Analyse De Menace

Source: Nextron Systems (blog, 28 nov. 2025). L’éditeur décrit son pipeline de scan d’artefacts à grande échelle (Docker Hub, PyPI, NPM, extensions Chrome/VS Code) basé sur THOR Thunderstorm pour détecter scripts obfusqués, charges encodées et implants. Découverte clé ⚠️: une extension VS Code malveillante baptisée “Icon Theme: Material” publiée par “IconKiefApp” (slug Marketplace: Iconkieftwo.icon-theme-materiall) mime l’extension légitime de Philipp Kief. La version 5.29.1 publiée le 28/11/2025 à 11:34 contient deux implants Rust (un PE Windows et un Mach-O macOS) situés dans icon-theme-materiall.5.29.1/extension/dist/extension/desktop/. Plus de 16 000 installations ont été observées. La 5.29.0 ne contenait pas ces implants. L’extension a été signalée à Microsoft et était encore en ligne le 28/11 à 14:00 CET. ...

Selon le blog Synaptic Systems, l’APT russe « Primitive Bear »/« Gamaredon » (attribué au FSB) mène depuis octobre–novembre 2025 une campagne de spear‑phishing ciblant des entités ukrainiennes, en s’appuyant sur des archives RAR piégées et des leurres en langue ukrainienne (documents administratifs et militaires). Les échantillons observés partagent une structure quasi identique et exploitent la vulnérabilité WinRAR CVE-2025-6218. La faille CVE-2025-6218 est une traversée de répertoires menant à une exécution de code dans WinRAR (≤ 7.11) permettant d’écrire hors du dossier d’extraction, notamment dans le dossier Startup de l’utilisateur. Une fois l’archive ouverte (interaction minimale), un fichier .hta est déposé de manière furtive dans Startup et s’exécute au prochain login, avec les privilèges de l’utilisateur. Le correctif est disponible à partir de WinRAR 7.12 (Beta 1). ...

Selon BleepingComputer, la campagne Glassworm, apparue en octobre sur les marketplaces OpenVSX et Microsoft Visual Studio, en est désormais à sa troisième vague. Glassworm : une troisième vague plus massive, plus sophistiquée et mieux dissimulée 1. Une campagne persistante qui cible les écosystèmes VS Code La campagne Glassworm, apparue en octobre, entre dans sa troisième vague : ➡️ 24 nouveaux packages malveillants ont été identifiés sur le Microsoft Visual Studio Marketplace et OpenVSX. Ces plateformes fournissent des extensions aux éditeurs compatibles VS Code, ce qui en fait une cible privilégiée pour atteindre les environnements de développement. ...

Selon Secure Annex (blog), l’éditeur a observé une reprise des attaques liées au malware Glassworm exploitant les marketplaces d’extensions de code pendant la période des fêtes. L’article détaille une campagne où des extensions populaires sont clonées, leurs compteurs de téléchargements manipulés, puis mises à jour après approbation avec du code malveillant. • Nature de l’attaque: clonage d’extensions populaires (ex. outils/frameworks comme Flutter, Tailwind, Vim, YAML, Svelte, React Native, Vue), manipulation des compteurs de téléchargements pour crédibiliser les faux paquets, et mise à jour post-approbation injectant des charges malveillantes. L’attaque profite de l’interface des éditeurs de code où la fausse extension peut apparaître à côté de la légitime, rendant le choix difficile et la compromission à un clic. ⚠️ ...

Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE). • Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (début 2024) – Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré). Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport. • Capacités et impacts clés : ...

Selon ReliaQuest, une nouvelle campagne du collectif « Scattered Lapsus$ Hunters » cible les utilisateurs de Zendesk via une infrastructure de domaines typosquattés et des techniques de phishing multi‑volets. ReliaQuest a identifié plus de 40 domaines typosquattés/imitant des environnements Zendesk (ex. znedesk[.]com, vpn-zendesk[.]com) créés au cours des six derniers mois. Plusieurs hébergent des faux portails SSO affichés avant l’authentification Zendesk, visant le vol d’identifiants. Certains domaines combinent le nom de plusieurs organisations pour accroître la crédibilité. Des similarités avec une campagne d’août 2025 contre Salesforce sont relevées (formatage des domaines, caractéristiques d’enregistrement, portails SSO trompeurs). ...

Selon un billet publié sur Medium, un chercheur attribue la société écran « DredSoftLabs » à l’APT nord-coréenne Wagemole et dévoile une méthode de fingerprinting permettant de retrouver des dépôts GitHub malveillants, avec 77 référencés au 28 novembre 2025. Le contexte décrit Wagemole comme une APT nord-coréenne exploitant l’ingénierie sociale pour décrocher des emplois à distance en Occident, en s’appuyant sur des données personnelles volées (campagne « Contagious Interview »). Les opérateurs fabriquent de fausses identités (passeports, permis), préparent des « study guides » d’entretien, utilisent de l’IA générative pour des réponses structurées, ciblent surtout les PME via Upwork et Indeed, emploient des scripts d’automatisation pour créer des comptes, partagent du code en interne et demandent des paiements via PayPal pour masquer leur identité. ...

Selon Unit 42 (Palo Alto Networks), des modèles de langage malveillants « sans garde-fous » comme WormGPT 4 et KawaiiGPT sont désormais commercialisés ou librement accessibles, permettant de générer à la chaîne des leurres de phishing/BEC et du code de malware, matérialisant le dilemme « dual-use » de l’IA. • Contexte et définition. L’article qualifie de LLM malveillants les modèles entraînés/affinés pour des usages offensifs avec des garde-fous éthiques supprimés. Ils sont marketés sur des forums et Telegram, capables de générer des e-mails de phishing, écrire du malware (y compris polymorphe) et automatiser la reconnaissance, abaissant drastiquement la barrière de compétence et compressant les délais d’attaque. 🚨 ...

Source et contexte: ANSSI (Agence nationale de la sécurité des systèmes d’information) – rapport TLP:CLEAR daté du 26 novembre 2025. Le document synthétise l’évolution de la menace sur les téléphones mobiles depuis 2015, détaille les vecteurs d’attaque, les capacités et finalités des acteurs (étatiques, privés et cybercriminels) et propose des recommandations de sécurité. • Synthèse générale 📱: L’omniprésence des smartphones, leurs interfaces sans fil et la complexité des OS créent une large surface d’attaque. Des campagnes sophistiquées exploitent des chaînes zéro‑clic et des implants non persistants difficiles à détecter. Le marché de la LIOP (surveillance privée offensive) industrialise et diffuse ces capacités. Le rapport souligne l’initiative franco‑britannique « Processus de Pall Mall » pour encadrer la vente et l’usage d’outils offensifs commerciaux. ...

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...