Panda empoisonne le DNS pour livrer MgBot via faux updaters et DLL sideloading

Selon Kaspersky GReAT (24 dĂ©c. 2025), Evasive Panda conduit depuis novembre 2022 jusqu’à novembre 2024 des opĂ©rations ciblĂ©es mĂȘlant adversary‑in‑the‑middle (AitM) et empoisonnement DNS pour livrer et exĂ©cuter en mĂ©moire l’implant MgBot, avec des chargeurs conçus pour l’évasion et des artefacts chiffrĂ©s uniques par victime. Les attaquants abusent de faux updaters d’applications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifiĂ©) dĂ©chiffre et dĂ©compresse une configuration LZMA, dĂ©finit un chemin d’installation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon l’utilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et dĂ©chiffre un shellcode qu’il exĂ©cute aprĂšs avoir modifiĂ© les protections mĂ©moire via VirtualProtect. ...

26 dĂ©cembre 2025 Â· 2 min

Intrinsec cartographie “FLY”, un acteur liĂ© Ă  l’infrastructure de Russian Market

Source: Intrinsec — Dans un rapport partagĂ© avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marchĂ© Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquĂȘte met en avant la prĂ©sence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur liĂ© au marketplace a bien une activitĂ© publique. Sans confirmer que « FLY » est administrateur, le rapport Ă©tablit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier Ă  promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. âœłïž ...

26 dĂ©cembre 2025 Â· 2 min

NETSCOUT analyse la résilience des serveurs racine DNS face aux DDoS

Source: NETSCOUT (netscout.com), billet de blog par John Kristoff et Max Resing, publiĂ© le 17 dĂ©cembre 2025. Le rapport examine la pression exercĂ©e par les attaques DDoS sur les serveurs racine DNS et met en lumiĂšre la robustesse de ce sous-systĂšme critique d’Internet. Principaux constats 🧭 Haute rĂ©silience et disponibilitĂ© du systĂšme des racines DNS. Anycast BGP comme mĂ©canisme clĂ© de rĂ©silience et d’isolement des attaques. Trafic de flood et de nuisance quotidien significatif. Forte hĂ©tĂ©rogĂ©nĂ©itĂ© du trafic entre instances (A Ă  M) selon la topologie et la distribution des instances. Analyse des Ă©vĂ©nements 📈 NETSCOUT, via la plateforme de visibilitĂ© ATLAS, recense 38 Ă©vĂ©nements DDoS visant des serveurs racine. Le pic volumĂ©trique observĂ© atteint 21 Gb/s contre le serveur A-root le 17 aoĂ»t 2025. Les instances A et M subissent une plus grande variĂ©tĂ© de vecteurs d’attaque, alors que D et H–L sont principalement associĂ©es Ă  des observations « total traffic » et ICMP (souvent des sondes ou effets sympathiques d’attaques). Le jeu de donnĂ©es n’observe aucune attaque sur g.root-servers.net. Les diffĂ©rences de charge par instance s’expliquent par la sĂ©lection des rĂ©solveurs, la connectivitĂ© topologique, la stratĂ©gie anycast et la distribution gĂ©ographique des instances (avec la spĂ©culation que « A » puisse ĂȘtre ciblĂ© par effet d’ordre alphabĂ©tique). ...

26 dĂ©cembre 2025 Â· 2 min

NewsGuard: l’opĂ©ration d’influence russe Storm‑1516 dĂ©passe RT/Sputnik dans la diffusion de fausses allĂ©gations sur l’Ukraine

Selon NewsGuard Reality Check, une analyse de sa base de donnĂ©es de plus de 400 fausses allĂ©gations liĂ©es Ă  la guerre Russie‑Ukraine montre qu’en 2025, l’opĂ©ration d’influence russe Storm‑1516 est devenue la source la plus prolifique de contenus mensongers, devant les mĂ©dias d’État RT et Sputnik. NewsGuard indique que Storm‑1516 a gĂ©nĂ©rĂ© et propagĂ© 24 fausses allĂ©gations en 2025 (44 depuis 2023), contre 15 pour RT et Sputnik combinĂ©s. L’opĂ©ration affiche une croissance rapide: 6 fausses allĂ©gations (aoĂ»t 2023–jan. 2024), 14 (fĂ©v. 2024–jan. 2025), puis 24 (fĂ©v.–mi‑dĂ©c. 2025). Au total, NewsGuard a recensĂ© plus de 400 fausses affirmations sur la guerre, issues de diverses opĂ©rations d’influence russes. ...

26 dĂ©cembre 2025 Â· 3 min

Paysage des menaces ICS T3 2025 : baisse globale, scripts/phishing et spyware en hausse

Source: Kaspersky ICS CERT — Rapport « Threat Landscape for Industrial Automation Systems, Q3 2025 ». Ce bilan mondial dĂ©taille l’évolution trimestrielle des menaces visant les environnements industriels (ICS/OT), par catĂ©gories, rĂ©gions, secteurs et vecteurs d’infection. ‱ Chiffres clĂ©s 📊: la part d’ordinateurs ICS ayant vu des objets malveillants bloquĂ©s baisse Ă  20,1 % (plus bas depuis 2022). Les menaces depuis Internet reculent Ă  7,99 % (plus bas depuis 2022), mais les scripts malveillants et pages de phishing progressent Ă  6,79 % (+0,3 pp), et le spyware atteint 4,04 % (+0,2 pp), prenant la 2e place des catĂ©gories. Les ressources internet sur liste noire chutent Ă  4,01 % (plus bas depuis 2022). Ransomware: 0,17 % (+0,03 pp). Par rĂ©gion, l’éventail va de 9,2 % (Europe du Nord) Ă  27,4 % (Afrique); le pic de blocages a eu lieu en aoĂ»t, et septembre est au plus bas depuis deux ans. ...

26 dĂ©cembre 2025 Â· 3 min

TRM Labs relie des fonds volés liés à LastPass à des exchanges russes via démixage de Wasabi

Source: TRM Blog — TRM Labs publie une analyse on-chain retraçant des vols de crypto liĂ©s Ă  la compromission de LastPass (2022) et leur blanchiment via des mixers jusqu’à des exchanges russes Ă  haut risque. TRM observe que des vagues de wallet drains en 2024–2025 proviennent de coffres LastPass chiffrĂ©s exfiltrĂ©s en 2022, certains maĂźtrisĂ©s par des mots de passe faibles. Les fonds volĂ©s sont majoritairement convertis en Bitcoin, dĂ©posĂ©s dans Wasabi (CoinJoin), puis retirĂ©s et envoyĂ©s vers des exchanges russes Ă  risque. L’équipe a utilisĂ© le dĂ©mixage pour corrĂ©ler dĂ©pĂŽts et retraits et montrer une continuitĂ© opĂ©rationnelle prĂ© et post-mix — malgrĂ© l’usage de CoinJoin — pointant des acteurs du cybercrime russes. 🔍 ...

26 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝