Global

Johann Rehberger, un chercheur en sécurité, a découvert une vulnérabilité critique (CVE-2025-54132) dans l’éditeur de code Cursor AI. Cette faille permet aux attaquants de voler des informations sensibles à travers des diagrammes Mermaid malveillants. L’attaque repose sur des injections de commande qui peuvent exfiltrer des mémoires utilisateur, des clés API et d’autres données confidentielles vers des serveurs externes sans le consentement des utilisateurs. La vulnérabilité a été divulguée de manière responsable et corrigée dans la version Cursor v1.3. ...

L’article publié sur le blog de PyPI informe que les utilisateurs de PyPI sont actuellement visés par une attaque de phishing. Les utilisateurs concernés sont ceux ayant publié des projets sur PyPI avec leur email dans les métadonnées des packages. Les attaquants envoient des emails intitulés “[PyPI] Email verification” depuis l’adresse noreply@pypj.org, un domaine frauduleux qui remplace le ‘i’ par un ‘j’. Ces emails incitent les utilisateurs à cliquer sur un lien menant à un faux site PyPI, où ils sont invités à se connecter. Les identifiants ainsi fournis tombent entre les mains des attaquants. ...

En juillet 2025, Arctic Wolf a observé une augmentation de l’activité de ransomware ciblant les dispositifs de firewall SonicWall pour un accès initial. Dans les intrusions examinées, plusieurs attaques pré-ransomware ont été détectées sur une courte période, impliquant un accès VPN via les VPN SSL de SonicWall. Bien que l’accès aux identifiants par brute force, attaques par dictionnaire, et credential stuffing n’ait pas encore été définitivement écarté dans tous les cas, les preuves disponibles suggèrent l’existence d’une vulnérabilité zero-day. Dans certains cas, des dispositifs SonicWall entièrement patchés ont été affectés même après la rotation des identifiants. Malgré l’activation de l’authentification multi-facteurs (TOTP MFA), certains comptes ont tout de même été compromis. ...

Selon un article de BleepingComputer, Pi-hole, un bloqueur de publicités populaire au niveau du réseau, a récemment divulgué une fuite de données impliquant les noms et adresses e-mail de ses donateurs. Cette fuite résulte d’une vulnérabilité dans le plugin de donation GiveWP utilisé sur WordPress. La vulnérabilité a permis l’exposition de données personnelles des donateurs, ce qui soulève des préoccupations concernant la sécurité des informations sur les plateformes de donation en ligne. Le problème a été découvert et signalé par l’équipe de Pi-hole, qui a pris des mesures pour sécuriser les données affectées. ...

Palo Alto Networks Unit 42 a publié un catalogue exhaustif des acteurs de la menace, organisé selon des conventions de dénomination basées sur les constellations. Ce document fournit des profils détaillés de groupes d’État-nation provenant de Pakistan (Draco), Biélorussie (Lynx), Corée du Nord (Pisces), Iran (Serpens), Chine (Taurus), et Russie (Ursa), ainsi que des groupes de cybercriminalité sous Libra et des opérateurs de ransomware sous Scorpius. Chaque profil inclut une évaluation de l’attribution, les motivations principales, les secteurs ciblés, les TTPs (Techniques, Tactiques et Procédures) opérationnels, et les alias connus, fournissant ainsi aux professionnels de la sécurité des renseignements exploitables pour la chasse aux menaces, la réponse aux incidents, et le développement de stratégies de défense. ...

L’article publié le 1 août 2025 sur Socket.dev met en lumière une vulnérabilité critique dans le package @nestjs/devtools-integration. Cette faille permet aux attaquants de réaliser une exécution de code à distance (RCE) sur les machines des développeurs. La vulnérabilité exploite l’utilisation peu sécurisée du module Node.js vm pour le sandboxing du code, combinée à une attaque par falsification de requête intersite (CSRF). Les attaquants peuvent contourner la sandbox en manipulant les propriétés du constructeur et en exploitant les requêtes de type text/plain qui échappent aux restrictions CORS. ...

L’article publié par Emerging Technology Security met en lumière une vulnérabilité critique dans ChatGPT Codex, un outil d’assistance au codage d’OpenAI. Des chercheurs en sécurité ont démontré qu’il est possible de contourner la Common Dependencies Allowlist de ChatGPT Codex, permettant à des attaquants de prendre le contrôle à distance des agents d’IA. Cette faille repose sur des techniques d’injection de commande et des permissions réseau trop larges, transformant ainsi les assistants de codage en nœuds de botnet. ...

L’article publié par embracethered.com met en lumière une vulnérabilité critique dans ChatGPT, un produit d’OpenAI, qui permet à des attaquants d’exfiltrer l’historique des conversations des utilisateurs par le biais d’attaques par injection de commandes. Les chercheurs ont découvert que l’exploitation de cette faille repose sur un contournement de la fonctionnalité de rendu ‘URL sûre’ d’OpenAI. Ce contournement permet aux acteurs malveillants d’envoyer des informations personnelles vers des serveurs tiers en utilisant des domaines comme windows.net. ...

Les chercheurs d’Avast ont annoncé avoir développé un décrypteur pour le ransomware FunkSec. Cet outil a été mis à disposition du public pour permettre aux victimes de récupérer leurs fichiers sans frais. Cette initiative fait suite à une coopération avec les agences de maintien de l’ordre pour aider les victimes à déchiffrer leurs données compromises. Le ransomware FunkSec est désormais considéré comme inactif, ce qui a motivé la publication du décrypteur en téléchargement libre. ...

Des chercheurs en sécurité ont identifié un package NPM malveillant sophistiqué généré par l’IA, ciblant les développeurs en tant que drain de portefeuille de cryptomonnaies. Le package, nommé @kodane/patch-manager, se fait passer pour un gestionnaire de cache de registre légitime mais inclut des fonctionnalités avancées pour voler des fonds de cryptomonnaies. Le malware procède à une infection en plusieurs étapes : installation via un script post-installation, établissement de la persistance à travers des processus en arrière-plan, connexion à un serveur C2 à l’adresse sweeper-monitor-production.up.railway.app, découverte de fichiers de portefeuille, et extraction des fonds vers une adresse Solana spécifique (B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK). ...