Rapport D'incident

Selon un avis de la CISA, des acteurs malveillants ont exploité la vulnérabilité CVE-2024-36401 dans des instances GeoServer d’une agence fédérale américaine, tirant parti d’une injection d’eval pour l’accès initial avant de se déplacer latéralement vers des serveurs web et SQL. L’incident n’a été détecté qu’après trois semaines, à la suite d’alertes EDR signalant des téléversements de fichiers suspects sur le serveur SQL. 🚨 Constats clés rapportés par la CISA: ...

Selon GitHub Blog (Xavier René‑Corail, 22 septembre 2025), l’écosystème open source a subi une vague de prises de contrôle de comptes sur des registres de paquets, dont npm, culminant avec une attaque baptisée Shai‑Hulud ciblant la chaîne d’approvisionnement JavaScript. 🚨 Incident: le 14 septembre 2025, Shai‑Hulud a infecté l’écosystème npm via des comptes mainteneurs compromis, en injectant des scripts post‑install malveillants dans des paquets populaires. Le ver était auto‑réplicant et capable de voler plusieurs types de secrets (pas uniquement des jetons npm), ce qui aurait pu permettre des attaques en continu sans l’intervention rapide de GitHub et de mainteneurs open source. ...

Selon BleepingComputer, Stellantis a confirmé qu’un incident de sécurité a conduit au vol de données concernant une partie de ses clients en Amérique du Nord, à la suite d’un accès par des attaquants à la plateforme d’un prestataire tiers. Faits clés ⚠️ Nature de l’incident : vol de données. Vecteur : accès à la plateforme d’un fournisseur tiers. Périmètre impacté : clients nord-américains de Stellantis. L’article indique que l’accès initial s’est fait via un prestataire tiers, ce qui a permis aux attaquants de subtiliser certaines données clients. Aucune information supplémentaire n’est fournie dans l’extrait sur l’ampleur exacte de la compromission ou la nature précise des données. ...

Selon BleepingComputer, Google a confirmé que des cybercriminels ont réussi à créer un compte frauduleux dans son Law Enforcement Request System (LERS), la plateforme utilisée par les forces de l’ordre pour soumettre des demandes officielles de données à l’entreprise. Le cœur de l’affaire porte sur l’usurpation/création illégitime d’un compte au sein d’un système sensible servant d’interface entre Google et les autorités, ce qui soulève des préoccupations quant à l’intégrité des canaux de demande de données. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Selon BleepingComputer, Google a confirmé qu’un compte frauduleux avait été créé dans sa plateforme Law Enforcement Request System (LERS), utilisée par les forces de l’ordre pour soumettre des demandes légales. Le compte a été désactivé et, selon Google, aucune requête n’a été transmise et aucune donnée n’a été consultée via ce compte. Le FBI a décliné tout commentaire alors qu’un groupe se présentant comme « Scattered Lapsus$ Hunters » affirme avoir accédé à la fois à LERS et au système eCheck du FBI, en publiant des captures d’écran de cet accès. ...

Source: Salesloft Trust Portal — Mises à jour des 7, 11 et 13 septembre 2025. Salesloft détaille l’incident affectant Drift, confirme la poursuite de l’enquête et de la remédiation, et maintient l’application Drift hors ligne. Les clients sont priés de considérer toutes les intégrations Drift et les données associées comme potentiellement compromises. Parallèlement, l’intégration entre la plateforme Salesloft et Salesforce a été rétablie. Ce qui s’est passé (constats Mandiant au 6 sept. 2025) : ...

Source: Snyk — Billet d’alerte et suivi d’incident décrivant une attaque de la supply chain npm consécutive à la compromission par phishing d’un mainteneur open source (~qix), avec chronologie, IoC et conseils de vérification. — Contexte et fait principal — Un développeur open source très en vue, ~qix, a été victime d’un phishing envoyé depuis l’adresse « support@npmjs.help ». L’attaquant a pris le contrôle de son compte npm, lui permettant de publier des versions malveillantes de paquets populaires auxquels il avait des droits. ...

Selon BleepingComputer, la plus vaste compromission de chaîne d’approvisionnement de l’écosystème NPM a été mise en évidence. 🔗 L’article indique qu’il s’agit de l’incident de supply chain le plus important jamais observé dans NPM. ☁️ L’impact a concerné environ 10 % de l’ensemble des environnements cloud. 💸 Malgré cette ampleur, les attaquants ont réalisé peu de profits. Il s’agit d’un article de presse spécialisé visant à informer sur l’ampleur de l’incident et son impact financier limité. ...

Source : The Record (Recorded Future News), article de Jonathan Greig publié le 9 septembre 2025. L’article rapporte la confirmation par New York Blood Center (NYBC) d’une attaque par ransomware survenue en janvier et les démarches de notification en cours. NYBC, l’un des plus grands centres de sang indépendants aux États-Unis, a soumis des documents à des régulateurs dans le Maine, le Texas, le New Hampshire et la Californie, confirmant une attaque par ransomware découverte le 26 janvier. L’enquête indique un accès au réseau entre le 20 et le 26 janvier, durant lequel les attaquants ont copié des fichiers avant de déployer le ransomware. ...