Analyse De Menace

Selon Datadog Security Labs, une campagne suivie sous l’identifiant MUT-4831 a introduit 17 paquets npm (23 versions) trojanisés qui exécutent un téléchargeur lors du postinstall et livrent le malware Vidar sur des systèmes Windows. Découverte et périmètre: GuardDog (analyse statique) a détecté le 21 octobre 2025 le paquet custom-tg-bot-plan@1.0.1 avec des indicateurs clés dont un script “postinstall”. Au total, 17 paquets distribués en deux salves (21–22 et 26 octobre) affichaient des indices similaires, se faisant passer pour des helpers Telegram, bibliothèques d’icônes ou des forks légitimes (p. ex. Cursor, React). Les paquets ont été publiés par deux comptes npm récemment créés (aartje, salii i229911), depuis bannis; ils sont restés en ligne environ deux semaines et ont cumulé au moins 2 240 téléchargements (dont des scrapers), avec un pic à 503 téléchargements uniques pour react-icon-pkg. ...

BleepingComputer rapporte, sur la base d’un rapport partagé par Amazon Threat Intelligence et de données du honeypot MadPot, qu’un acteur avancé a exploité en zero-day deux failles critiques dans Citrix NetScaler et Cisco ISE pour déployer un malware personnalisé. • Les vulnérabilités exploitées sont Citrix Bleed 2 (CVE-2025-5777) dans NetScaler ADC et Gateway (lecture hors limites), et CVE-2025-20337 dans Cisco Identity Services Engine (ISE) (désérialisation vulnérable). Amazon indique que les tentatives d’exploitation de Citrix Bleed 2 ont été observées avant la divulgation publique et les correctifs; une charge anormale visant un endpoint ISE non documenté a aussi été identifiée et signalée à Cisco. ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Selon Recorded Future (Insikt Group), ce rapport de cybermenace analyse le rôle du fournisseur allemand aurologic GmbH (AS30823) comme nexus d’infrastructures malveillantes au sein de l’écosystème d’hébergement mondial. L’étude détaille des liens d’upstream récurrents entre aurologic et des « threat activity enablers » (TAE) notables, dont Aeza Group, Railnet LLC, Global-Data System IT Corporation (SWISSNETWORK02) et Femo IT Solutions, mettant en lumière une gestion réactive des abus et une priorité donnée à la conformité légale, perçues par les acteurs à risque comme une garantie de stabilité. ...

Source : Secure Annex — billet de blog technique décrivant la découverte d’une extension Visual Studio Code publiquement listée sur le Visual Studio Marketplace, implémentant des mécanismes de type ransomware et un canal de C2 via GitHub. • Découverte et nature de la menace. L’extension « suspicious VSX » (éditeur « suspicious publisher », ID suspublisher18.susvsex) intègre des comportements de ransomware et d’extorsion. Le code montre des signes de génération via IA (« vibe coded ») et comprend notamment des outils de déchiffrement et le serveur C2 accidentellement inclus dans le paquet publié. ...

Source: Socket (blog de recherche). L’équipe Threat Research de Socket a identifié neuf paquets NuGet malveillants publiés sous l’alias « shanhai666 » (2023–2024), dont l’un cible les systèmes de contrôle industriels (ICS). Signalés à NuGet le 5 novembre 2025, ils totalisent 9 488 téléchargements et étaient toujours en ligne à la publication. • Nature de l’attaque: compromission de la chaîne d’approvisionnement via des paquets NuGet fournissant 99% de code fonctionnel pour masquer ~20 lignes de charge malveillante. Techniques incluant typosquatting (notamment « Sharp7Extend » autour de la bibliothèque légitime Sharp7), bundling de bibliothèques légitimes, méthodes d’extension C# pour intercepter les opérations, déclenchement temporel (2027–2028) et exécution probabiliste (20% d’arrêts). Des certificats Microsoft contrefaits et des métadonnées incohérentes d’auteur sont signalés. ...

Source: Push Security (billet de blog de Dan Green). Contexte: analyse des attaques ClickFix, une technique d’ingénierie sociale qui pousse les victimes à copier-coller et exécuter du code malveillant localement. • Évolution des leurres: des pages imitant des services légitimes (ex. une page « Cloudflare ») deviennent très crédibles avec vidéo intégrée, compte à rebours et compteur d’utilisateurs « vérifiés », augmentant la pression sociale et le taux de succès. Le code est copié dans le sandbox du navigateur, ce qui échappe aux outils de sécurité traditionnels tant que l’exécution n’a pas lieu sur l’endpoint. ...

Selon un billet de blog technique publié le 8 novembre 2025, l’article explore en profondeur la souche de rançongiciel « Midnight ». L’analyse détaille la « généalogie » de Midnight à partir de Babuk, en décrivant son anatomie technique et ses caractéristiques clés. Elle met l’accent sur les indicateurs critiques d’infection (IOCs) permettant d’identifier une compromission. L’élément central de la publication est un guide pratique de déchiffrement destiné aux victimes, offrant une opportunité rare de récupérer les données sans verser de rançon. 🔐 ...

Source : Blog Barracuda (article du 07/11/2025). Contexte : présentation du groupe Nitrogen et de son évolution, basée sur observations ouvertes et analyses internes, avec un focus sur l’identité, l’implant technique et les méthodes de distribution. L’article décrit Nitrogen comme un acteur de ransomware à motivation financière, identifié depuis 2023, passé d’un rôle de développeur/opérateur de loader à une opération d’extorsion plus complète. Le branding du groupe est minimaliste et peu révélateur, suggérant un manque d’intérêt pour la notoriété publique ou une facilité de rebranding, mais ces éléments demeurent spéculatifs. ...

Selon BleepingComputer, plusieurs paquets malveillants publiés sur le registre NuGet contiennent des charges de sabotage programmées pour s’activer en 2027 et 2028. Les cibles mentionnées sont des implémentations de bases de données et des dispositifs de contrôle industriel Siemens S7 🏭, suggérant un risque pour des environnements applicatifs et des systèmes ICS. Points clés: Paquets malveillants sur NuGet (chaîne d’approvisionnement logicielle) ⚠️ Charges de sabotage à activation différée (2027–2028) Ciblage de bases de données et d’équipements Siemens S7 TTPs observés (d’après l’extrait): ...