Global

En juillet 2025, Arctic Wolf a observé une augmentation de l’activité de ransomware ciblant les dispositifs de firewall SonicWall pour un accès initial. Dans les intrusions examinées, plusieurs attaques pré-ransomware ont été détectées sur une courte période, impliquant un accès VPN via les VPN SSL de SonicWall. Bien que l’accès aux identifiants par brute force, attaques par dictionnaire, et credential stuffing n’ait pas encore été définitivement écarté dans tous les cas, les preuves disponibles suggèrent l’existence d’une vulnérabilité zero-day. Dans certains cas, des dispositifs SonicWall entièrement patchés ont été affectés même après la rotation des identifiants. Malgré l’activation de l’authentification multi-facteurs (TOTP MFA), certains comptes ont tout de même été compromis. ...

Selon un article de BleepingComputer, Pi-hole, un bloqueur de publicités populaire au niveau du réseau, a récemment divulgué une fuite de données impliquant les noms et adresses e-mail de ses donateurs. Cette fuite résulte d’une vulnérabilité dans le plugin de donation GiveWP utilisé sur WordPress. La vulnérabilité a permis l’exposition de données personnelles des donateurs, ce qui soulève des préoccupations concernant la sécurité des informations sur les plateformes de donation en ligne. Le problème a été découvert et signalé par l’équipe de Pi-hole, qui a pris des mesures pour sécuriser les données affectées. ...

Palo Alto Networks Unit 42 a publié un catalogue exhaustif des acteurs de la menace, organisé selon des conventions de dénomination basées sur les constellations. Ce document fournit des profils détaillés de groupes d’État-nation provenant de Pakistan (Draco), Biélorussie (Lynx), Corée du Nord (Pisces), Iran (Serpens), Chine (Taurus), et Russie (Ursa), ainsi que des groupes de cybercriminalité sous Libra et des opérateurs de ransomware sous Scorpius. Chaque profil inclut une évaluation de l’attribution, les motivations principales, les secteurs ciblés, les TTPs (Techniques, Tactiques et Procédures) opérationnels, et les alias connus, fournissant ainsi aux professionnels de la sécurité des renseignements exploitables pour la chasse aux menaces, la réponse aux incidents, et le développement de stratégies de défense. ...

L’article publié le 1 août 2025 sur Socket.dev met en lumière une vulnérabilité critique dans le package @nestjs/devtools-integration. Cette faille permet aux attaquants de réaliser une exécution de code à distance (RCE) sur les machines des développeurs. La vulnérabilité exploite l’utilisation peu sécurisée du module Node.js vm pour le sandboxing du code, combinée à une attaque par falsification de requête intersite (CSRF). Les attaquants peuvent contourner la sandbox en manipulant les propriétés du constructeur et en exploitant les requêtes de type text/plain qui échappent aux restrictions CORS. ...

L’article publié par Emerging Technology Security met en lumière une vulnérabilité critique dans ChatGPT Codex, un outil d’assistance au codage d’OpenAI. Des chercheurs en sécurité ont démontré qu’il est possible de contourner la Common Dependencies Allowlist de ChatGPT Codex, permettant à des attaquants de prendre le contrôle à distance des agents d’IA. Cette faille repose sur des techniques d’injection de commande et des permissions réseau trop larges, transformant ainsi les assistants de codage en nœuds de botnet. ...

L’article publié par embracethered.com met en lumière une vulnérabilité critique dans ChatGPT, un produit d’OpenAI, qui permet à des attaquants d’exfiltrer l’historique des conversations des utilisateurs par le biais d’attaques par injection de commandes. Les chercheurs ont découvert que l’exploitation de cette faille repose sur un contournement de la fonctionnalité de rendu ‘URL sûre’ d’OpenAI. Ce contournement permet aux acteurs malveillants d’envoyer des informations personnelles vers des serveurs tiers en utilisant des domaines comme windows.net. ...

Les chercheurs d’Avast ont annoncé avoir développé un décrypteur pour le ransomware FunkSec. Cet outil a été mis à disposition du public pour permettre aux victimes de récupérer leurs fichiers sans frais. Cette initiative fait suite à une coopération avec les agences de maintien de l’ordre pour aider les victimes à déchiffrer leurs données compromises. Le ransomware FunkSec est désormais considéré comme inactif, ce qui a motivé la publication du décrypteur en téléchargement libre. ...

Des chercheurs en sécurité ont identifié un package NPM malveillant sophistiqué généré par l’IA, ciblant les développeurs en tant que drain de portefeuille de cryptomonnaies. Le package, nommé @kodane/patch-manager, se fait passer pour un gestionnaire de cache de registre légitime mais inclut des fonctionnalités avancées pour voler des fonds de cryptomonnaies. Le malware procède à une infection en plusieurs étapes : installation via un script post-installation, établissement de la persistance à travers des processus en arrière-plan, connexion à un serveur C2 à l’adresse sweeper-monitor-production.up.railway.app, découverte de fichiers de portefeuille, et extraction des fonds vers une adresse Solana spécifique (B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK). ...

L’article publié par KrebsOnSecurity révèle une opération criminelle sophistiquée impliquant plus de 1 200 sites de jeux frauduleux. Ces sites utilisent des publicités sur les réseaux sociaux et de fausses recommandations de célébrités pour attirer les victimes. Les sites proposent des interfaces de jeu soignées avec des crédits fictifs de 2 500 $, mais exigent des dépôts de vérification qui ne sont jamais remboursés. Cette opération est une variante des arnaques de type ‘pig butchering’, optimisée pour un volume élevé plutôt que pour cibler des victimes individuelles. ...

L’article publié par GreyNoise Labs met en lumière les défis croissants auxquels sont confrontés les ingénieurs en détection face aux exploits de preuve de concept (PoC) générés par intelligence artificielle. Ces PoC, bien qu’ils paraissent légitimes, sont souvent techniquement défectueux et perturbent les efforts de recherche et les logiques de détection. Les caractéristiques techniques de ces PoC générés par IA incluent des points de terminaison API hallucinés, des modèles de charge utile génériques, des en-têtes HTTP incorrects, et des erreurs de copie-collage. L’article fournit des exemples concrets tirés des CVE-2025-20281, CVE-2025-20337, et CVE-2025-20188, illustrant comment ces faux exploits ciblent des points de terminaison erronés et utilisent des charges utiles non fonctionnelles. ...