Global

Source: blog.pypi.org — Le billet de Mike Fiedler (PyPI Admin, Safety & Security Engineer, PSF) met en garde contre la campagne « Shai‑Hulud » qui frappe l’écosystème npm et souligne ses implications potentielles pour PyPI. • La campagne Shai‑Hulud exploite des comptes compromis pour publier des packages malveillants et exfiltrer des identifiants afin de se propager. Bien que la cible principale soit npm, des monorepos publiant à la fois sur npmjs.com et PyPI peuvent exposer des secrets multi‑plateformes en cas de compromission. 🪱 ...

Selon GBHackers, un nouvel outil open source nommé KawaiiGPT est apparu sur GitHub, se présentant comme une version « kawaii » et non filtrée d’une IA, et comme un clone gratuit de « WormGPT ». KawaiiGPT fonctionne comme un wrapper: il ne calcule pas lui‑même mais relaie les réponses de DeepSeek, Gemini et Kimi‑K2. Il s’appuie sur une ingénierie inverse de wrappers d’API (provenant du projet Pollinations) pour accéder à ces modèles sans clés officielles, et peut être utilisé gratuitement sur Linux ou Termux sans inscription. ...

Selon Unit 42 (Palo Alto Networks), des modèles de langage malveillants « sans garde-fous » comme WormGPT 4 et KawaiiGPT sont désormais commercialisés ou librement accessibles, permettant de générer à la chaîne des leurres de phishing/BEC et du code de malware, matérialisant le dilemme « dual-use » de l’IA. • Contexte et définition. L’article qualifie de LLM malveillants les modèles entraînés/affinés pour des usages offensifs avec des garde-fous éthiques supprimés. Ils sont marketés sur des forums et Telegram, capables de générer des e-mails de phishing, écrire du malware (y compris polymorphe) et automatiser la reconnaissance, abaissant drastiquement la barrière de compétence et compressant les délais d’attaque. 🚨 ...

Source: OpenAI — OpenAI détaille un incident de sécurité survenu chez son fournisseur d’analytique web Mixpanel, utilisé sur l’interface frontend de sa plateforme API (platform.openai.com). L’incident, daté du 9 novembre 2025 chez Mixpanel, a conduit à l’export d’un jeu de données contenant des informations identifiables limitées et des données d’analytique. OpenAI précise qu’il ne s’agit pas d’une compromission de ses propres systèmes et que les utilisateurs de ChatGPT et autres produits ne sont pas affectés. Aucune donnée de chat, requête API, métrique d’usage API, mot de passe, identifiant, clé API, information de paiement ou pièce d’identité n’a été exposée; les jetons de session/authentification et paramètres sensibles n’ont pas été impactés. ...

Selon Oligo Security (billet de blog, 25/11/2025), une chaîne de cinq vulnérabilités critiques affecte Fluent Bit, l’agent de télémétrie massivement déployé, avec divulgation coordonnée avec AWS. Les failles permettent de contourner l’authentification, manipuler les tags, écrire des fichiers arbitraires (traversée de répertoires), provoquer des crashs et exécuter du code à distance. Fluent Bit est omniprésent (plus de 15 milliards de déploiements, plus de 4 millions de pulls sur la dernière semaine) dans des environnements variés (AI, banques, constructeurs automobiles, AWS/GCP/Azure). Sa position au cœur des pipelines d’observabilité rend toute faille de parsing, templating ou gestion de fichiers particulièrement impactante pour les infrastructures cloud et Kubernetes. ...

Source: BleepingComputer — Grafana Labs signale une vulnérabilité de sévérité maximale (CVE-2025-41115) affectant Grafana Enterprise lorsque la provision SCIM est activée, pouvant permettre l’usurpation d’identité ou une élévation de privilèges. • Vulnérabilité et impact: CVE-2025-41115 permet, dans des cas spécifiques, de traiter un nouvel utilisateur SCIM comme un compte interne existant (incluant le compte Admin), entraînant une usurpation et une élévation de privilèges. Le problème provient du mappage direct de l’attribut SCIM externalId vers l’user.uid interne; un externalId numérique comme ‘1’ peut être interprété comme un compte interne existant. ...

Source et contexte — Kaspersky: Ce rapport 2025 de Kaspersky s’appuie sur 2 225 annonces et CV collectés sur des forums du dark web entre janvier 2023 et juin 2025 pour cartographier le marché de l’emploi clandestin, ses profils, ses rémunérations et ses pratiques de recrutement. Panorama du marché: les publications «emploi» représentent 55% de CV contre 45% d’offres, avec un pic de CV fin 2023 lié aux vagues de licenciements mondiales et une pénurie de main-d’œuvre atypique en février 2025. Parmi les candidats, 69% cherchent «n’importe quel travail», et 28,4% précisent la «couleur» de l’emploi visé (blanc/gris/noir). Les préférences déclarées incluent: légal (24% ouverts, 9,7% uniquement «white»), gris (18,3% ouverts, 1,1% uniquement «grey»), illégal (8,9% ouverts, 0,4% uniquement «black»), 5,6% «peu importe». L’âge moyen des chercheurs est 24 ans (plus âgé 42, plus jeune 12), avec une présence notable d’adolescents cherchant de petites missions rapides. ...

Source : Jamf Threat Labs (blog Jamf) — Analyse technique d’un nouvel infostealer macOS baptisé « DigitStealer », observé comme non détecté sur VirusTotal au moment de l’analyse, distribué via une image disque se faisant passer pour l’outil légitime DynamicLake. 🔎 Découverte et distribution Le malware est livré dans une image disque non signée « DynamicLake.dmg » et imite l’utilitaire légitime DynamicLake (légitime signé Team ID XT766AV9R9), mais distribué via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant l’utilisateur à exécuter un one‑liner curl | bash pour contourner Gatekeeper et lancer l’infection en mémoire. ⚙️ Chaîne d’exécution et évasion ...

Selon The Register, Salesforce a signalé une nouvelle compromission impliquant des applications publiées par Gainsight et connectées à des instances clients Salesforce, avec une attribution probable au groupe ShinyHunters (UNC6240) évoquée par Google Threat Intelligence Group. Salesforce indique que l’activité suspecte « a pu permettre un accès non autorisé » à certaines données clients via la connexion des applications Gainsight. En réponse, l’éditeur a révoqué tous les tokens d’accès et de rafraîchissement associés à ces applications et les a temporairement retirées de l’AppExchange pendant l’enquête. Salesforce précise ne voir « aucune indication » d’une vulnérabilité de sa plateforme, l’activité étant liée à la connexion externe de l’app. ...

Selon une communication de Salesforce, une activité inhabituelle a été détectée impliquant des applications publiées par Gainsight et connectées à Salesforce. L’enquête interne indique que cette activité a pu permettre un accès non autorisé à certaines données clients Salesforce via la connexion de l’application. En réponse, Salesforce a révoqué tous les tokens d’accès et de rafraîchissement liés aux applications Gainsight connectées à Salesforce. Les applications concernées ont été temporairement retirées de l’AppExchange pendant la poursuite de l’enquête. Points clés: ...