Rapport D'incident

Source: Salesloft Trust Portal — Mises à jour des 7, 11 et 13 septembre 2025. Salesloft détaille l’incident affectant Drift, confirme la poursuite de l’enquête et de la remédiation, et maintient l’application Drift hors ligne. Les clients sont priés de considérer toutes les intégrations Drift et les données associées comme potentiellement compromises. Parallèlement, l’intégration entre la plateforme Salesloft et Salesforce a été rétablie. Ce qui s’est passé (constats Mandiant au 6 sept. 2025) : ...

Source: Snyk — Billet d’alerte et suivi d’incident décrivant une attaque de la supply chain npm consécutive à la compromission par phishing d’un mainteneur open source (~qix), avec chronologie, IoC et conseils de vérification. — Contexte et fait principal — Un développeur open source très en vue, ~qix, a été victime d’un phishing envoyé depuis l’adresse « support@npmjs.help ». L’attaquant a pris le contrôle de son compte npm, lui permettant de publier des versions malveillantes de paquets populaires auxquels il avait des droits. ...

Selon BleepingComputer, la plus vaste compromission de chaîne d’approvisionnement de l’écosystème NPM a été mise en évidence. 🔗 L’article indique qu’il s’agit de l’incident de supply chain le plus important jamais observé dans NPM. ☁️ L’impact a concerné environ 10 % de l’ensemble des environnements cloud. 💸 Malgré cette ampleur, les attaquants ont réalisé peu de profits. Il s’agit d’un article de presse spécialisé visant à informer sur l’ampleur de l’incident et son impact financier limité. ...

Source : The Record (Recorded Future News), article de Jonathan Greig publié le 9 septembre 2025. L’article rapporte la confirmation par New York Blood Center (NYBC) d’une attaque par ransomware survenue en janvier et les démarches de notification en cours. NYBC, l’un des plus grands centres de sang indépendants aux États-Unis, a soumis des documents à des régulateurs dans le Maine, le Texas, le New Hampshire et la Californie, confirmant une attaque par ransomware découverte le 26 janvier. L’enquête indique un accès au réseau entre le 20 et le 26 janvier, durant lequel les attaquants ont copié des fichiers avant de déployer le ransomware. ...

Source: The Record — Dans un court article, le média rapporte que près de 200 000 tokens Solana ont été volés à la plateforme SwissBorg, soit environ 2% de ses actifs, selon le CEO de l’entreprise. La société a promis de rembourser les utilisateurs concernés. 🔓 Type d’événement: vol de cryptomonnaies 💥 Impact: ~200 000 tokens Solana, soit ~2% des actifs de la plateforme 🤝 Réponse: Engagement de remboursement des utilisateurs par SwissBorg Aucun détail supplémentaire n’est fourni sur le mode opératoire, l’origine de l’attaque ou d’éventuelles compromissions techniques. ...

Source: The DFIR Report (Threat Brief initial publié en mars 2025). Contexte: une intrusion démarrée en septembre 2024 par exécution d’un faux installeur EarthTime, conduisant au déploiement de SectopRAT, puis SystemBC pour le tunneling/proxy, et plus tard du backdoor Betruger. L’attaquant a réalisé reconnaissance, escalade, mouvements latéraux via RDP/Impacket, collecte et exfiltration de données, avant éjection, avec des indices reliant Play, RansomHub et DragonForce. • Point d’entrée et persistance: exécution d’un binaire EarthTime.exe signé avec un certificat révoqué, injectant SectopRAT via MSBuild.exe. Persistance par BITS (copie vers Roaming/QuickAgent2 en ChromeAlt_dbg.exe + lien Startup), création d’un compte local “Admon” (Qwerty12345!) avec privilèges admin. Déploiement de SystemBC (WakeWordEngine.dll/conhost.dll) depuis C:\Users\Public\Music\ via rundll32. ...

Selon At-Bay, dans un cas observé, un utilisateur a été piégé par un empoisonnement SEO et a téléchargé une version trojanisée de PuTTY.exe, ouvrant la voie à Rhysida pour obtenir l’accès et la persistance au sein du réseau. L’acteur s’est ensuite déplacé latéralement via RDP (Remote Desktop Protocol), et a effectué une découverte réseau en s’appuyant sur l’outil Advanced Port Scanner. La phase d’exfiltration a été réalisée via des commandes azcopy, transférant avec succès plus de 100 000 fichiers vers un stockage Azure contrôlé par l’attaquant 📤. ...

Source: BleepingComputer (Sergiu Gatlan). L’article rapporte que Workiva a informé ses clients d’un vol de données limité via un CRM tiers, incident qui s’inscrit dans la récente série de brèches Salesforce attribuées au groupe d’extorsion ShinyHunters. • Données touchées chez Workiva: noms, adresses e‑mail, numéros de téléphone et contenus de tickets de support. Workiva précise que sa plateforme et les données qu’elle héberge n’ont pas été accédées et que l’accès est venu via une application tierce connectée. L’entreprise met en garde contre un risque de spear‑phishing et rappelle ses canaux officiels de contact. ...

Selon Socket, le système de build Nx a subi une attaque de la chaîne d’approvisionnement exploitant une vulnérabilité dans un workflow GitHub Actions, compromettant un écosystème totalisant plus de 4,6 millions de téléchargements hebdomadaires. Les attaquants ont publié des packages malveillants qui ont récolté des milliers d’identifiants, mettant en lumière des lacunes critiques de sécurité CI/CD et le risque des branches obsolètes comme vecteurs persistants. L’attaque s’est appuyée sur une injection bash via un workflow déclenché par pull_request_target avec des permissions élevées. Des titres de PR forgés comme $(echo “malicious code”) ont permis une exécution de commandes arbitraires. Les acteurs ont ciblé des branches anciennes où le workflow vulnérable subsistait, même après sa suppression de la branche master. ...

Source: BleepingComputer (Sergiu Gatlan). Cloudflare révèle avoir été impacté par la série de compromissions Salesloft/Drift touchant des environnements Salesforce, avec exfiltration de données textuelles de son CRM de support entre le 12 et le 17 août 2025, après une phase de reconnaissance le 9 août. Cloudflare indique que des attaquants ont accédé à une instance Salesforce utilisée pour la gestion des tickets clients et ont exfiltré uniquement le texte des objets de cas (pas les pièces jointes). Parmi les éléments sensibles potentiellement exposés figurent des informations de contact clients et des contenus de tickets pouvant inclure des clés, secrets, jetons ou mots de passe. L’entreprise a identifié 104 jetons API Cloudflare présents dans ces données et les a tous rotationnés avant la notification clients du 2 septembre, sans activité suspecte détectée à ce stade. ...