Publication De Recherche

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h. ...

KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés. Selon KrebsOnSecurity, un article d’enquête met au jour l’identité de « Rey », administrateur et visage public de Scattered LAPSUS$ Hunters (SLSH), un collectif mêlant Scattered Spider, LAPSUS$ et ShinyHunters, actif dans l’extorsion et la revente de données. ...

Selon Oligo Security (billet de blog, 25/11/2025), une chaîne de cinq vulnérabilités critiques affecte Fluent Bit, l’agent de télémétrie massivement déployé, avec divulgation coordonnée avec AWS. Les failles permettent de contourner l’authentification, manipuler les tags, écrire des fichiers arbitraires (traversée de répertoires), provoquer des crashs et exécuter du code à distance. Fluent Bit est omniprésent (plus de 15 milliards de déploiements, plus de 4 millions de pulls sur la dernière semaine) dans des environnements variés (AI, banques, constructeurs automobiles, AWS/GCP/Azure). Sa position au cœur des pipelines d’observabilité rend toute faille de parsing, templating ou gestion de fichiers particulièrement impactante pour les infrastructures cloud et Kubernetes. ...

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie. ...

Source et contexte — Kaspersky: Ce rapport 2025 de Kaspersky s’appuie sur 2 225 annonces et CV collectés sur des forums du dark web entre janvier 2023 et juin 2025 pour cartographier le marché de l’emploi clandestin, ses profils, ses rémunérations et ses pratiques de recrutement. Panorama du marché: les publications «emploi» représentent 55% de CV contre 45% d’offres, avec un pic de CV fin 2023 lié aux vagues de licenciements mondiales et une pénurie de main-d’œuvre atypique en février 2025. Parmi les candidats, 69% cherchent «n’importe quel travail», et 28,4% précisent la «couleur» de l’emploi visé (blanc/gris/noir). Les préférences déclarées incluent: légal (24% ouverts, 9,7% uniquement «white»), gris (18,3% ouverts, 1,1% uniquement «grey»), illégal (8,9% ouverts, 0,4% uniquement «black»), 5,6% «peu importe». L’âge moyen des chercheurs est 24 ans (plus âgé 42, plus jeune 12), avec une présence notable d’adolescents cherchant de petites missions rapides. ...

Source : Jamf Threat Labs (blog Jamf) — Analyse technique d’un nouvel infostealer macOS baptisé « DigitStealer », observé comme non détecté sur VirusTotal au moment de l’analyse, distribué via une image disque se faisant passer pour l’outil légitime DynamicLake. 🔎 Découverte et distribution Le malware est livré dans une image disque non signée « DynamicLake.dmg » et imite l’utilitaire légitime DynamicLake (légitime signé Team ID XT766AV9R9), mais distribué via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant l’utilisateur à exécuter un one‑liner curl | bash pour contourner Gatekeeper et lancer l’infection en mémoire. ⚙️ Chaîne d’exécution et évasion ...

Selon CrowdStrike Research, des tests indépendants du modèle DeepSeek‑R1 (671B, publié en janvier 2025 par la startup chinoise DeepSeek) indiquent que certains déclencheurs politiques dans les prompts font significativement varier la sécurité du code généré. L’étude a été menée sur le modèle brut open source (hors garde‑fous API) et comparée à d’autres LLMs open source occidentaux, ainsi qu’à une version distillée (DeepSeek‑R1‑distill‑llama‑70B). ⚙️ Résultats de base: DeepSeek‑R1 est globalement performant en génération de code, avec un taux de vulnérabilités de 19% sans déclencheurs. Les modèles de raisonnement produisent en moyenne un code plus sûr que les non‑raisonnants; les modèles plus récents s’en sortent mieux que les plus anciens. ...

Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper. • Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire). ...

Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta. • Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎 ...

Source et contexte — ThinkstScapes (Thinkst) publie son édition Q3 2025, un panorama des travaux de sécurité présentés et publiés entre juillet et septembre 2025 (USENIX Security, DEF CON, Black Hat, etc.), structuré autour de quatre thèmes majeurs et d’un volet « Nifty sundries ». • Microsoft-induced security woes. Le numéro détaille une vulnérabilité critique d’Azure/Entra ID via des Actor tokens permettant l’usurpation inter‑tenant d’utilisateurs (jusqu’au Global Admin), en modifiant des parties non signées du JWT et en retrouvant le nameid, le tout sans logs ni rate‑limit. Il montre aussi comment exploiter la page légitime login.microsoftonline.com pour du phishing (tenants contrôlés, pass‑through vers AD on‑prem compromis, branding trompeur, contournement de certaines MFA) en conservant l’URL Microsoft. Côté Windows, « RPC‑Racer » enregistre des endpoints RPC avant les services légitimes pour coercer NTLM via chemins UNC et escalader jusqu’à compromettre un DC. Enfin, des collisions de noms de domaine internes avec des gTLD (.llc, .ad) et des typos NS exposent des hashes NTLM et du trafic à des domaines publics contrôlés par un attaquant. ...