StepSecurity publie une alerte détaillée sur la compromission du package Nx sur npm fin août 2025, confirmée par l’avis GHSA-cxm3-wv7p-598c, avec un vecteur d’attaque lié à des workflows GitHub vulnérables et une exfiltration de secrets à grande échelle. 🚨 Entre 22:32 UTC le 26/08 et ~03:52 UTC le 27/08, huit versions malveillantes de Nx ont été publiées puis retirées (~5h20 d’attaque). Le malware exécuté en post-install (telemetry.js) a visé des systèmes non-Windows et a exfiltré des secrets (clés SSH, tokens npm/GitHub, .gitconfig, .env, portefeuilles crypto). Fait inédit, il a « instrumenté » des CLIs d’IA (Claude, Gemini, Q) avec des drapeaux permissifs pour lister des chemins sensibles. L’exfiltration publiait un dépôt GitHub public s1ngularity-repository contenant results.b64 (triple base64) via des tokens GitHub volés. Des mécanismes de persistance/sabotage ajoutaient sudo shutdown -h 0 dans ~/.bashrc et ~/.zshrc. ...

Source : openssh.com. Le projet OpenSSH détaille l’adoption des algorithmes d’échange de clés post‑quantiques pour SSH, le changement de défaut vers mlkem768x25519-sha256, et l’introduction en 10.1 d’un avertissement lorsque la connexion n’emploie pas de schéma post‑quantique. Depuis OpenSSH 9.0 (avril 2022), un échange de clés post‑quantique est proposé par défaut via sntrup761x25519-sha512. En OpenSSH 9.9, mlkem768x25519-sha256 a été ajouté et est devenu le schéma par défaut en 10.0 (avril 2025). En OpenSSH 10.1, un avertissement informe l’utilisateur si un KEX non post‑quantique est sélectionné, signalant un risque d’attaque « store now, decrypt later ». Cet avertissement est activé par défaut et peut être désactivé via l’option WarnWeakCrypto dans ssh_config(5). Contexte et menace : des ordinateurs quantiques suffisamment puissants pourraient casser certains schémas cryptographiques classiques. Même s’ils n’existent pas encore, les sessions SSH peuvent être collectées aujourd’hui et déchiffrées plus tard (attaque « store now, decrypt later »), d’où la nécessité d’algorithmes post‑quantiques pour l’accord de clés. ...

Selon une communication de Pakistan Petroleum Limited (PPL), l’entreprise a détecté le 6 août 2025 une intrusion par ransomware ciblant une partie de son infrastructure IT. L’attaque, revendiquée via une note par un acteur se présentant comme « Blue Locker », a déclenché l’activation immédiate des protocoles internes de cybersécurité. PPL souligne opérer un cadre de cybersécurité multi-couches qui a permis d’isoler rapidement la menace 🔒. Par mesure de précaution, des services IT non critiques ont été temporairement suspendus pour limiter l’impact et préserver l’intégrité des systèmes. À ce stade, PPL indique ne pas avoir d’indication de compromission de données sensibles ou critiques. Les systèmes opérationnels essentiels n’ont pas été affectés et les partenaires en coentreprise (JV) ainsi que les parties prenantes externes opèrent sans interruption. ...

Actualité publiée le 29 août 2025 : des responsables du comté de Lycoming indiquent qu’une enquête est en cours après la détection d’un ransomware le 12 août ; des cybercriminels ont dérobé des informations du Department of Public Safety, pouvant inclure des numéros de permis de conduire. Points clés 🔎 🗓️ Date de détection : 12 août 💥 Type d’incident : attaque par ransomware 🏛️ Entité touchée : Department of Public Safety du comté 📦 Impact confirmé : vol de données 🪪 Données potentiellement exposées : numéros de permis de conduire 🕵️ Statut : enquête en cours Contexte et impact 📣 ...

Source: The Record (Alexander Martin, 27 août 2025). L’article rapporte une attaque par ransomware présumée contre Miljödata, fournisseur suédois de logiciels RH, avec un impact estimé sur environ 200 municipalités et régions. 🚨 L’incident a été détecté samedi, et selon la police, les attaquants tentent d’extorquer Miljödata. Le PDG Erik Hallén indique que l’entreprise travaille « très intensivement » avec des experts externes pour enquêter sur ce qui s’est passé, identifier qui et quoi a été affecté, et restaurer la fonctionnalité des systèmes. ...

Selon swissinfo.ch (28 août 2025), des acteurs de la santé en Suisse ont officiellement fondé le Healthcare Cyber Security Centre (H‑CSC) à Thurgovie, afin d’alerter et de se prémunir contre les cyberattaques ciblant les hôpitaux 🏥🔐. Le centre souligne que les hôpitaux sont des cibles attirantes pour les cybercriminels en raison du volume de données sensibles qu’ils traitent. L’initiative vise à offrir des services de sécurité sur mesure pour les établissements de santé. ...

Selon KrebsOnSecurity, le mois dernier a vu l’apparition soudaine de centaines de sites de jeux et de paris en ligne très soignés, présentés comme légitimes, mais opérant une escroquerie visant les dépôts en cryptomonnaies. Ces plateformes attirent les internautes avec des crédits gratuits pour jouer 🎰, puis finissent par détourner tous les fonds en crypto déposés par les victimes. L’article souligne la qualité de présentation de ces sites, conçus pour inspirer confiance avant de disparaître avec l’argent. ...

Selon Radio Jamaica News, l’Office of the Registrar General (ORG), anciennement Registrar General’s Department, en Jamaïque 🇯🇲, a été frappé par une cyberattaque visant à perturber les systèmes et à accéder à des données personnelles. L’incident a entraîné le lancement d’une enquête à grande échelle. L’attaque est attribuée à un groupe cybercriminel qui ciblerait plusieurs entreprises jamaïcaines. Sur le plan opérationnel, le consultant et expert en cybersécurité Richard Weir a indiqué que le dimanche 24 août, les systèmes de l’ORG ont commencé à se déconnecter (offline). ...

Source: Cybersecuritynews.com — Le 28 août 2025, des chercheurs rapportent une nouvelle campagne de phishing identifiée par le chercheur JAMESWT, qui abuse du caractère hiragana « ん » (U+3093) pour imiter visuellement la barre oblique « / » et fabriquer des URLs quasi indiscernables, ciblant des clients de Booking.com. 🎣 Type d’attaque: phishing avec homographes Unicode. La technique remplace « / » par « ん » (U+3093), qui ressemble visuellement à une barre oblique dans certains contextes d’affichage. Résultat: des chemins d’URL paraissent légitimes alors que la destination réelle pointe vers un autre domaine. ...

Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuée à l’APT Silver Fox exploitant des drivers noyau signés mais vulnérables pour contourner les protections Windows et livrer le RAT ValleyRAT. • Les attaquants abusent de drivers basés sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listé et signé Microsoft (amsdk.sys 1.0.600), pour l’arrêt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilité legacy (Windows 7). Les échantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intégrés, logique de kill EDR/AV et un downloader ValleyRAT. ...