Analyse Technique

L’article publié sur aikido.dev rapporte une attaque de type compromission de la chaîne d’approvisionnement détectée dans le package npm rand-user-agent. Ce package est utilisé pour générer des chaînes d’agent utilisateur aléatoires et est maintenu par la société WebScrapingAPI. Le 5 mai, à 16:00 GMT+0, une analyse automatisée de malware a identifié un code suspect dans la version 1.0.110 du package. Le fichier dist/index.js contenait un cheval de Troie d’accès à distance (RAT), qui établissait une communication secrète avec un serveur de commande et de contrôle (C2) via socket.io-client et exfiltrait des fichiers en utilisant axios vers un second point de terminaison HTTP. ...

La source de cette information est un article publié sur le site “Syst3m Failure - Low Level Software Exploitation”, décrivant une vulnérabilité critique identifiée comme CVE-2025-37752 dans le planificateur de paquets réseau Linux, spécifiquement dans la discipline de file d’attente SFQ. Cette vulnérabilité est due à un dépassement de tableau (Array-Out-Of-Bounds) qui survient lorsque des limites SFQ invalides et une série d’interactions entre SFQ et la discipline de file d’attente TBF permettent l’écriture de données hors limites. Cette faille pourrait être exploitée pour escalader les privilèges. ...

L’article, publié sur le blog du chercheur en cybersecurité Michael Taggart, explore les implications de la nouvelle version 2.3 de Deno, un outil de développement basé sur Rust, qui est désormais code-signé sur Windows. Deno est présenté comme une alternative à Node.js, apprécié pour ses choix de conception et son approche de la gestion des dépendances. Cependant, la mise à jour 2.3, qui inclut la signature de code sur Windows, soulève des préoccupations en matière de sécurité offensive. ...

Selon un article publié par Bleepingcomputer, une attaque de la chaîne d’approvisionnement a été détectée ciblant des serveurs Linux avec un malware destructeur caché dans des modules Golang publiés sur GitHub. L’attaque, découverte le mois dernier, repose sur trois modules Go malveillants contenant du code fortement obfusqué pour récupérer et exécuter des charges utiles à distance. Le payload destructeur, un script Bash nommé done.sh, exécute une commande ‘dd’ pour effacer les données du disque. ...

Selon une étude de Bitdefender, une campagne massive d’arnaques par abonnement est en cours, impliquant des centaines de sites frauduleux. Ces sites, d’un réalisme convaincant, vendent de tout, des chaussures aux vêtements, en passant par divers appareils électroniques, et trompent les gens pour qu’ils paient des abonnements mensuels et donnent volontairement leurs données de carte de crédit. Beaucoup de ces sites sont liés à une seule adresse à Chypre, probablement le domicile d’une entreprise offshore. ...

L’équipe de recherche sur les menaces de Socket a découvert des paquets Python malveillants conçus pour créer un tunnel via Gmail, selon un article de socket.dev. Ces paquets, nommés Coffin-Codes-Pro, Coffin-Codes-NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022, Coffin-Grave et cfc-bsb, utilisent Gmail, rendant ces tentatives moins susceptibles d’être signalées par les pare-feu et les systèmes de détection de points d’extrémité, car le protocole SMTP est couramment traité comme un trafic légitime. Une fois le tunnel créé, l’acteur de la menace peut exfiltrer des données ou exécuter des commandes que nous ne connaissons peut-être pas à travers ces paquets. L’e-mail de l’acteur de la menace est le seul indice potentiel quant à sa motivation. ...

Selon un article de blog, des vulnérabilités affectant l’appareil SonicWall SMA100 sont actuellement exploitées. Ces vulnérabilités ont été découvertes il y a quelques mois et ont attiré l’attention en raison de rumeurs d’exploitation de systèmes SonicWall en milieu sauvage. Les vulnérabilités concernées sont CVE-2024-38475 et CVE-2023-44221. La première, découverte par Orange Tsai, concerne une lecture de fichier arbitraire avant authentification sur le serveur HTTP Apache. La seconde, découverte par Wenjie Zhong (H4lo) du laboratoire Webin de DBappSecurity Co., Ltd, concerne une injection de commande après authentification. Ces vulnérabilités ont été ajoutées à la liste des vulnérabilités exploitées connues par CISA. ...