Analyse Technique

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...

L’article publié par BleepingComputer met en lumière une série d’attaques menées par le groupe APT ‘Stealth Falcon’ exploitant une vulnérabilité RCE dans Windows WebDav. Depuis mars 2025, le groupe a ciblé des organisations de défense et gouvernementales en Turquie, au Qatar, en Égypte et au Yémen. Stealth Falcon, également connu sous le nom de ‘FruityArmor’, est réputé pour ses attaques de cyberespionnage contre des entités du Moyen-Orient. La vulnérabilité, identifiée sous le code CVE-2025-33053, provient d’une mauvaise gestion du répertoire de travail par certains exécutables système légitimes de Windows. En manipulant un fichier .url pour définir son répertoire de travail sur un chemin WebDAV distant, un outil intégré de Windows peut être trompé pour exécuter un exécutable malveillant depuis cet emplacement distant. ...

L’article publié par Pixm Security met en lumière une augmentation notable des campagnes de phishing zero-day observée à la fin du mois de mai et au début de juin 2025. Ces attaques visent principalement à dérober les identifiants de connexion des entreprises, d’Amazon, ainsi que des services gouvernementaux américains tels que ID.me, utilisé par l’IRS. Ces campagnes exploitent des vulnérabilités non encore découvertes par les fournisseurs de sécurité, rendant les systèmes concernés particulièrement vulnérables. ...

Selon un article de Bleeping Computer, une tentative d’attaque par la chaîne d’approvisionnement a été menée par des hackers chinois. Cette attaque visait une entreprise de services IT et de logistique qui gère la logistique matérielle pour la firme de cybersécurité SentinelOne. L’attaque a été découverte par SentinelOne, qui a partagé des détails supplémentaires sur cet incident. Les hackers ont tenté de compromettre l’infrastructure en utilisant les services de l’entreprise de logistique pour accéder aux systèmes de SentinelOne. ...

L’article publié le 7 juin 2025 relate l’attaque de ransomware survenue en 2023 contre Caesars Entertainment par le groupe de hackers Scattered Spider. Scattered Spider a utilisé des techniques sophistiquées de social engineering pour infiltrer les systèmes de Caesars le 18 août 2023. Après avoir accédé aux systèmes, ils ont exfiltré des données sensibles des clients et ont exigé une rançon de 30 millions de dollars, acceptant finalement 15 millions de dollars en crypto-monnaie. ...

L’analyse publiée par Gi7w0rm relate une attaque de type FakeCaptcha qui a compromis le site légitime de l’Association Allemande pour le Droit International. Un utilisateur a été redirigé vers une page Captcha frauduleuse, prétendant être sécurisée par Cloudflare, qui lui demandait d’exécuter une commande Powershell. Cette commande effectuait une requête Web vers un site distant (amoliera[.]com) et utilisait Invoke-Expression pour exécuter le code malveillant reçu. L’attaque illustre une méthode où les attaquants exploitent la confiance des utilisateurs envers les Captchas, qui sont normalement conçus pour différencier les humains des bots. ...

L’article provenant de SuspectFile, relayé par databreaches.net, met en lumière les failles de sécurité dans les négociations de rançons menées par le groupe de ransomware Akira. Akira a échoué à sécuriser son serveur de chat de négociation, permettant à quiconque connaissant l’adresse de suivre les interactions entre les victimes et le groupe. Deux cas ont été rapportés : une entreprise du New Jersey a payé 200 000 dollars après avoir reçu des assurances de confidentialité, et une entreprise allemande a négocié une réduction de la demande initiale de 6,9 millions de dollars à 800 000 dollars. ...

L’article publié sur le site de Yarix Labs discute de l’outil Doppelganger disponible sur GitHub, qui est pertinent dans le domaine de la cybersécurité. LSASS (Local Security Authority Subsystem Service) est un composant essentiel du système d’exploitation Windows, responsable de l’application de la politique de sécurité sur le système. Il joue un rôle fondamental dans l’authentification des utilisateurs en vérifiant les identités des utilisateurs et en gérant les sessions de sécurité. ...

L’article publié par CloudSEK via la plateforme BeVigil révèle une faille de sécurité critique chez un géant de l’aviation, impliquant une API non sécurisée dans un fichier JavaScript. Cette vulnérabilité a permis un accès non autorisé aux données sensibles de Microsoft Graph de plus de 50 000 utilisateurs Azure AD, y compris des cadres exécutifs. L’API exposée délivrait un jeton d’accès avec des permissions excessives telles que User.Read.All et AccessReview.Read.All, ouvrant la voie à des attaques par hameçonnage et à l’usurpation d’identité. ...

L’article publié par Safety CLI Cybersecurity Inc. le 2 juin 2025, détaille une campagne de malware ciblant l’écosystème de la cryptomonnaie Solana. Entre le 4 et le 24 mai 2025, un acteur malveillant a publié 11 packages Python malveillants sur le registre PyPI, conçus pour voler du code source, des cryptomonnaies et d’autres données sensibles. La campagne s’est déroulée en quatre itérations distinctes, chacune utilisant un payload différent pour exfiltrer des données vers des adresses IP spécifiques hébergées en Russie. Le premier payload, prices.py, a été utilisé dans six packages publiés entre le 4 et le 20 mai, exfiltrant des fichiers Python vers une adresse IP spécifique. Les itérations suivantes ont introduit de nouveaux fichiers payload (helpers.py, coins.py, markets.py) avec des destinations d’exfiltration différentes. ...