Publication De Recherche

Selon Digital Digging (digitaldigging.org), une enquête a analysé 512 conversations ChatGPT partagées publiquement, révélant une vaste exposition d’informations sensibles et compromettantes. Les chercheurs, via des recherches par mots-clés ciblés, ont mis au jour un ensemble d’éléments comprenant des auto-incriminations et des données confidentielles, conservés comme des archives publiques consultables en permanence 🔎. Les contenus découverts incluent notamment : schémas apparents de délit d’initié, données financières d’entreprise détaillées, aveux de fraude, et preuves de violations réglementaires. ...

Selon une publication technique référencée sur embracethered.com, un chercheur en sécurité démontre une chaîne d’attaque permettant de détourner l’agent Devin AI via une injection de prompts indirecte pour exposer des systèmes de fichiers et services internes au public, sans correctif apparent plus de 120 jours après divulgation responsable. L’attaque s’appuie sur le détournement de l’outil système expose_port de Devin AI. En « Stage 1 », un serveur web Python est lancé localement pour exposer le système de fichiers sur le port 8000. En « Stage 2 », l’outil expose_port est invoqué automatiquement pour rendre ce service accessible publiquement via des domaines en .devinapps.com, puis l’URL d’accès est exfiltrée en exploitant des failles liées au rendu Markdown d’images. ...

Selon le Threat Research Team de Socket, onze packages Go malveillants (dont dix encore en ligne) — dont huit sont des typosquats — recourent à une routine d’obfuscation par index identique et déploient un second étage depuis des C2 en .icu et .tech, avec un impact potentiel sur les développeurs et systèmes CI qui les importent. • Découverte et mécanisme: le code exécute silencieusement un shell, récupère un payload de second étage depuis un ensemble interchangeable d’endpoints C2 et l’exécute en mémoire. La plupart des C2 partagent le chemin « /storage/de373d0df/a31546bf ». Six des dix URLs restent accessibles, offrant à l’attaquant un accès à la demande aux environnements affectés. Les binaires ELF/PE observés effectuent un inventaire hôte, lisent des données de navigateurs et beaconnent vers l’extérieur, souvent après un délai initial d’une heure pour évasion de sandbox. ...

Selon Sophos (news.sophos.com), présenté à Black Hat USA ’25, des chercheurs dévoilent une approche de classification de sécurité des lignes de commande qui repense la place de la détection d’anomalies afin de réduire les faux positifs sans dégrader les capacités de détection. L’idée clé consiste à ne plus utiliser la détection d’anomalies pour identifier directement le malveillant, mais à s’en servir pour découvrir une grande diversité de comportements bénins. Ces comportements sont ensuite étiquetés automatiquement (benin/malveillant) par un LLM afin d’augmenter les données d’entraînement. Résultat: l’apprentissage supervisé s’en trouve nettement amélioré, avec des gains d’AUC jusqu’à 27,97 points sur de la télémétrie de production portant sur 50 millions de commandes quotidiennes, tout en réduisant les faux positifs et en maintenant la détection. 📈 ...

L’article publié par Infoblox explore l’histoire et les activités de VexTrio, un acteur clé dans le domaine de la cybercriminalité et de la distribution de trafic malveillant. Initialement impliqué dans le spam et les escroqueries, VexTrio s’est transformé en un réseau complexe d’entreprises liées à l’adtech. VexTrio est connu pour son système de distribution de trafic (TDS), qui est utilisé pour masquer des fraudes numériques telles que les scarewares, les escroqueries en cryptomonnaies et les faux VPN. En 2024, près de 40 % des sites web compromis redirigeaient vers le TDS de VexTrio, illustrant leur influence dans le paysage des menaces. ...

Le site met en lumière les risques de sécurité associés à l’utilisation de HTTP/1.1, un protocole de communication web largement utilisé. HTTP/1.1 est décrit comme intrinsèquement peu sûr, exposant potentiellement des millions de sites web à des risques de prise de contrôle hostile. Cette vulnérabilité est due à des failles dans la conception du protocole qui ne répondent pas aux normes de sécurité modernes. L’article appelle à une mobilisation collective pour abandonner HTTP/1.1 au profit de versions plus sécurisées comme HTTP/2 ou HTTP/3, qui offrent des améliorations significatives en matière de sécurité et de performance. ...

L’article publié sur BleepingComputer le 6 août 2025, révèle une nouvelle technique d’évasion post-exploitation nommée ‘Ghost Calls’. Cette méthode exploite les serveurs TURN utilisés par des applications de conférence telles que Zoom et Microsoft Teams. Ces serveurs, normalement utilisés pour faciliter les connexions réseau dans des environnements NAT, sont détournés pour faire transiter du trafic malveillant à travers une infrastructure de confiance. L’utilisation de ces serveurs permet aux attaquants de tunneler leur trafic de commande et de contrôle (C2) de manière discrète, rendant plus difficile la détection par les systèmes de sécurité traditionnels. ...

L’article publié par PortSwigger met en lumière des recherches menées par James Kettle sur des attaques de désynchronisation HTTP qui révèlent des failles fondamentales dans l’implémentation du protocole HTTP/1.1. Résumé exécutif : Les nouvelles classes d’attaques, telles que les attaques 0.CL et les exploits basés sur l’en-tête Expect, contournent les mitigations existantes et affectent des fournisseurs d’infrastructure majeurs comme Akamai, Cloudflare et Netlify. Un outil open-source est mis à disposition pour détecter systématiquement les divergences de parseur, ayant déjà permis de récolter plus de 200 000 $ en primes de bug bounty. ...

Les chercheurs de Kaspersky ont découvert un nouveau malware, surnommé AV killer, qui exploite le driver légitime ThrottleStop.sys pour désactiver les processus de sécurité en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a été active depuis octobre 2024, ciblant principalement des victimes en Russie, Biélorussie, Kazakhstan, Ukraine et Brésil dans le cadre de campagnes de ransomware MedusaLocker. L’accès initial a été obtenu via des attaques RDP brute force, suivi par l’utilisation de Mimikatz pour l’extraction de crédentiels, permettant ensuite un mouvement latéral avant le déploiement de l’AV killer pour désactiver les défenses à travers le réseau. ...

L’équipe de recherche de Wiz a découvert une chaîne de vulnérabilités critiques dans le serveur NVIDIA Triton Inference, une plateforme open-source populaire pour l’exécution de modèles d’IA à grande échelle. Ces vulnérabilités, lorsqu’elles sont exploitées ensemble, permettent à un attaquant distant non authentifié de prendre le contrôle total du serveur, réalisant ainsi une exécution de code à distance (RCE). L’attaque commence par une fuite d’informations mineure dans le backend Python du serveur, qui s’escalade astucieusement en une compromission complète du système. ...