Analyse Technique

L’article publié par Emerging Technology Security aborde les implications de sécurité du développement logiciel assisté par l’IA, en particulier le ‘vibe coding’ avec des modèles de langage (LLMs). Feross Aboukhadijeh, PDG de Socket, et Joel de la Garza, partenaire chez a16z, discutent des défis de sécurité posés par ces outils qui, bien qu’ils augmentent la productivité des développeurs, introduisent des risques tels que les dépendances tierces compromises et des pratiques de révision de code inadéquates. ...

L’article, publié par Mandiant, analyse les risques critiques liés à l’intégration de VMware vSphere avec Active Directory, en particulier face aux attaques par ransomware. VMware vSphere est largement utilisé pour la virtualisation des infrastructures privées, mais l’intégration directe avec Microsoft Active Directory (AD), bien qu’elle simplifie la gestion, étend la surface d’attaque de l’AD au niveau de l’hyperviseur. Cette configuration peut transformer un compromis d’identifiants AD en une menace majeure pour l’infrastructure virtualisée. ...

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...

L’article publié par Prodaft dans son repository Github “malware-ioc” met en lumière une campagne malveillante orchestrée par le groupe LARVA-208. LARVA-208 a compromis le jeu Steam Chemia pour distribuer plusieurs familles de malwares. Les binaries malveillants ont été intégrés directement dans l’exécutable du jeu disponible sur la plateforme Steam. Lors du téléchargement et du lancement du jeu par les utilisateurs, le malware s’exécute en parallèle de l’application légitime. Cette méthode est utilisée par LARVA-208 pour livrer deux charges principales : Fickle Stealer et HijackLoader. Ces malwares permettent de voler des informations sensibles et d’infecter davantage les systèmes des victimes. ...

L’article publié par Socket.dev le 23 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement ciblant l’organisation GitHub de Toptal. Les attaquants ont publié 10 paquets npm malveillants conçus pour voler des jetons d’authentification GitHub et tenter de détruire les systèmes des victimes. Ces paquets ont affecté 73 dépôts et ont été téléchargés 5 000 fois, illustrant des techniques d’attaque sophistiquées visant des comptes organisationnels légitimes. Toptal a réagi rapidement en dépréciant les versions malveillantes et en revenant à des versions stables pour limiter les dégâts. ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...

L’article de BleepingComputer rapporte une intrusion dans le réseau de la National Nuclear Security Administration (NNSA), une agence semi-autonome du gouvernement américain, par des acteurs malveillants exploitant une vulnérabilité zero-day récemment corrigée dans Microsoft SharePoint. La NNSA, qui fait partie du Department of Energy, est responsable de la gestion de l’arsenal nucléaire des États-Unis et de la réponse aux urgences nucléaires et radiologiques. Le porte-parole du Department of Energy a confirmé que des hackers ont accédé aux réseaux de la NNSA la semaine précédente. ...

Unit 42, une entité de recherche en cybersécurité, a publié un rapport sur l’exploitation active de quatre vulnérabilités critiques dans Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Ces failles permettent à des attaquants non authentifiés de contourner les contrôles de sécurité et d’exécuter des commandes arbitraires sur les serveurs SharePoint sur site. Les secteurs gouvernemental, de la santé et des entreprises sont particulièrement ciblés par ces attaques. Il est impératif pour les organisations de corriger immédiatement les systèmes vulnérables, de faire tourner le matériel cryptographique, et de faire appel à des équipes de réponse aux incidents, car le simple correctif ne suffit pas à éliminer les menaces établies. ...

Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server. Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé. La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés. ...

L’article publié par Project Black met en lumière l’efficacité du filtrage web basé sur DNS comme mesure de sécurité. Cette méthode utilise des fournisseurs axés sur la sécurité, tels que Cloudflare, pour résoudre les domaines malveillants en les redirigeant vers des adresses non routables. L’implémentation de cette solution peut se faire via la configuration DHCP des routeurs pour une couverture réseau étendue, la configuration de DNS forwarder sur les contrôleurs de domaine Active Directory, et des scripts PowerShell pour les postes de travail nomades. Cela permet de basculer dynamiquement entre les DNS internes et externes selon le contexte réseau. ...