Analyse Technique

Selon KrebsOnSecurity (Brian Krebs, 16 septembre 2025), une campagne visant l’écosystème NPM a vu l’émergence de Shai-Hulud, un ver auto-propagatif qui vole des identifiants (tokens NPM, clés cloud, etc.) et exfiltre ces secrets en les publiant dans des dépôts GitHub publics. Au moins 187 paquets NPM ont été touchés, dont des paquets liés à CrowdStrike (rapidement retirés par le registre NPM). Le ver recherche un token NPM dans l’environnement lors de l’installation d’un paquet compromis. S’il en trouve, il modifie les 20 paquets les plus populaires accessibles avec ce token, s’y copie puis publie de nouvelles versions, déclenchant une propagation en chaîne. Il utilise l’outil open source TruffleHog pour détecter des secrets (GitHub, NPM, AWS, Azure, GCP, SSH, API), tente de créer de nouvelles GitHub Actions et publie les données volées. Le design cible Linux/macOS et ignore Windows. ...

Selon StepSecurity, un incident de supply chain a compromis le paquet populaire @ctrl/tinycolor (2M+ téléchargements hebdo) ainsi que plus de 40 autres paquets npm, avec retrait des versions malveillantes du registre. Découvert par @franky47, le binaire malveillant bundle.js (~3,6 Mo) s’exécute lors de npm install (probable postinstall détourné) et cible des environnements Linux/macOS. L’attaque s’appuie sur un chargeur Webpack modulaire exécuté de façon asynchrone. Il réalise une reconnaissance du système (plateforme, architecture) et exfiltre l’intégralité de process.env, capturant des variables sensibles (ex. GITHUB_TOKEN, AWS_ACCESS_KEY_ID). Le code adopte une gestion silencieuse des erreurs et n’émet aucun log, tout en camouflant certains comportements (exécution de TruffleHog). ...

Selon le SANS Internet Storm Center (diary de Johannes B. Ullrich), des tentatives d’exploitation ciblent DELMIA Apriso (MOM/MES de Dassault Systèmes) pour la vulnérabilité référencée CVE-2025-5086, décrite comme une désérialisation de données non fiables menant à une exécution de code à distance (RCE) sur les versions 2020 à 2025. L’auteur indique observer des requêtes POST vers l’endpoint SOAP de DELMIA Apriso (port 9000) utilisant l’action IFlexNetOperationsService/Invoke. Les scans proviennent de l’IP 156.244.33.162 (géolocalisation incertaine). Le cœur de l’attaque repose sur un objet sérialisé déclenchant un flux de désérialisation .NET. ...

Source: Aikido (blog) — Analyse publiée dans un contexte de Security Operations, avec entretien de Josh Junon, mainteneur compromis, sur l’incident ayant touché des paquets npm majeurs dont « debug » et « chalk ». L’article décrit une attaque de la chaîne d’approvisionnement menée via phishing contre des mainteneurs npm, aboutissant à une injection de code malveillant. Les paquets compromis ont été téléchargés 2,6 millions de fois, tandis que « debug » et « chalk » cumulent 2,6 milliards de téléchargements hebdomadaires, illustrant la fragilité de l’écosystème. Le malware ciblait spécifiquement le vol de cryptomonnaies via injection dans le contexte du navigateur, sans viser une compromission système plus large. ...

Selon Project Black (référence citée), cette publication décrit une technique d’accès physique bien connue permettant de contourner l’écran de connexion Windows en détournant la fonction d’accessibilité Sticky Keys. Le cœur de l’attaque consiste à remplacer l’exécutable de Sticky Keys (sethc.exe) par l’invite de commandes (cmd.exe) dans C:\Windows\System32. Une fois à l’écran de login, l’appui sur MAJ cinq fois déclenche alors un shell en privilèges SYSTEM au lieu de l’outil d’accessibilité. Ce contournement permet de réinitialiser des mots de passe ou de créer des comptes administrateurs sans s’authentifier. ⚠️ ...

Selon Bitdefender (blog Business Insights), une enquête démarrée début 2024 sur un environnement d’une entreprise militaire philippine a mis au jour un nouveau framework de malware fileless nommé EggStreme, dont les TTPs s’alignent sur ceux de groupes APT chinois. L’objectif: obtenir un accès persistant et discret pour de l’espionnage à long terme. • Chaîne d’infection et persistance. L’attaque débute via DLL sideloading: un script netlogon/logon.bat déploie WinMail.exe (légitime) et mscorsvc.dll (malveillant, EggStremeFuel). EggStremeFuel établit un reverse shell et réalise du fingerprinting. Les attaquants abusent de services Windows désactivés (ex. MSiSCSI, AppMgmt, SWPRV), modifient ServiceDLL et octroient SeDebugPrivilege pour persister. Un service EggStremeLoader lit un conteneur chiffré (ielowutil.exe.mui) pour extraire un reflective loader injecté dans winlogon, qui lance l’implant final EggStremeAgent. ...

Source: Elliptic (blog) — Dans un guide orienté « Security Operations », Elliptic présente des cadres pratiques pour aider les enquêteurs gouvernementaux à conduire des investigations sur les cryptomonnaies, en s’appuyant sur la transparence des blockchains. Le document met en avant deux approches complémentaires: l’enquête par relations (analyse des connexions entre portefeuilles) et le suivi chronologique (traquer des transactions illicites spécifiques dans le temps). Il insiste sur une démarche systématique plutôt que sur des compétences techniques avancées, et sur le caractère traçable et pérenne des journaux blockchain exploitable par les forces de l’ordre. ...

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Source : Microsoft Threat Intelligence. Dans une analyse technique, Microsoft décrit PipeMagic, un backdoor hautement modulaire attribué à l’acteur financier Storm-2460, observé dans des chaînes d’attaque exploitant la vulnérabilité d’élévation de privilèges Windows CLFS CVE-2025-29824 pour déployer du ransomware, avec des cibles dans l’IT, la finance et l’immobilier aux États-Unis, en Europe, en Amérique du Sud et au Moyen-Orient. 🧩 Architecture et furtivité. PipeMagic se fait passer pour une application ChatGPT Desktop open source trojanisée. Il charge dynamiquement des modules, maintient une communication C2 via un module réseau dédié et orchestre ses capacités via des listes doublement chaînées distinctes (payload, execute, network, unknown). L’IPC chiffrée via named pipes et la modularité rendent détection et analyse plus difficiles. ...