Rapport D'incident

SecurityAffairs rapporte que Zscaler a été impacté par la campagne de vol de jetons OAuth liée à Salesloft Drift, utilisée pour accéder à des instances Salesforce, sans compromission de ses produits ou de son infrastructure. • L’éditeur indique que des acteurs non autorisés ont obtenu des identifiants Drift permettant une visibilité limitée sur certaines données Salesforce de Zscaler. Les informations exposées comprennent des coordonnées professionnelles (noms, emails, titres, numéros, régions), des informations commerciales et de licences Zscaler, ainsi que du contenu de certains tickets de support. Zscaler a révoqué l’accès Drift à Salesforce, tourné les jetons API, lancé une enquête conjointe avec Salesforce, ajouté des garde-fous, revérifié ses tiers et renforcé l’authentification du support client. Aucune preuve d’abus des données n’a été trouvée à ce stade. ...

Selon Varonis, une enquête a révélé la compromission d’un serveur web Linux exploitée pendant plusieurs mois via une vulnérabilité de téléversement de fichiers non restreint, due à une page d’upload mal configurée exposée sur Internet. L’acteur a pu téléverser des web shells PHP obfusqués 🐚. Bien que l’attaque ait été contenue par des restrictions réseau empêchant la communication externe des web shells, l’incident met en évidence des lacunes critiques, dont des systèmes non patchés, l’absence d’EDR et une segmentation réseau insuffisante. ...

Selon The Register (28 août 2025), des banques allemandes ont détecté lundi une série de prélèvements automatiques non autorisés liés à PayPal, entraînant un gel massif des transactions avant un retour à la normale annoncé mardi matin. Des établissements, cités par l’Association des banques allemandes et le DSGV, ont constaté des prélèvements SEPA non autorisés en provenance de PayPal et ont réagi de diverses manières, dont l’arrêt total des transactions PayPal pour certains. Le volume de paiements gelés est estimé à environ 10 milliards d’euros. ...

Selon Wiz (blog), une attaque de supply chain a touché le 26 août 2025 le système de build Nx sur npm via des versions malveillantes contenant un malware post-install. Le code a collecté des actifs sensibles (wallets crypto, tokens GitHub/npm, clés SSH, fichiers .env, etc.) et a exfiltré ces données vers des dépôts publics créés au sein des comptes GitHub des victimes (s1ngularity-repository). GitHub a désactivé ces dépôts le 27 août à 9h UTC, mais la fenêtre d’exposition (~8h) a permis des téléchargements par les attaquants et d’autres acteurs. ...

Selon news.sophos.com (équipe Sophos Counter Threat Unit), en août 2025 des chercheurs ont enquêté sur une intrusion au cours de laquelle un acteur a déployé l’outil DFIR open source Velociraptor pour orchestrer le téléchargement et l’exécution de Visual Studio Code en mode tunnel, avec communication vers un C2 hébergé sur Cloudflare Workers. Dans cette intrusion, l’attaquant a utilisé l’utilitaire Windows msiexec pour récupérer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de répertoire de staging où se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installé Velociraptor, configuré pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exécuté une commande PowerShell encodée pour télécharger Visual Studio Code (code.exe) depuis le même staging et l’a lancé avec l’option tunnel activée, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second téléchargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...

StepSecurity publie une alerte détaillée sur la compromission du package Nx sur npm fin août 2025, confirmée par l’avis GHSA-cxm3-wv7p-598c, avec un vecteur d’attaque lié à des workflows GitHub vulnérables et une exfiltration de secrets à grande échelle. 🚨 Entre 22:32 UTC le 26/08 et ~03:52 UTC le 27/08, huit versions malveillantes de Nx ont été publiées puis retirées (~5h20 d’attaque). Le malware exécuté en post-install (telemetry.js) a visé des systèmes non-Windows et a exfiltré des secrets (clés SSH, tokens npm/GitHub, .gitconfig, .env, portefeuilles crypto). Fait inédit, il a « instrumenté » des CLIs d’IA (Claude, Gemini, Q) avec des drapeaux permissifs pour lister des chemins sensibles. L’exfiltration publiait un dépôt GitHub public s1ngularity-repository contenant results.b64 (triple base64) via des tokens GitHub volés. Des mécanismes de persistance/sabotage ajoutaient sudo shutdown -h 0 dans ~/.bashrc et ~/.zshrc. ...

Source: The Record (Alexander Martin, 27 août 2025). L’article rapporte une attaque par ransomware présumée contre Miljödata, fournisseur suédois de logiciels RH, avec un impact estimé sur environ 200 municipalités et régions. 🚨 L’incident a été détecté samedi, et selon la police, les attaquants tentent d’extorquer Miljödata. Le PDG Erik Hallén indique que l’entreprise travaille « très intensivement » avec des experts externes pour enquêter sur ce qui s’est passé, identifier qui et quoi a été affecté, et restaurer la fonctionnalité des systèmes. ...

Selon BleepingComputer, le Nevada est au deuxième jour d’une cyberattaque ayant débuté tôt dimanche, affectant des services publics essentiels et la continuité des opérations de l’État. Faits saillants 🚨: Type d’incident : cyberattaque (détails non précisés). Chronologie : début tôt dimanche ; la situation se poursuit deux jours plus tard. Impact : perturbation des sites gouvernementaux, des systèmes téléphoniques ☎️ et des plateformes en ligne 🌐. Mesures : fermeture de tous les bureaux de l’État lundi 🏛️. Portée : l’incident touche les services gouvernementaux de l’État du Nevada et interrompt plusieurs canaux de communication et d’accès en ligne. ...

Selon BleepingComputer (25 août 2025), Farmers Insurance a divulgué une fuite de données affectant environ 1 111 386 clients, après l’accès non autorisé à une base gérée par un tiers le 29 mai 2025. Le 30 mai, le prestataire a détecté l’activité malveillante et l’a bloquée, déclenchant une enquête et une notification aux autorités. Des courriers d’information ont été envoyés aux personnes concernées à partir du 22 août. Les informations compromises incluent potentiellement les noms, adresses, dates de naissance, numéros de permis de conduire et/ou les quatre derniers chiffres du SSN. Bien que Farmers ne nomme pas le prestataire, BleepingComputer indique que les données proviennent des attaques de vol de données ciblant Salesforce menées cette année. ...

Source: ZATAZ (21 août 2025). Le média spécialisé rapporte qu’Auchan a été victime d’une nouvelle cyberattaque visant les données personnelles rattachées aux comptes de fidélité Waaoh. L’incident a exposé des informations telles que la civilité, le nom, le prénom, les adresses email et postale, le numéro de téléphone et le numéro de carte fidélité. Les données bancaires, mots de passe et codes PIN ne seraient pas concernés. L’intrusion n’a pas encore été médiatisée au moment de la publication. ...